Опубликован: 24.11.2006 | Уровень: специалист | Доступ: платный
Лекция 7:

Создание веб-сайта при помощи IIS

< Лекция 6 || Лекция 7: 12345 || Лекция 8 >

Получение сертификата для функционирующего сайта

Для функционирующего сайта, необходимо получить коммерческий сертификат, особенно, если сайт взаимодействует с большим количеством пользователей. В интрасети можно получить сертификат из собственного бюро сертификатов, так как это бюро можно установить в браузерах всех клиентов. Но это нельзя реализовать в интернете. Вы сможете получить сертификат в своем собственном бюро сертификатов, но оно будет генерировать сообщение с предупреждением всех клиентов при их доступе к любым сайтам через SSL, что отобьет их желание посещать такой сайт. Выпуск собственного сертификата с помощью своего CA является рискованной операцией, особенно, если корневые CA были когда-то доступны посторонним. По этим причинам для публично доступных сайтов рекомендуется использовать коммерческое бюро сертификатов.

Процесс получения сертификата функционирующего сайта аналогичен случаю с тестовым сайтом, за исключением того, что коммерческий сертификат запрашивается у коммерческого CA, и отправляется файл запроса.

  1. Запросите сертификат в консоли IIS MMC.
  2. Откройте сайт коммерческого бюро сертификатов и запросите сертификат.
  3. Отправьте в онлайн-бюро файл запроса, сгенерированный в IIS.
  4. Обработайте запрос посредством установки файла ответа CA.

Каждое коммерческое бюро сертификатов имеет свой процесс получения сертификата. Важно помнить, что информация запроса на сертификат должна соответствовать информации, используемой в запрашивающей организации. Для больших компаний большое значение имеет номер D-U-N-S. В нашем случае не идет речь о корпорации, поэтому идентификация рассматриваемой компании осуществляется отправкой письма от президента клуба на официальном бланке компании. В остальном же для установки сертификата необходимо выполнить такие же шаги, как и для тестового сайта.

Примечание. Обратитесь к лекции 10 курса "Администрирование web-серверов в IIS" для получения дополнительной информации, связанной с сертификатами.

Настройка безопасности веб-сайта

Страница с новостями рассматриваемого сервера будет защищена паролем. Это означает, что каждый пользователь, осуществляющий доступ к странице, должен будет предоставить имя пользователя и пароль для доступа к сайту. Для этого необходимо выполнить следующие шаги.

Создание учетной записи пользователя

При регистрации пользователя создайте для него учетную запись на веб-сервере, а затем сообщите ему по электронной почте имя пользователя и пароль. Для простоты управления разрешениями NTFS можно создать группу.

Создание группы
  1. Откройте консоль MMC Computer Management (Управление компьютером).
  2. Выделите в пункте Local Users and Groups (Локальные пользователи и группы) запись Groups (Группы).
  3. Выберите команду Action\New Group (Действие\Создать группу).
  4. Введите имя группы: BeerBrewers Newsletter Group.
  5. Нажмите на кнопку Create (Создать).
Создание пользователей
  1. В консоли MMC выделите в пункте Local Users and Groups (Локальные пользователи и группы) запись Users (Пользователи).
  2. Выберите команду Action\New User (Действие\Создать пользователя).
  3. Введите имя пользователя и пароль нового пользователя.
  4. Отключите опцию User Must Change Password At Next Logon (Пользователь должен изменить пароль при следующем входе).
  5. Нажмите на кнопку Create (Создать).
Добавление пользователя в группу
  1. В консоли MMC откройте запись Groups (Группы) в пункте Local Users and Groups (Локальные пользователи и группы).
  2. Дважды щелкните на группе BeerBrewers Newsletter Group.
  3. Нажмите на кнопку Add (Добавить).
  4. Выберите учетную запись пользователя, которую следует добавить в данную группу.
  5. Нажмите на кнопку OK два раза.

Установка разрешений NTFS

После создания группы ей нужно присвоить права файловой системы. До этого мы присвоили права анонимной группе; теперь настало время добавить в список группу сайта BeerBrewers. Группу следует связывать только с тем файлом (файлами), который должен быть защищен. В данном случае речь идет о файле newsletter.htm.

  1. В Windows Explorer (Проводник Windows) найдите файл newsletter.htm.
  2. Щелкните на файле правой кнопкой мыши и выберите Properties (Свойства).
  3. Откройте вкладку Security (Безопасность).
  4. Нажмите на кнопку Add (Добавить).
  5. Найдите группу BeerBrewers Newsletter Group.
  6. Нажмите на OK.
  7. Наделите группу BeerBrewers Newsletter Group правами чтения и выполнения файла.
  8. Нажмите на OK.

Настройка параметров аутентификации

После установки разрешений NTFS следует настроить в IIS параметры безопасности. Эти разрешения необходимо установить как для тестового, так и для функционирующего сайта (выполнить процедуру дважды).

  1. Откройте консоль MMC IIS и найдите файл newsletter.htm.
  2. Щелкните на файле правой кнопкой мыши и выберите Proeprties (Свойства).
  3. Откройте вкладку File Security (Безопасность файлов).
  4. Нажмите на кнопку Edit (Изменить) в области Authentication And Access Control (Аутентификация и контроль доступа).
  5. Отключите опцию Enable Anonymous Access (Включить анонимный доступ).
  6. Для сайта будет использоваться только базовая аутентификация, поэтому следует отметить опцию Basic Authentication (Базовая аутентификация) и отключить опцию Integrated Windows Authentication (Интегрированная аутентификация Windows).
  7. Нажмите на OK один раз; вкладка File Security (Безопасность файлов) останется открытой.

Стоп!

Читатель: Минуточку, разве базовая аутентификация рекомендуется к использованию, ведь в процессе ее работы пароль передается открытым текстом?

Автор: Как правило, да. Но у нас есть сертификат! Весь трафик, связанный с данной страницей, будет зашифрованным.

Читатель: Хорошо, у нас есть сертификат, но как заставить всех его использовать?

Автор: Об этом рассказывается ниже.

Принудительное использование SSL для обхода передачи паролей в открытом виде через интернет реализуется следующим образом.

  1. Нажмите на кнопку Edit (Изменить) в области Secure Communications (Безопасные соединения).
  2. Включите опцию Require Secure Channel (SSL).
  3. При желании затребуйте 128-битное шифрование, однако в этом случае браузеры, в которых не установлена поддержка 128-битного шифрования, не смогут осуществлять доступ к сайту.
  4. Нажмите на OK.два раза.

Теперь рассматриваемый файл защищен паролем, причем пароль также защищен.

Тестирование кода

Протестируем наш код перед включением его в работу. Сначала создайте детальный план, проверочный перечень действий, который будет выглядеть примерно так.

  • Проверено правильное функционирование каждой страницы?
  • Все ссылки сайта функционируют?
  • Присутствуют поврежденные или ненужные ссылки?
  • Установлен и работает ли DSN?
  • Генерируется сообщение об ошибке при незаполнении полей?
  • Является конфигурация безопасности излишней, недостаточной или подходящей?
  • Правильно функционирует SSL?
  • Присутствуют на данном компьютере двоичные файлы сертификата и запроса?
  • Правильно настроены разрешения файловой системы?
  • Возможно вызвать сбой в системе посредством ввода некорректных данных?

Примечание. Для нашего веб-сайта не предусмотрена проверка ошибок для полей, поэтому в них можно вводить некорректные данные. В реальной же ситуации рекомендуется реализовывать проверку полей формы.

Перенос сайта в среду функционирования

После всестороннего тестирования кода и его проверки согласно плану тестирования, самое время запустить код в работу. Важно протестировать в среде тестирования все возможные изменения, которые могут произойти в будущем, перед переводом кода в состояние функционирования. Таким образом, мы получили полнофункциональный веб-сайт!

Примечание. Вся информация в данной лекции является вымышленной и приводится только в демонстрационных целях. Всякая аналогия с каким-либо другим сайтом, реальным или воображаемым, является чистой случайностью.

< Лекция 6 || Лекция 7: 12345 || Лекция 8 >
Дмитрий Васюков
Дмитрий Васюков
Россия, Брянск
Maxim Kuzmin
Maxim Kuzmin
Россия