Россия, с. Новоселье |
Опубликован: 16.10.2006 | Уровень: специалист | Доступ: платный
Лекция 8:
Применение шифрования
ПРОБЛЕМА
Обе технологии, IIS SSL и TLS, позволяют использовать различные шифры посредством изменения значений в реестре Windows 2000. Имейте в виду, что изменение длины ключа или значения шифра повлияет на шифры на всем компьютере в целом, поэтому приложения типа Internet Explorer (использующий те же записи реестра для определения доступных шифров) будут использовать новые шифры. Это может пригодиться при возникновении определенных обстоятельств на веб-сайте, где основным приложением является IIS. Для изменения параметров шифра IIS SSL/TLS выполните следующие шаги.
- Запустите программу Regedit и найдите ключ реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers
- В списке доступных шифров выберите тот шифр, который не хотите использовать. В области справа просмотрите Enabled Value (Значение) для этой записи. Значением может быть одна из величин:
0xffffffff (включено) 0x0 (выключено)
- Щелкните на записи Enabled (Включено), выберите Edit (Изменить), после чего выберите Modify (Изменить).
- В окне Edit DWORD Value (Изменение параметра DWORD) убедитесь, что параметр Value (Значение) установлен на Enabled (Включено), а опция Base Value (Базовое значение) – на Hexademical (Шестнадцатеричное).
- В поле Value Data (Данные значения) удалите прежнее значение, после чего включите его, указав значение 0, либо отключите, указав значение ffffffff.
- Нажмите на OK. Перезапустите IIS, чтобы применить изменения.
Сводный перечень действий по настройке параметров SSL
- Решите, какую политику доверия и метод аутентификации нужно использовать для работы с цифровыми сертификатами, и выберите либо коммерческое бюро сертификатов, либо самоуправляемый сервер сертификатов.
- Сгенерируйте пару открытых ключей в диспетчере IIS Internet Information Services посредством создания запроса на подпись сертификата, который будет отправлен в бюро сертификатов.
- Запросите сертификат сервера из бюро сертификатов, перейдя по адресу URL запроса сертификата и заполнив данные в соответствующей форме.
- Установите сертификат на веб-сервер посредством выполнения инструкций, включенных в полученный от бюро сертификатов ответ.
- Настройте каталоги и страницы, безопасность которых необходимо обеспечить. Выполните следующие шаги:
- настройте параметры Web Site Properties (Свойства веб-узла) на использование порта 443 (или другого) для функционирования SSL/TLS;
- на вкладке Directory Security (Безопасность каталога) откройте окно Secure Communications (Безопасные соединения) и настройте параметры для 128-битного шифрования SSL;
- примите решение о необходимости аутентификации клиентов с помощью цифровых сертификатов и укажите соответствующие параметры в окне Secure Communications (Безопасные соединения).