Применение шифрования

ПРОБЛЕМА

Обе технологии, IIS SSL и TLS, позволяют использовать различные шифры посредством изменения значений в реестре Windows 2000. Имейте в виду, что изменение длины ключа или значения шифра повлияет на шифры на всем компьютере в целом, поэтому приложения типа Internet Explorer (использующий те же записи реестра для определения доступных шифров) будут использовать новые шифры. Это может пригодиться при возникновении определенных обстоятельств на веб-сайте, где основным приложением является IIS. Для изменения параметров шифра IIS SSL/TLS выполните следующие шаги.

1. Запустите программу Regedit и найдите ключ реестра:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers
2. В списке доступных шифров выберите тот шифр, который не хотите использовать. В области справа просмотрите Enabled Value (Значение) для этой записи. Значением может быть одна из величин:

   0xffffffff (включено)
   0x0 (выключено)
3. Щелкните на записи Enabled (Включено), выберите Edit (Изменить), после чего выберите Modify (Изменить).
   • В окне Edit DWORD Value (Изменение параметра DWORD) убедитесь, что параметр Value (Значение) установлен на Enabled (Включено), а опция Base Value (Базовое значение) – на Hexademical (Шестнадцатеричное).
   • В поле Value Data (Данные значения) удалите прежнее значение, после чего включите его, указав значение 0, либо отключите, указав значение ffffffff.
4. Нажмите на OK. Перезапустите IIS, чтобы применить изменения.

Сводный перечень действий по настройке параметров SSL

• Решите, какую политику доверия и метод аутентификации нужно использовать для работы с цифровыми сертификатами, и выберите либо коммерческое бюро сертификатов, либо самоуправляемый сервер сертификатов.
• Сгенерируйте пару открытых ключей в диспетчере IIS Internet Information Services посредством создания запроса на подпись сертификата, который будет отправлен в бюро сертификатов.
• Запросите сертификат сервера из бюро сертификатов, перейдя по адресу URL запроса сертификата и заполнив данные в соответствующей форме.
• Установите сертификат на веб-сервер посредством выполнения инструкций, включенных в полученный от бюро сертификатов ответ.
• Настройте каталоги и страницы, безопасность которых необходимо обеспечить. Выполните следующие шаги:
  • настройте параметры Web Site Properties (Свойства веб-узла) на использование порта 443 (или другого) для функционирования SSL/TLS;
  • на вкладке Directory Security (Безопасность каталога) откройте окно Secure Communications (Безопасные соединения) и настройте параметры для 128-битного шифрования SSL;
  • примите решение о необходимости аутентификации клиентов с помощью цифровых сертификатов и укажите соответствующие параметры в окне Secure Communications (Безопасные соединения).