Установка веб-доступа

Дополнительные настройки сервера веб-доступа

Настройка защищенного соединения (на основе Secure Socket Layers, SSL)

При необходимости можно настроить защиту соединений с сервером веб-доступа к DIRECTUM : информация, передаваемая по каналам связи, будет шифроваться. Для того чтобы можно было работать с защищенными соединениями, сделайте следующее:

1. Внесите изменения в конфигурационный файл сервера веб-доступа:

· Шаг 1. Запустите утилиту конфигурирования сервера веб-доступа C :\ Program Files \ DIRECTUM Company \ WebAccessConfig \DirWebConfigurator.exe.

· Шаг 2. Окно «Выбор веб-узла Сервера веб-доступа к DIRECTUM »:

а) в выпадающем списке выберите веб-узел сервера веб-доступа к DIRECTUM . По умолчанию он имеет название «Сервер веб-доступа к DIRECTUM »;

б) нажмите на кнопку OK ;

· Шаг 3. Окно «Параметры Сервера веб-доступа к DIRECTUM », закладка «Общие»:

а) в выпадающем списке «Защищенное соединение» выберите значение «Для удаленных». Если необходимо установить защищенное соединение и для пользователей локальной сети, то выберите значение «Для удаленных и локальных»;

б) нажмите на кнопку OK .

2. Настроите IIS на работу с SSL -соединениями, установив сертификат проверки подлинности сервера. Для этого генерируется сертификат с назначением «Обеспечивает получение идентификации от удаленного компьютера» с возможностью экспорта в службе сертификации предприятия, в результате чего необходимо получить *. pfx -файл закрытого ключа.

3. Если используете веб-службу сертификации Windows , то сделайте следующее:

а) при генерации сертификата укажите опцию возможного экспорта сертификата. После того, как сертификат установлен в локальной системе, его можно посмотреть с помощью Internet Explorer – пункт меню «Свойства обозревателя», закладка «Содержание», кнопка Сертификаты . Для экспорта используйте кнопку Экспорт , укажите Да, экспортировать закрытый ключ , и укажите пароль.

б) Импортируйте сертификат. Для этого на закладке «Безопасность каталога» карточки свойств веб-узла нажмите на кнопку Сертификаты и, следуя инструкциям на экране, импортируйте сертификат, указав пароль, который был задан на предыдущем шаге. После приема сертификата установится порт защищенного соединения 443 и работа через SSL станет возможной.

4. Для того чтобы поддерживались и открытые (незащищенные) соединения, требуется установить опцию Разрешить поддержку открытых соединений HTTP на закладке «Веб-узел» свойств веб-узла.

5. Для того чтобы можно было установить сертификат удостоверяющего центра по ссылке со страницы входа, необходимо пользователю, от которого запускается группа приложений « DIRECTUM », разрешить «Чтение» и «Запрос сертификатов» в оснастке «Центр сертификации» в свойствах нужного центра сертификации на закладке «Безопасность».

См. также:

Мы выпустили новую книгу «Контент-маркетинг в социальных сетях: Как засесть в голову подписчиков и влюбить их в свой бренд».

Мир помешался на интернет-безопасности. Если вы в тренде и переписываетесь исключительно в «Телеграме», то почитайте про то, как установить на сайт защищенного соединения . Он пригодится в любом случае, а если вы интернет-магазин, то без него вообще нельзя будет обойтись. Попутно расскжем про сертификаты : что это такое и для чего они нужны.

Что такое HTTPS

Это протокол защищенного соединения. Он шифрует информацию, которой обменивается сервер и браузер пользователя – это помогает защитить данные о паролях, номерах кредиток и адресах электронной почты. Использование HTTPS сильно и делает его немного привлекательнее в глазах поисковых систем – Google ранжирует защищенные сайты выше, чем незащищенные. Чтобы включить протокол HTTPS на своем сайте, нужно сперва установить на сервере SSL-сертификат.

Для чего нужен сертификат SSL

Он формирует уникальную цифровую подпись сайта, которая и помогает защитить соединение. Без сертификата SSL получить протокол HTTPS не получится, как ни старайся. В нем содержится:

• домен сайта;
• полное юридическое название компании-владельца;
• физический адрес компании;
• срок действия сертификата;
• реквизиты разработчика SSL.

Сертификат понадобится и для подключения любой платежной системы, например «Яндекс.Денег». Логика простая – никто не позволит вам рисковать чужими деньгами.

Как выбрать SSL-сертификат

Они делятся на два типа, в зависимости от степени защиты и .

Domain Validation SSL

Самый простой вариант. Заработает после того, как вы подвтердите владение доменом. Сделать это можно тремя способами:

• Через E-mail. Вам на почту придет письмо с инструкцией по верификации. В качестве адреса отправки выбирается либо почта из Whois домена, либо ящики админа или вебмастера.

• Через запись в DNS. Если у вас настроен сервер электронной почты, создайте специальную запись в DNS. По ней система и подтвердит, что вы действительно владелец сайта. Метод автоматизирован и подходит тем, у кого почта Whois скрыта в настройках.

• Через хэш-файл. Разместите специальный.txt файл у себя на сервере, чтобы центр сертификации смог установить его наличие.

Такая верификация подойдет, если у вас личный блог или небольшой офлайновый бизнес, потому что она не позволяет защищать субдомены и проводить финансовые операции. Плюс, для подтверждения чистоты домена и ваших помыслов не требуется делать ничего сложного, а готовый сертификат делается быстро.

Business Validation

Этот вид сертификата SSL надежней, потому что вы подтверждаете факт связи компании с сайтом. Для этого нужно отправить в верификационный центр несколько документов и принять звонок на корпоративный номер. Business Validation-сертификаты делятся на 3 вида:

• Extended Validation SSL. Это сертификаты с расширенной проверкой. Они нужны всем, кто работает с большим объемом денег: банкам, крупным интернет-магазинам, финансовым компаниям, платежным системам.

• Wildcard SSL. Такой сертификат защищает и сам сайт, и его поддомены. Причем их может быть любое количество, а располагаться они могут на разных серверах. Обязателен, если вы используете поддомены с разной региональной привязкой или разными проектами.

• SAN SSl. Главное преимущество этого типа сертификата – поддержка альтернативных доменных имен: и внешних, и внутренних.

• CodeSigning SSL. Подтверждает кода и программных продуктов с сайта. Подойдет разработчикам любых приложений.

Можно ли установать на свой сайт бесплатный SSL-сертификат?

Да. Большинство таких продуктов платные, но есть и варианты, за которые не придется отдавать деньги. Это базовые сертификаты с валидацией по домену. Они не позволят прикрутить к ресурсу онлайн-кассу, но защитить соединение пользователя с сервером смогут. Такие SSL подойдут небольшим информационным сайтам или офлайн-бизнесам. Пример – базовый сертификат StartSSL .

Установка сертификата SSL

Сперва нужно сгенерировать запрос CSR на получение сертификата. В нем содержится вся информация о хозяине домена и открытый ключ. Большинство поставщиков SSL позволяют сделать это в процессе заказа сертификата, но сгенерировать запрос можно и на стороне веб-сервера.

В процессе генерации ключа CSR нужно указать:

• Имя сервера: «site.com» или «*.site.com», если получаете WIldcard сертификат. Звездочка означает любое количество любых символов перед точкой.
• Код страны: RU, UA, KZ и так далее.
• Область, например, Saratov Region.
• Город.
• Полное название организации или имя владельца сайта.

Запрос CSR отправляется в центр верификации. На выходе вы получаете сертификат SSL и файл с приватным ключом, который нельзя терять и выкладывать в открытый доступ.

После этого нужно установить сертификат на веб-сервер. Рассмотрим случаи с Apache и nginx.

Apache

Чтобы это сделать, нужно загрузить на сервер все сертификаты: и основные, и промежуточные. Первым делом нужно последний в директорию /usr/local/ssl/crt (используется по умолчанию, в вашем случае может отличаться). В ней будут храниться все сертификаты.

После этого скачайте основной сертификат, откройте его в любом текстовом редакторе и полностью скопируйте содержимое вместе со строчками «BEGIN» и «END».

В директории /ssl/crt/ создайте файл vashsite.crt и вставьте в него содержимое сертификата.

Файл приватного ключа переместите в директорию /usr/local/ssl/private/

В файле VirtualHost добавьте строки:

SSLEngine on

SSLCertificateKeyFile /usr/local/ssl/private/private.key

SSLCertificateFile /usr/local/ssl/crt/vashsite.crt

SSLCertificateChainFile /usr/local/ssl/crt/intermediate.crt

Указывать нужно действительные пути до файлов. Сохраните изменения и перезапустите сервер.

nginx

Здесь процесс установки SSL сертификата немного отличается. Сначала нужно объеденить корневой, промежуточный и SSL-сертификаты в один. Для этого создайте файл vashsite.crt и вставьте туда содержимое сертификатов вместе со строчками «BEGIN» и «END» (порядок: SSL, промежуточный, корневой). Пустых строк быть не должно.

Почти то же самое нужно сделать и с приватным ключом – создать файл vashsite.key и перенести содержимое ключа, загруженного с сайта поставщика.

Оба файла (vashsite.crt и vashsite.key) поместите в директорию /etc/ssl/ (она используется по умолчанию, но может отличаться).

В файле с конфигурациями отредактируйте VirtualHost. Добавьте:

server{
listen 443;
ssl on;

ssl_certificate /etc/ssl/vashsite.crt;
ssl_certificate_key /etc/ssl/vashsite.key;
server_name vashsite.com;

Если директория с сертификатом и ключом отличается от дефолтной, поменяйте ее.

Теперь сохраните изменения и перезапустите nginx.

Как получить рабочее HTTPS-соединение

После установки сертификатов SSL сайт станет доступен по двум адресам: http://vashsite.com и https://vashsite.com. Вам нужно оставить только последний. Для этого настройте файл robots.txt и сделайте 301-редирект со старого сайта.

В «robots» нужно обновить host. Пример: Host: https://vashsite.com. Для настройки редиректа нужно добавить в файл.htacsess строчки:

RewriteCond %{SERVER_PORT} !^443$

RewriteRule ^(.*)$ https://vashsite.com/$1 .

Теперь осталось сообщить об изменениях поисковикам. В «Вебмастере» «Яндекса» добавьте страницу с https и укажите ее как главное для старого сайта.

Итоги

Мы разобрались, что такое https, как установить его на свой сайт и как настроить все правильно. Этот протокол уже стал стандартом соединения и со временем на него перейдут все живые сайты. Этот процесс поощрают поисковики – наличие установленного протокола защищенного соединения HTTPS стало одним из факторов ранжирования. Поэтому, если хотите попасть в топ, установить его придется.

Настройка платежных систем

Настройка платежных систем во многом зависит от того как предоставляет связь со своими терминалами сам оператор платежной системы. Как правило если используются терминалы городских платежей, то используется защищенное SSL-соединение и вам нужно включить и настроить для связи с терминалами SSL WEB-сервер как показано ниже. Если для проведения платежей используются веб-сайты в интернете, то как часто в таких случаях нужно настраивать именно http сервер на Carbon Billing. Предварительно обязательно уточните у вашего оператора платежных систем по какому именно протоколу связи он предоставляет подключение к своим терминалам оплаты перед настройкой Carbon Billing.
SSL WEB-сервер для платежей имеет несколько параметров, значения которых описаны ниже.

Включить SSL WEB-сервер для платежей - Если оператор платежной системы осуществляет работу с терминалами оплаты по SSL, то нужно включить именно SSL WEB-сервер.
IP-адрес для подключения по HTTPS - адрес для подключения терминалов или сайтов платежных систем для проведения платежа клиенту в БД Carbon Billing.
Порт для подключения по HTTPS - по умолчанию используется порт 1443. Если есть необходимость изменить этот порт, то по возможности указывайте порты выше 1024.
Разрешенные адреса клиентов для SSL WEB-сервера
Домен для сертификата серверного SSL - укажите здесь ваш публичный домен или отдельно зарегистрированный для сервера платежей на Carbon Billing домен. Опция не обязательна и позволяет обратится к SSL- WEB-серверу по доменному имени вместо IP-адреса.
Требовать и проверять клиентский сертификат - Обязательно отметить если настраиваете веб-интерфейс кассира. Если настраиваете работу с платежной системой, то уточните необходимость проверки клиентского сертификата у оператора платежной системы.
Создать клиентский сертификат - Будет создан клиентский сертификат, который нужно будет предоставить оператору платежной системы. Сертификат с суффиксом.pfx будет доступен на сервере в каталоге /var/lib/usrcert и будет иметь имя файла равное CN-имени, указанном вами при создании сертификата. Скачать файл сертификата с сервера можно программой winscp.

В случае настройки HTTP WEB-сервера для платежей.

Включить HTTP-сервер для платежей - Если оператор платежной системы осуществляет работу с терминалами оплаты по открытому http-соединению, то включите именно HTTP-сервер.
IP-адрес для подключения по HTTP - Адрес веб-сервера для подключения к нему терминалов или серверов платежей.
Порт для подключения по HTTP - по умолчанию используется порт 1444. Если есть необходимость изменить этот порт, то по возможности указывайте порты выше 1024.
Разрешенные адреса клиентов для HTTP-сервера - если не указано, то доступ будет открыт всем.

Если вы пользуетесь услугами операторов платежных систем, указанных ниже на этой вкладке, то включите соответствующие им пункты меню. В будущем эти флажки будут устанавливать специфичные настройки системы, необходимые для каждого из используемых вами операторов. Если ваш оператор не входит в число перечисленных ниже, то не включайте ни один из них.

При настройке системы платежей Robokassa не забудьте указать секретный пароль, необходимый для организации соединения между терминалом и сервером.

Критичность параметра subjectAltName ssl-сертификатов

При генерации ssl-сертификатов для сервера, например для https-сервера платежей, используется расширение subjectAltName. Исторически по дефолту это расширение в сертификате помечается как критическое, что может привести к проблемам при интеграции биллинга с некоторыми платежными системами.

При генерации клиентских сертификатов subjectAltName не задается.

Критичность параметра отменяется опцией в локальной консоли "Конфигурирование сервера - Дополнительные настройки - Настройки для разработчиков - Не делать SSL параметр AltName критичным".

После включения этой опции все вновь созданные серверные сертификаты будут генерироваться с некритичным расширением subjectAltName. Старый сертификат для https-сервера платежей придется перегенерировать вручную следующим образом:

1. Перемонтируем в rw раздел, на котором лежит конфиг (для этого должен быть включен режим удаленного помощника):

Mount -o rw,remount /mnt/bk_disc/

2. Открываем редактором файл /etc/ics/ics.conf и комментируем строку с MHTTPD_F_CERT .

3. Перезапускаем https-сервер платежей:

/etc/init.d/mhttpd_F restart

Смена сертификата у https-сервера платежей никак не затрагивает сгенерированные ранее клиентские сертификаты для кассиров или платежных систем.

Настройка приема платежей по http без шифрования

При необходимости производить прием платежей от платежных систем по незащищенному протоколу http необходимо произвести следующие настройки:

1) Включить http сервер для приема платежей.

2) Указать IP адрес, на котором должен работать прием запросов. Этот адрес должен принадлежать одному из интерфейсов Carbon Billing:

Затем указать порт, на котором будет принимать запросы запросы сервер.

3) Сделать список IP адресов, с которых будут приниматься запросы. Это очень важный шаг поскольку http не подразумевает авторизацию платежной системы через сертификат:

По умолчанию с HTTP могут работать протоколы платежной системы Робокасса и Уникасса. Если необходимо, к примеру, принимать запросы на http по протоколу ОСМП то необходимо сделать следующее:

1) Загрузить сервер в режиме уд. помощника и подключиться по ssh под пользователем root.

2) Выполнить следующие команды:

Mount -o rw,remount /mnt/ro_disc chattr -i -R /var /www/fiscal/htdocs/http/ cp /var /www/fiscal/htdocs/osmp.php /var /www/fiscal/htdocs/http/osmp.php chown mhttpd_F:mhttpd_F /var /www/fiscal/htdocs/http/osmp.php

Нужно отредактировать строку в скрипте:

Mcedit /var /www/fiscal/htdocs/http/osmp.php строку: include "../include/class_page.php"; заменяем на: include "../../include/class_page.php";

Сохраняем файл и выходим из редактора.

После мягкой перезагрузки модуль приема платежей по протокол ОСМП будет доступен по адресу http://1.1.1.1:1444/osmp.php с IP-адреса 2.2.2.2.

Доступ при отрицательном балансе

Может быть реализован двумя способами:

• Через редактор правил и сетей тарифа ;
• Через [файл доп.настроек ics_tune.sh]

ЦИФРОВАЯ СЕРТИФИКАЦИЯ ЗАЩИЩЕННОГО СОЕДИНЕНИЯ SSL

Для безопасной передачи данных между браузером и веб-сервером используется протокол передачи данных https, в основе которого положено защищенное соединение SSL.

В данной статье рассказываются общие сведения о шифровании с открытым ключом, цифровых сертификатах, инфраструктуре открытого ключа (PKI - Public Key Infrastructure), о создании удостоверяющего центра, конфигурировании контейнеров сервлетов Apache Tomcat и JBoss для установления одностороннего и двухстороннего безопасного соединения, генерации хранилища сертификатов и как создать SSL сертификат при помощи утилиты keytool. Так же вы узнаете о способах проверки отозванных сертификатов в Java (CRL списки, протокол OCSP) и конфигурировании браузера для работы с сертификатами.

Современным способом безопасной передачи сообщений в сети является метод шифрования с открытым ключом. Суть метода заключается на наличии пары ключей: открытого и закрытого. Открытый и закрытый ключ – это алгоритмы преобразования исходного сообщения в зашифрованное и зашифрованного сообщения в исходное.

Открытый ключ находится в свободном доступе и предоставляется всем желающим отправить зашифрованное сообщение. Отправитель, зашифровав сообщение, может уверенно передавать его по небезопасному каналу связи и быть уверенным, что только адресат сможет прочитать данное сообщение.

Закрытый ключ, хранится в строгой секретности у владельца пары ключей. Получив сообщение, зашифрованное открытым ключом, адресат использует закрытый ключ для его расшифровки. Так как закрытый ключ известен только адресату сообщения, то никто другой не сможет его прочитать, что дает гарантию секретности сообщения.

Сообщение, зашифрованное закрытым ключом, может быть расшифровано всеми обладателями открытого ключа.

На основании данного алгоритма шифрования создается защищенное соединение SSL.

Цифровой сертификат

Цифровой сертификат – это электронный документ, идентифицирующий владельца. Он содержит основную информацию о владельце, открытый ключ владельца, сроки действия, цифровая подпись эмитента (издателя) и др. необходимую информацию. В цифровом сертификате существует раздел расширений (необязательный для заполнения), в котором расположены точки распространения списка отзыва, сведения об издателе и др. Цифровой сертификат позволяет организовать защищенное соединение SSL. О том как создать SSL сертификат рассказывается ниже в данной статье.

Основные особенности приведенных выше сертификатов:

SSL сертификат удостоверяющего центра должен содержать поле CA со значением TRUE, что позволяет выдавать другие сертификаты, т.е. данный сертификат не является конечным в цепочке.

Серверные SSL сертификаты в поле CN (common name) должны обязательно содержать доменное имя или ip-адрес по которому происходит обращение к серверу, в противном случае сертификат будет признан недействительным;

Клиентские SSL сертификаты содержат e-mail адрес клиента, его имя и фамилию. В отличие от серверного сертификата поле CN не критично к содержимому и может содержать как имя с фамилией, так и e-mail адрес.

Цифровой SSL сертификат считается действительным в пределах срока действия, указанного в его полях. Таким образом, сертификатом невозможно пользоваться ранее даты начала действия, и после даты окончания действия, т.к. системы, вступающие с ним в контакт, будут сообщать о недоверии к нему.

Существуют ситуации, когда пользователю или издателю сертификата необходимо приостановить или полностью остановить его действие. Допустим, что закрытый ключ, который должен надежно храниться, был утерян или к нему получили доступ злоумышленники. В такой ситуации пользователю необходимо обратиться к эмитенту (издателю) сертификата, чтобы последний отменил его действие. Также издатель может отменить сертификат в случае выяснения, что клиент предоставил сфальсифицированную информацию о себе. Для этих целей создается специальный список, называемый списком аннулированных (отозванных) сертификатов (англ. Certificate revocation list, CRL). Данный список содержит серийный номер сертификата, дату прекращения его действия и причину отзыва. С момента попадания сертификата в CRL он считается недействительным и издатель не несет ответственность за содержимое такого сертификата. Одним из методов проверки CRL списка является протокол OCSP, но для этого необходимо налицие у удостоверяющего центра OCSP-респондера.

Инфраструктура открытого ключа (PKI)

Основной задачей инфраструктуры открытого ключа (Public Key Infrastructure, PKI) является определение политики выдачи цифровых сертификатов.

Для выпуска и отмены SSL сертификатов, генерации списков отзыва (CRL) необходимо специальное программное обеспечение (ПО). В качестве примера такого ПО можно привести Microsoft CA (входит в состав MS Windows Server 2000/2003/2008), OpenSSL (распространяется на unix-подобных ОС). Данное ПО размещается на оборудовании удостоверяющего центра.

Удостоверяющий центр (англ. Certification authority, CA) – организация, которая выдает цифровые SSL сертификаты на основании данных предоставленных заказчиком. Удостоверяющий центр несет полную ответственность за достоверность данных представленных в SSL сертификате, это значит, что владелец сертификата является именно тем, за кого себя выдает.

Наиболее распространенными удостоверяющими центрами в мире являются Verisign и Comodo. Сертификатам этих удостоверяющих центров доверяют 99% браузеров и большинство серверного ПО. Ниже описано создание удостоверяющего центра.

Защищенное соединение SSL с двухсторонней аутентификацией

Защищенное соединение SSL чаще всего применяется в электронной коммерции. В качестве примера можно рассмотреть покупку товаров через электронный магазин. Покупатель, указывая номера и коды кредитных карт, хочет быть уверенным, что они не попадут злоумышленнику. Поэтому сервер удостоверяет свою подлинность, предоставляя сертификат клиенту. Гарантом этой подлинности является удостоверяющий центр. Шифрование данных клиента будет производиться открытым ключом сервера. Эти данные могут быть расшифрованы только закрытым ключом, который находится на сервере. Поэтому клиент может не опасаться, что злоумышленник перехватит его данные, он все равно не сможет их расшифровать.

Клиентский SSL сертификат применяется в случаях, когда серверу необходимо подтверждение, что клиент именно тот за кого себя выдает. Например, банк предоставляет сетевой доступ для управления личным счетом. Он хочет обезопасить себя и быть уверенным, что к нему обращается владелец данного счета, а не злоумышленник, раздобывший логин и пароль. В данной ситуации клиент предоставляет свой открытый ключ серверу и все полученные данные от сервера могут быть расшифрованы только клиентом и никем другим, т.к. он является владельцем закрытого ключа.

На рисунке представлена схема, на которой показаны этапы создания защищенного соединения SSL.

Рис 1 - Схема создания защищенного соединения SSL с двухсторонней аутентификацией

Когда клиент пытается получить доступ к защищенному ресурсу, сервер отправляет свой цифровой сертификат. Получив сертификат, клиент осуществляет его проверку. Проверка заключается в следующем: даты начала действия и окончания не должны быть просроченными, издатель сертификата должен быть доверенным, сертификат не должен находиться в CRL. В случае неудачной проверки процесс установления соединения прерывается. Если условия проверки выполнены, то клиент передает свой сертификат серверу. Сервер проводит аналогичную проверку. В случае неудачной проверки сервер запретит доступ к своим ресурсам. При успешной проверке устанавливается безопасное соединение и данные передаются в шифрованном виде.

В данной схеме происходит двойное шифрование передаваемых данных. Клиент шифрует сообщение с помощью открытого ключа сервера, а затем собственным закрытым ключом. После получения сообщения, сервер расшифровывает сообщение открытым ключом клиента, а затем своим закрытым ключом. Таким образом, сервер и клиент аутентифицируют себя друг другу, т.к. только они могут расшифровывать полученные данные.

Следует отметить, что применение данной методики уменьшает скорость обмена данными, т.к. операции шифрования/дешифрования требуют дополнительного времени и скорость их выполнения зависит от мощности вычислительных ресурсов.

Создание удостоверяющего центра

Для тестовых целей или когда нецелесообразно покупать цифровой сертификат, следует создать собственный удостоверяющий центр.

Корневой удостоверяющий центр – удостоверяющий центр, которому доверяют все. Он обладает SSL cертификатом, который подписан его собственным закрытым ключом. Такие SSL сертификаты называют самоподписными (англ. self signed).

Закрытый ключ корневого удостоверяющиего центра должен храниться очень надежно, т.к. в случае его утери или кражи пропадает доверие ко всем подчиненным SSL сертификатам.

Подчиненный удостоверяющий центр – удостоверяющий центр, который выдает SSL сертификаты клиентам. Сертификат подчиненного удостоверяющего центра подписывается закрытым ключом вышестоящего удостоверяющего центра. В качестве клиентов подчиненного удостоверяющего центра могут выступать удостоверяющие центы, web-серверы, web-обозреватели, почтовые клиенты, для которых генерируются сертификаты необходимого типа. Типы сертификатов определяются политикой удостоверяющего цента.

Из вышесказанного следует, что создается цепочка сертификатов от корневого удостоверяющего центра до конечного клиентского сертификата.

Рис 2 – Цепочка сертификатов

Для создания удостоверяющего центра воспользуемся двухуровневой схемой, представленной на рисунке 3. В данной схеме имеется корневой удостоверяющий центр (Root CA) и подчиненный удостоверяющий цент (Issuing CA). Корневой удостоверяющий центр подписывает собственный SSL сертификат и SSL сертификаты подчиненных удостоверяющего. Следует отметить тот факт, что чем больше уровней используется, тем более безопасной является схема.

В сертификатах корневого и подчиненного удостоверяющего центра в расширении прописаны точки распространения CRL. Точка распространения CRL представляет собой сетевой адрес. По данному адресу должен с заданной периодичностью выкладываться файл CRL, генерируемый специальным ПО.

Рис 3 – Двухуровневая схема удостоверяющего центра

Пример организации удостоверяющего центра на основе Microsoft CA можно прочитать в статье «Разворачивание цепочки центров сертификации на основе Microsoft CA».

Получение серверного SSL сертификата в удостоверяющем центре и конфигурирование контейнера сервлетов

Цифровой SSL сертификат сервера дает возможность создать защищенное соединение SSL, которое позволит передавать данные в шифрованном виде.

Для получения сертификата, который будет использоваться контейнером сервлетов, необходимо сгенерировать запрос на выдачу цифрового сертификата (англ. Certificate signing request, CSR) к удостоверяющему центру. Запрос содержит основные данные об организации и открытый ключ.

Основное поле, которое должно быть правильно заполнено называется Common Name (CN). В данном поле необходимо указать доменное имя или IP-адрес хоста, на котором располагается контейнер сервлетов.

Для генерации секретного и открытого ключей и запроса на SSL сертификат можно воспользоваться утилитой keytool, входящей в состав JDK (Java development kit).

В командной строке необходимо ввести следующую команду:

$JAVA_HOME\bin> keytool -genkey -alias -keyalg -keystore

Рис 4 – Создание хранилища SSL сертификатов утилитой keytool

Данная команда утилиты keytool создает хранилище сертификатов с именем , в котором хранятся закрытый ключ и самоподписной SSL сертификат, зашифрованные по алгоритму RSA. Обратиться к SSL сертификату можно по имени .

Во время создания хранилища утилитой keytool будет предложено ввести пароль на доступ к хранилищу, сведения об организации и пароль к секретному (закрытому) ключу. При ответе на вопрос утилиты keytool «What is your first and last name?» необходимо ввести доменное имя или ip-адрес хоста, т.к. значение ответа будет использовано в качестве поля CN SSL сертификата.

После того как утилитой keytool сгенерированно хранилище с ключами, следует сформировать запрос к удостоверяющему центру на подпись SSL сертификата. Это делается командой:

$JAVA_HOME\bin> keytool -certreq -keyalg RSA -alias -file -keystore

В файле сохраняется запрос на сертификат. После этого на сайте удостоверяющего центра заполняется специальная форма, в одно из полей которой копируется содержимое этого файла.

Для выдачи SSL сертификата организации удостоверяющий центр может потребовать учредительные документы, свидетельство о регистрации и др. При получении заявки на SSL сертификат удостоверяющий центр выполняет проверку, сравнивая данные в запросе на сертификат и присланных документах, после чего подписывает запрос. Подписанный запрос является сертификатом.

Рис 5 – Схема получения сертификата сервера

Получив сертификат из удостоверяющего центра его необходимо поместить в хранилище, предварительно добавив SSL сертификаты корневого и промежуточного удос товеряющих центров. Для добавления SSL сертификатов в хранилище следует воспользоваться следующими командами утилиты keytool:

1) добавление сертификата корневого удостоверяющего центра утилитой keytool: $JAVA_HOME\bin> keytool -import -trustcacerts -alias rootca -file -keystore

2) добавление сертификата промежуточного удостоверяющего центра утилитой keytool: $JAVA_HOME\bin> keytool -import -trustcacerts -alias subca -file -keystore

3) замена самоподписного сертификата сертификатом, подписанным в удостоверяющем центре (указывается значение параметра alias, которое использовалось при создании хранилища): $JAVA_HOME\bin> keytool -import -trustcacerts -alias -file -keystore

Чтобы в приложениях использовать защищенное соединение SSL необходимо сконфигурировать контейнер сервлетов. Для Apache Tomcat и JBoss необходимо в файле server.xml добавить следующее содержимое:

clientAuth="false" sslProtocol="TLS"

keystoreFile=""

keystorePass=""

keystoreType="JKS"

keyAlias=""

Данная запись позволяет контейнеру сервлетов устанавливать защищенное соединение, используя цифровой SSL сертификат, который располагается в хранилище С паролем по алиасу .

В приведенной конфигурации используется односторонняя аутентификация, т.е. предоставление цифрового SSL сертификата требуется только от сервера. Для создания двухсторонней аутентификации, т.е. когда и клиент предоставляет цифровой SSL сертификат, необходимо изменить конфигурацию контейнера сервлетов следующим образом:

maxThreads="150" scheme="https" secure="true"

clientAuth="true" sslProtocol="TLS"

keystoreFile="

keystorePass=""

keystoreType="JKS"

keyAlias=""

truststoreFile="

truststorePass="" truststoreType="JKS"

В данной конфигурации устанавливается параметр clientAuth=”true” и подключается хранилище доверенных сертификатов. Создание хранилища доверенных SSL сертификатов производится утилитой keytool так же, как и обычное хранилище. В него необходимо добавить сертификаты удостоверяющих центров, выдающих цифровые сертификаты, которым должен доверять контейнер сервлетов. В противном случае при аутентификации предоставляемые SSL сертификаты будут отклонены контейнером сервлетов, т.к. к ним не будет доверия.

Проверка отозванных сертификатов на сервере

Существует 3 способа проверки сертификата на отзыв: статическая проверка CRL, динамическая проверка CRL, проверка по протоколу OCSP. Рассмотрим эти способы подробнее.

1) Статическая проверка CRL

При использовании данного типа проверки администратору сервера необходимо в конфигурации прописать имя файла на локальном диске, где располагается список отозванных сертификатов. Данный список загружается с сетевого ресурса удостоверяющего центра.

Для подключения CRL в контейнерах сервлетов Apache Tomcat и Jboss следует у ssl-коннекторе добавить атрибут:

crlFile=”

Недостатком данного способа является необходимость постоянного контроля администратора за обновлением файла CRL.

2) Динамическая проверка CRL

Данный способ позволяет осуществлять проверку CRL автоматически. Для этого необходимо, чтобы в предоставляемом клиентом SSL сертификате в разделе расширений был прописан атрибут CRLDistributionPoint, в котором указывается URL-адрес, по которому расположен список отозванных сертификатов (CRL).

Чтобы выполнялась проверка клиентского SSL сертификата в CRL необходимо сконфигурировать два параметра для виртуальной машины Java. Эти параметры можно указать в скрипте запуска контейнера сервлетов. Для Apache Tomcat и Jboss под Windows это выглядит следующим образом:

set JAVA_OPTS=%JAVA_OPTS% -Dcom.sun.net.ssl.checkRevocation=true

Dcom.sun.security.enableCRLDP=true -Djava.security.debug=certpath

Параметр java.security.debug=certpath позволяет наблюдать в консоли запущенного контейнера проверку подлинности сертификата.

К недостаткам данного способа можно отнести задержку доступа к защищенному ресурсу, связанную с загрузкой большого по объему файла CRL.

3) Проверка с помощью протокола OCSP

Протокол OCSP (Online certificate status protocol) разработан в качестве альтернативы CRL. Данная проверка поддерживается технологией JSSE (Java Secure Socket Extension) начиная с версии JDK 5. OCSP работает в сочетании с CRL. Обращение к CRL происходит в случае возникновения ошибки при взаимодействии по OCSP. В случае, если OCSP определил статус SSL сертификата проверка CRL не осуществляется. Сертификат может обладать одним из трех статусов: аннулирован, нормальный, неизвестный.

Для проверки по OCSP сертификат должен содержать в разделе расширений атрибут AuthorityInfoAccess со значением URL-адреса OCSP-респондера.

OCSP-респондер – программное обеспечение, расположенное на сетевом ресурсе удостоверяющего центра, которое обрабатывает запросы на определение статуса сертификата и выдает результаты проверки.

Для того, чтобы виртуальная машина Java осуществляла проверку по OCSP необходимо установить свойство ocsp.enable=true. Данное свойство настраивается в файле JAVA_HOME\jre\lib\security\java.security. В данном файле можно прописать адрес OCSP-респондера в свойстве ocsp.responderURL. Это свойство будет использоваться в случае отсутствия URL респондера в SSL сертификате.

Получение клиентского SSL сертификата в удостоверяющем центре и конфигурирование web-обозревателя

Существуют ситуации, когда не только серверу необходимо подтвердить, что он является тем за кого себя выдает, но и когда сервер требует от клиента подтвердить свою личность цифровым сертификатом.

Получить клиентский SSL сертификат можно без самостоятельной генерации запроса, сделав это с помощью удостоверяющего центра. Для этого на сайте УЦ необходимо заполнить форму с указанием имени, фамилии, e-mail адреса и др. На основании этих данных будет сгенерирован запрос. В данной ситуации генерация секретного ключа возлагается на удостоверяющий центр. После проверки данных и подписи запроса, клиенту высылается файл, содержащий секретный ключ и сертификат, а так же файлы корневого и промежуточных удостоверяющих центров.

Получив файлы сертификатов необходимо настроить программное обеспечение, которое будет устанавливать защищенные соединения.

Рис 6 – Схема получения SSL сертификата клиента

В качестве примера произведем установку клиентского SSL сертификата в web-обозреватель Microsoft Internet Explorer. Для этого необходимо в меню выбрать Сервис > Свойства обозревателя. На закладке «Содержание» выбрать «Сертификаты…».

Рис 7 – Управление SSL сертификатами в MS Internet Explorer

Запускаем мастер импорта сертификатов, нажав на кнопку «Импорт…». В данном мастере указываем путь к сертификату корневого удостоверяющего центра. Далее выбираем хранилище «Доверенные корневые центры сертификации» для добавления в него сертификата.

Аналогичным образом добавляются сертификаты промежуточных центров сертификации в хранилище «Промежуточные центры сертификации» и клиентский сертификат в хранилище «Личные».

Рис 8 – Цепочка сертификации

Для просмотра содержимого сертификата, выбирается нужный SSL сертификат и нажимается кнопка «Просмотр».

Если получение клиентского сертификата происходит у известного удостоверяющего центра, то, как правило, его SSL сертификаты уже содержатся в хранилищах web-обозревателя и нет необходимости их добавлять. Следует только добавить клиентский сертификат.

Если сервер, с которым будет производиться взаимодействие, получал сертификат не у распространенного удостоверяющего центра, то серверный сертификат следует добавить в доверенные, чтобы web-обозреватель не выдавал сообщение о недоверии к такому сертификату.

Проверка отозванных сертификатов на клиенте

Если в качестве клиента использует web-обозреватель MS Internet Explorer, то его можно настроить, чтобы производилась проверка присланных сертификатов в CRL. Для этого необходимо в свойствах обозревателя перейти на закладку «Дополнительно» и отметить два атрибута «Проверять аннулирование сертификатов издателей» и «Проверять аннулирование сертификатов серверов».