Россия, Брянск |
Создание веб-сайта при помощи IIS
Получение сертификата для функционирующего сайта
Для функционирующего сайта, необходимо получить коммерческий сертификат, особенно, если сайт взаимодействует с большим количеством пользователей. В интрасети можно получить сертификат из собственного бюро сертификатов, так как это бюро можно установить в браузерах всех клиентов. Но это нельзя реализовать в интернете. Вы сможете получить сертификат в своем собственном бюро сертификатов, но оно будет генерировать сообщение с предупреждением всех клиентов при их доступе к любым сайтам через SSL, что отобьет их желание посещать такой сайт. Выпуск собственного сертификата с помощью своего CA является рискованной операцией, особенно, если корневые CA были когда-то доступны посторонним. По этим причинам для публично доступных сайтов рекомендуется использовать коммерческое бюро сертификатов.
Процесс получения сертификата функционирующего сайта аналогичен случаю с тестовым сайтом, за исключением того, что коммерческий сертификат запрашивается у коммерческого CA, и отправляется файл запроса.
- Запросите сертификат в консоли IIS MMC.
- Откройте сайт коммерческого бюро сертификатов и запросите сертификат.
- Отправьте в онлайн-бюро файл запроса, сгенерированный в IIS.
- Обработайте запрос посредством установки файла ответа CA.
Каждое коммерческое бюро сертификатов имеет свой процесс получения сертификата. Важно помнить, что информация запроса на сертификат должна соответствовать информации, используемой в запрашивающей организации. Для больших компаний большое значение имеет номер D-U-N-S. В нашем случае не идет речь о корпорации, поэтому идентификация рассматриваемой компании осуществляется отправкой письма от президента клуба на официальном бланке компании. В остальном же для установки сертификата необходимо выполнить такие же шаги, как и для тестового сайта.
Примечание. Обратитесь к лекции 10 курса "Администрирование web-серверов в IIS" для получения дополнительной информации, связанной с сертификатами.
Настройка безопасности веб-сайта
Страница с новостями рассматриваемого сервера будет защищена паролем. Это означает, что каждый пользователь, осуществляющий доступ к странице, должен будет предоставить имя пользователя и пароль для доступа к сайту. Для этого необходимо выполнить следующие шаги.
Создание учетной записи пользователя
При регистрации пользователя создайте для него учетную запись на веб-сервере, а затем сообщите ему по электронной почте имя пользователя и пароль. Для простоты управления разрешениями NTFS можно создать группу.
Создание группы
- Откройте консоль MMC Computer Management (Управление компьютером).
- Выделите в пункте Local Users and Groups (Локальные пользователи и группы) запись Groups (Группы).
- Выберите команду Action\New Group (Действие\Создать группу).
- Введите имя группы: BeerBrewers Newsletter Group.
- Нажмите на кнопку Create (Создать).
Создание пользователей
- В консоли MMC выделите в пункте Local Users and Groups (Локальные пользователи и группы) запись Users (Пользователи).
- Выберите команду Action\New User (Действие\Создать пользователя).
- Введите имя пользователя и пароль нового пользователя.
- Отключите опцию User Must Change Password At Next Logon (Пользователь должен изменить пароль при следующем входе).
- Нажмите на кнопку Create (Создать).
Добавление пользователя в группу
- В консоли MMC откройте запись Groups (Группы) в пункте Local Users and Groups (Локальные пользователи и группы).
- Дважды щелкните на группе BeerBrewers Newsletter Group.
- Нажмите на кнопку Add (Добавить).
- Выберите учетную запись пользователя, которую следует добавить в данную группу.
- Нажмите на кнопку OK два раза.
Установка разрешений NTFS
После создания группы ей нужно присвоить права файловой системы. До этого мы присвоили права анонимной группе; теперь настало время добавить в список группу сайта BeerBrewers. Группу следует связывать только с тем файлом (файлами), который должен быть защищен. В данном случае речь идет о файле newsletter.htm.
- В Windows Explorer (Проводник Windows) найдите файл newsletter.htm.
- Щелкните на файле правой кнопкой мыши и выберите Properties (Свойства).
- Откройте вкладку Security (Безопасность).
- Нажмите на кнопку Add (Добавить).
- Найдите группу BeerBrewers Newsletter Group.
- Нажмите на OK.
- Наделите группу BeerBrewers Newsletter Group правами чтения и выполнения файла.
- Нажмите на OK.
Настройка параметров аутентификации
После установки разрешений NTFS следует настроить в IIS параметры безопасности. Эти разрешения необходимо установить как для тестового, так и для функционирующего сайта (выполнить процедуру дважды).
- Откройте консоль MMC IIS и найдите файл newsletter.htm.
- Щелкните на файле правой кнопкой мыши и выберите Proeprties (Свойства).
- Откройте вкладку File Security (Безопасность файлов).
- Нажмите на кнопку Edit (Изменить) в области Authentication And Access Control (Аутентификация и контроль доступа).
- Отключите опцию Enable Anonymous Access (Включить анонимный доступ).
- Для сайта будет использоваться только базовая аутентификация, поэтому следует отметить опцию Basic Authentication (Базовая аутентификация) и отключить опцию Integrated Windows Authentication (Интегрированная аутентификация Windows).
- Нажмите на OK один раз; вкладка File Security (Безопасность файлов) останется открытой.
Стоп!
Читатель: Минуточку, разве базовая аутентификация рекомендуется к использованию, ведь в процессе ее работы пароль передается открытым текстом?
Автор: Как правило, да. Но у нас есть сертификат! Весь трафик, связанный с данной страницей, будет зашифрованным.
Читатель: Хорошо, у нас есть сертификат, но как заставить всех его использовать?
Автор: Об этом рассказывается ниже.
Принудительное использование SSL для обхода передачи паролей в открытом виде через интернет реализуется следующим образом.
- Нажмите на кнопку Edit (Изменить) в области Secure Communications (Безопасные соединения).
- Включите опцию Require Secure Channel (SSL).
- При желании затребуйте 128-битное шифрование, однако в этом случае браузеры, в которых не установлена поддержка 128-битного шифрования, не смогут осуществлять доступ к сайту.
- Нажмите на OK.два раза.
Теперь рассматриваемый файл защищен паролем, причем пароль также защищен.
Тестирование кода
Протестируем наш код перед включением его в работу. Сначала создайте детальный план, проверочный перечень действий, который будет выглядеть примерно так.
- Проверено правильное функционирование каждой страницы?
- Все ссылки сайта функционируют?
- Присутствуют поврежденные или ненужные ссылки?
- Установлен и работает ли DSN?
- Генерируется сообщение об ошибке при незаполнении полей?
- Является конфигурация безопасности излишней, недостаточной или подходящей?
- Правильно функционирует SSL?
- Присутствуют на данном компьютере двоичные файлы сертификата и запроса?
- Правильно настроены разрешения файловой системы?
- Возможно вызвать сбой в системе посредством ввода некорректных данных?
Примечание. Для нашего веб-сайта не предусмотрена проверка ошибок для полей, поэтому в них можно вводить некорректные данные. В реальной же ситуации рекомендуется реализовывать проверку полей формы.
Перенос сайта в среду функционирования
После всестороннего тестирования кода и его проверки согласно плану тестирования, самое время запустить код в работу. Важно протестировать в среде тестирования все возможные изменения, которые могут произойти в будущем, перед переводом кода в состояние функционирования. Таким образом, мы получили полнофункциональный веб-сайт!
Примечание. Вся информация в данной лекции является вымышленной и приводится только в демонстрационных целях. Всякая аналогия с каким-либо другим сайтом, реальным или воображаемым, является чистой случайностью.