Применение шифрования

Выполнение запроса на подпись сертификата

При первой установке безопасного протокола на компьютер, скорее всего, у вас еще нет открытого ключа, поэтому нужно предварительно создать пару ключей и подготовить сайт к запросу сертификата в бюро сертификатов. Создание ключей для сервера IIS осуществляется с помощью запроса на подпись сертификата (CSR). Для обеспечения правильного соответствия открытого и секретного ключей следует выполнить CSR с компьютера, для которого будет запрашиваться сертификат.

1. Откройте консоль MMC Internet Services Manager (Диспетчер служб интернета) и в дереве ресурсов перейдите к веб-сайту, на котором требуется SSL/TLS для обеспечения безопасности веб-страниц. Щелкните правой кнопкой мыши на сайте и во всплывающем меню выберите Properties (Свойства).
2. В окне Web Site Properties (Свойства веб-узла) откройте вкладку Directory Security (Безопасность каталога). В области Secure Communications (Безопасные соединения) нажмите на кнопку Server Certificate (Сертификат) (см. рис. 8.2). Откроется мастер, который сгенерирует пару открытых ключей и создаст CSR. Обратите внимание, что кнопки View Certificate (Просмотр сертификата) и Edit (Изменить) еще недоступны, так как сертификат до этого не устанавливался.
   

   
   Рис. 8.2. Используйте вкладку Directory Security (Безопасность каталога) окна Web Site Properties (Свойства веб-узла) для создания CSR
3. Следуйте инструкциям мастера и отвечайте на вопросы по мере выполнения шагов. При создании запроса необходимо выполнить следующие действия.
   • Выберите метод присвоения Assign A New Certificate (Присвоить новый сертификат).
   • Выберите опцию Prepare The Request Now, But Send It Later (Подготовить запрос сейчас, но отправить его позже).
   • В параметрах Name (Имя) и Security Settings (Параметры безопасности) введите предпочитаемое имя, после чего выберите длину, по крайней мере, в 1024 бита в области выбора Bit Length (Длина бита) (подразумевается, что эта опция доступна). Если вы работаете с сайтом в США, не следует выбирать опцию Server Gated Cryptography (Шифрование с использованием серверного шлюза).

   Совет. При длине ключа большей, чем 1024 бита, затрачивается много времени на вычисление. Для большинства приложений длина ключа в 1024 бита обеспечивает надежную защиту.

4. Укажите название организации и предоставьте информацию о подразделении в окне Organization Information (Информация об организации). Подразделение организации не имеет принципиального значения, если компания невелика, тем не менее, укажите имя.
5. В окне Geographic Information (Данные о расположении) выберите страну в списке, введите штат (область), после чего укажите город. Не сокращайте вводимые данные, так как это может стать причиной отклонения запроса на сертификат.
6. В окне Certificate Request File Name (Имя файла сертификата) выберите удобное имя и место, которое вы откроете из браузера при итоговом заполнении веб-формы для запроса на сертификат.
7. По окончании работы мастера появится окно с отчетом (см. рис. 8.3). Если вся информация правильна, нажмите на Next (Далее), чтобы выйти из браузера.
   

   
   Рис. 8.3. Дважды проверьте информацию перед тем, как выйти из мастера

Мастер создаст файл CSR, сохраненный в месте расположения с указанным именем. Этот файл содержит открытый ключ для сайта.