Internetes hozzáférés beállítása

További Web Access Server beállítások

Biztonságos kapcsolat beállítása (Secure Socket Layers, SSL alapján)

Ha szükséges, beállíthatja a kapcsolatvédelmetwebelérési szerverrel DIRECTUM : A kommunikációs csatornákon továbbított információk titkosítva lesznek. A biztonságos kapcsolatok használatához tegye a következőket:

1. Módosítsa a webhozzáférési szerver konfigurációs fájlját:

· 1. lépés: Futtassa a Web Access Server konfigurációs segédprogramot C:\Program Files\DIRECTUM Company\WebAccessConfig\DirWebConfigurator.exe.

· 2. lépés: A "Válassza ki a Web Access Server webhelyét" ablak DIRECTUM":

a) a legördülő listában válassza ki a webelérési kiszolgáló webhelyét DIRECTUM . Alapértelmezés szerint a neve "Web Access Server". DIRECTUM";

b) kattintson a gombra rendben ;

· 3. lépés: A "Web Access Server Settings" ablak DIRECTUM ”, „Általános” lap:

a) a "Biztonságos kapcsolat" legördülő listában válassza ki a "Távoli" értéket. Ha biztonságos kapcsolatot kell létrehoznia és a felhasználók számára helyi hálózat, majd válassza ki a "Távoli és helyi" értéket;

b) kattintson a gombra rendben .

2. Állítsa be az IIS-t az SSL-lel való együttműködésre -kapcsolatok kiszolgáló hitelesítési tanúsítvány telepítésével. Ehhez egy tanúsítványt generálnak azzal a céllal, hogy "Azonosítást biztosít egy távoli számítógépről", amely lehetővé teszi a vállalati tanúsítványszolgáltatásba történő exportálást, amelynek eredményeként meg kell szereznie a *-ot. pfx -privát kulcs fájl.

3. Ha a tanúsítvány webszolgáltatást használja ablakok akkor tegye a következőket:

a) a tanúsítvány generálásakor adja meg a tanúsítvány lehetséges exportálásának lehetőségét. Miután a tanúsítványt telepítette a helyi rendszerre, megtekintheti a segítségével internet böngésző – „Internet Options” menüpont, „Tartalom” fül, gomb Tanúsítványok . Az exportáláshoz használja a gombot Export , jelezze Igen, exportálja a privát kulcsot, és adjon meg egy jelszót.

b) Importálja a tanúsítványt. Ehhez kattintson a gombra a webhely tulajdonságainak kártyájának "Könyvtár biztonsága" lapján Tanúsítványok és kövesse a képernyőn megjelenő utasításokat a tanúsítvány importálásához az előző lépésben beállított jelszóval. A tanúsítvány kézhezvétele után a 443-as biztonságos kapcsolati port létrejön és működik SSL lehetségessé válik.

4. A nyílt (nem biztonságos) kapcsolatok támogatásához be kell állítania az opciót Nyílt HTTP-kapcsolatok támogatásának engedélyezése a Webhely tulajdonságok Webhely lapján.

5. Ahhoz, hogy a bejelentkezési oldalon található hivatkozás segítségével telepíthessen hitelesítésszolgáltatói tanúsítványt, szüksége van arra a felhasználóra, aki az alkalmazáscsoportot futtatja " DIRECTUM ”, engedélyezze az „Olvasás” és „Tanúsítványkérés” lehetőséget a Hitelesítés-szolgáltató beépülő modulban a kívánt hitelesítés-szolgáltató tulajdonságainál a Biztonság lapon.

Lásd még:

Megjelent egy új könyvünk "Tartalommarketing in a közösségi hálózatokon: Hogyan kerülhetsz az előfizetők fejébe, és szerethetsz bele a márkádba.

A világ megszállottja az internetes biztonságnak. Ha trendben van, és kizárólag a Telegramban levelez, akkor olvassa el, hogyan hozhat létre biztonságos kapcsolatot a webhelyen. Mindenesetre jól fog jönni, és ha Ön egy webáruház, akkor egyáltalán nem nélkülözheti. Útközben beszéljünk a tanúsítványokról: mik ezek és miért van szükség rájuk.

Mi az a HTTPS

Ez egy biztonságos kapcsolati protokoll. Titkosítja a szerver és a felhasználó böngészője között kicserélt információkat – ez segít megvédeni a jelszavakat, hitelkártyaszámokat és címeket Email. A HTTPS használata erős, és egy kicsit vonzóbbá teszi a szem számára kereső motorok A Google a biztonságos webhelyeket előrébb sorolja, mint a nem biztonságos webhelyeket. A HTTPS engedélyezéséhez a webhelyen először telepítenie kell egy SSL-tanúsítványt a kiszolgálón.

Miért van szüksége SSL-tanúsítványra?

Egyedülálló digitális aláírást képez az oldalról, amely segíti a kapcsolat biztonságát. SSL-tanúsítvány nélkül nem fogja tudni elérni a HTTPS protokollt, bármennyire is próbálkozik. Tartalmaz:

• webhely domain;
• a tulajdonos cég teljes hivatalos neve;
• a cég fizikai címe;
• a tanúsítvány érvényességi ideje;
• SSL fejlesztői adatok.

Tanúsítványra is szüksége lesz bármely fizetési rendszerhez, például a Yandex.Money-hoz való csatlakozáshoz. A logika egyszerű – senki sem engedi, hogy mások pénzét kockáztasd.

Hogyan válasszunk SSL tanúsítványt

A védettség mértékétől függően két típusra oszthatók, ill.

Domainellenőrzés SSL

A legegyszerűbb lehetőség. A domain tulajdonjogának igazolása után fog működni. Ezt háromféleképpen teheti meg:

• E-mailen keresztül. Kapni fog egy e-mailt az ellenőrzési utasításokkal. Küldési címként vagy a Whois domain levelei, vagy az adminisztrátor vagy a webmester postafiókjai vannak kiválasztva.

• DNS-bejegyzésen keresztül. Ha beállított e-mail szervert, hozzon létre egy egyéni DNS-bejegyzést. Eszerint a rendszer megerősíti, hogy valóban Ön az oldal tulajdonosa. A módszer automatizált, és azoknak megfelelő, akiknek a Whois levelei el vannak rejtve a beállításokban.

• A hash fájlon keresztül. Helyezzen el egy speciális .txt fájlt a szerverére, hogy a hitelesítésszolgáltató megállapíthassa annak létezését.

Ez az ellenőrzés megfelelő, ha rendelkezik személyes blog vagy egy kis offline vállalkozás, mert nem teszi lehetővé az aldomainek védelmét és a pénzügyi tranzakciók lebonyolítását. Ráadásul a domain tisztaságának és gondolatainak megerősítéséhez nem kell semmi bonyolultat tennie, és a kész tanúsítvány gyorsan elkészül.

Üzleti érvényesítés

Ez a fajta SSL-tanúsítvány biztonságosabb, mert megerősíti, hogy a vállalat csatlakozik a webhelyhez. Ehhez több dokumentumot el kell küldenie az ellenőrző központba, és hívást kell fogadnia a vállalati számra. A Business Validation tanúsítványok 3 típusra oszthatók:

• Kiterjesztett érvényesítésű SSL. Ezek kiterjesztett érvényesítési tanúsítványok. Mindenkinek szüksége van rájuk, aki nagy pénzzel dolgozik: bankoknak, nagy webáruházaknak, pénzügyi cégeknek, fizetési rendszereknek.

• Helyettesítő SSL. Egy ilyen tanúsítvány magát a webhelyet és annak aldomainjeit is védi. Sőt, bármennyi lehet, és különböző szervereken is elhelyezkedhetnek. Szükséges, ha különböző regionális kötésekkel vagy projektekkel rendelkező aldomaineket használ.

• SAN SSL. Az ilyen típusú tanúsítvány fő előnye az alternatív domain nevek támogatása: külső és belső.

• Kód aláíró SSL. Megerősíti a kódot és szoftver termékek a weboldalról. Alkalmas bármilyen alkalmazás fejlesztői számára.

Telepíthetek ingyenes SSL-tanúsítványt a webhelyemre?

Igen. A legtöbb ilyen termék fizetős, de vannak olyan lehetőségek, amelyekért nem kell pénzt fizetni. Ezek alapvető, tartományban érvényesített tanúsítványok. Nem teszik lehetővé, hogy online pénztárgépet kössön az erőforráshoz, de meg tudják védeni a felhasználó kapcsolatát a szerverrel. Az ilyen SSL-ek alkalmasak kis információs webhelyek vagy offline vállalkozások számára. Példa erre az alap StartSSL tanúsítvány.

SSL-tanúsítvány telepítése

Először is létre kell hoznia egy CSR-kérelmet egy tanúsítványhoz. Tartalmaz minden információt a domain tulajdonosáról és a nyilvános kulcsról. A legtöbb SSL-szolgáltató lehetővé teszi ezt a tanúsítványrendelési folyamat részeként, de kérést generálhat a webszerver oldalon is.

CSR-kulcs generálásakor meg kell adnia:

• Szerver neve: "site.com" vagy "*.site.com", ha WIldcard tanúsítványt kap. A csillag a pont előtt tetszőleges számú karaktert jelent.
• Országkód: RU, UA, KZ és így tovább.
• Régió, például Szaratov régió.
• Város.
• A szervezet teljes neve vagy a webhely tulajdonosának neve.

A CSR-kérelem elküldésre kerül az ellenőrző központnak. Ennek eredményeként kap egy SSL-tanúsítványt és egy privát kulccsal rendelkező fájlt, amelyet nem lehet elveszíteni és nyilvánosan közzétenni.

Ezt követően telepítenie kell a tanúsítványt a webszerverre. Tekintsük az Apache és az nginx eseteit.

Apache

Ehhez az összes tanúsítványt fel kell töltenie a szerverre: elsődleges és köztes. Először is az utóbbira van szükséged a /usr/local/ssl/crt könyvtárban (alapértelmezés szerint használatban van, esetedben ez eltérhet). Az összes tanúsítvány ebben lesz tárolva.

Ezután töltse le a fő tanúsítványt, nyissa meg bármelyikben szöveg szerkesztőés másolja át a teljes tartalmat a „BEGIN” és „END” sorokkal együtt.

Az /ssl/crt/ könyvtárban hozzon létre egy vashsite.crt nevű fájlt, és illessze be a tanúsítvány tartalmát.

Helyezze át a privát kulcs fájlját a /usr/local/ssl/private/ könyvtárba

A VirtualHost fájlban adja hozzá a következő sorokat:

SSL Engine bekapcsolva

SSLCertificateKeyFile /usr/local/ssl/private/private.key

SSLCertificateFile /usr/local/ssl/crt/yoursite.crt

SSLCertificateChainFile /usr/local/ssl/crt/intermediate.crt

Meg kell adnia a fájlok érvényes elérési útját. Mentse el a változtatásokat, és indítsa újra a szervert.

nginx

Itt az SSL-tanúsítvány telepítésének folyamata kissé eltér. Először is egyesítenie kell a gyökér-, köztes- és SSL-tanúsítványokat. Ehhez hozzon létre egy vashsite.crt nevű fájlt, és illessze be oda a tanúsítványok tartalmát a "BEGIN" és "END" sorokkal együtt (sorrend: SSL, intermediate, root). Nem lehetnek üres sorok.

Majdnem ugyanezt kell tenni a privát kulccsal is - hozzon létre egy vashsite.key fájlt, és vigye át a szolgáltató webhelyéről letöltött kulcs tartalmát.

Helyezze mindkét fájlt (a yoursite.crt és a yoursite.key) az /etc/ssl/ könyvtárba (ez az alapértelmezett, de változhat).

A konfigurációs fájlban szerkessze a VirtualHost. Hozzáadás:

szerver(
figyelj 443;
ssl be;

ssl_certificate /etc/ssl/yoursite.crt
ssl_tanúsítvány_kulcs /etc/ssl/yoursite.key;
szerver_neve sajatwebhely.com;

Ha a tanúsítványt és kulcsot tartalmazó könyvtár eltér az alapértelmezetttől, módosítsa azt.

Most mentse a módosításokat, és indítsa újra az nginx-et.

Működő HTTPS kapcsolat létrehozása

Az SSL-tanúsítványok telepítése után a webhely két címen lesz elérhető: http://yoursite.com és https://yoursite.com. Csak az utolsót kell megtartania. Ehhez állítson be egy robots.txt fájlt, és végezzen 301-es átirányítást a régi webhelyről.

A "robotokban" frissítenie kell a gazdagépet. Példa: Host: https://yoursite.com. Az átirányítás beállításához hozzá kell adnia a következő sorokat a .htacsess fájlhoz:

RewriteCond %(SERVER_PORT) !^443$

RewriteRule ^(.*)$ https://yoursite.com/$1 .

Most már csak tájékoztatni kell a keresőket a változásokról. A "Yandex" webmesterében adjon hozzá egy https-t tartalmazó oldalt, és adja meg a régi webhely fő oldalaként.

Eredmények

Kitaláltuk, mi az a https, hogyan kell telepíteni a webhelyére, és hogyan kell mindent helyesen beállítani. Ez a protokoll már a csatlakozási szabvány lett, és idővel minden élő webhely át fog váltani rá. Ezt a folyamatot a keresőmotorok ösztönzik – a beépített HTTPS biztonságos kapcsolati protokoll jelenléte az egyik rangsorolási tényezővé vált. Ezért, ha fel akar jutni a csúcsra, akkor telepítenie kell.

Fizetési rendszerek beállítása

A fizetési rendszerek felállítása nagymértékben függ attól, hogy maga a fizetési rendszer üzemeltetője hogyan kommunikál termináljaival. Általános szabály, hogy ha városi fizetési terminálokat használnak, akkor biztonságos SSL kapcsolatot használnak, és engedélyeznie kell és be kell állítania az SSL WEB szervert a terminálokkal való kommunikációhoz az alábbiak szerint. Ha az internetes webhelyeket fizetésre használják, akkor ilyen esetekben milyen gyakran kell pontosan beállítani http szerver a szén-dioxid-számlázásról. A szén-dioxid-számlázás beállítása előtt először egyeztessen fizetési rendszer üzemeltetőjével, hogy melyik kommunikációs protokollon keresztül csatlakozik a fizetési termináljaihoz.
A fizetési SSL WEB szervernek több paramétere van, amelyek jelentését az alábbiakban ismertetjük.

SSL WEB-szerver engedélyezése fizetéshez- Ha a fizetési rendszer üzemeltetője SSL-en keresztül dolgozik fizetési terminálokkal, akkor engedélyezni kell az SSL WEB szervert.
IP-cím a HTTPS kapcsolathoz- terminálok vagy fizetési rendszerek telephelyeinek csatlakozási címe az ügyfélnek történő fizetéshez a Carbon Billing adatbázisban.
Port a HTTPS kapcsolathoz- Alapértelmezésben a 1443-as port használatos. Ha módosítani kell ezen a porton, akkor lehetőség szerint adjon meg 1024-nél magasabb portokat.
Engedélyezett ügyfélcímek az SSL WEB szerverhez
A szerver SSL-tanúsítványának tartománya- itt adja meg nyilvános domainjét vagy a szén-dioxid-számlázáson a fizetési szerverhez külön regisztrált domainjét. Ez a lehetőség nem kötelező, és lehetővé teszi, hogy IP-cím helyett tartománynév használatával lépjen kapcsolatba az SSL WEB-kiszolgálóval.
Ügyféltanúsítvány megkövetelése és ellenőrzése- Mindenképpen ellenőrizze, hogy beállítja-e a pénztáros webes felületet. Ha beállítja a munkát fizetési rendszer, majd adja meg az ellenőrzés szükségességét ügyféltanúsítvány a fizetési rendszer üzemeltetőjétől.
Hozzon létre ügyféltanúsítványt- Ügyféltanúsítvány készül, amelyet át kell adni a fizetési rendszer üzemeltetőjének. A .pfx utótagú tanúsítvány elérhető lesz a szerveren a /var/lib/usrcert könyvtárban, és a fájlnév megegyezik a tanúsítvány létrehozásakor megadott CN-névvel. A tanúsítványfájlt a winscp program segítségével töltheti le a szerverről.

Fizetéshez HTTP WEB szerver beállítása esetén.

HTTP-kiszolgáló engedélyezése fizetéshez- Ha a fizetési rendszer üzemeltetője nyitott http kapcsolaton keresztül dolgozik fizetési terminálokkal, akkor engedélyezze a HTTP szervert.
IP-cím a HTTP-kapcsolathoz- Webszerver címe terminálok vagy fizetési szerverek csatlakoztatásához.
HTTP csatlakozási port- alapértelmezés szerint a 1444-es portot használjuk. Ha ezt a portot módosítani kell, akkor lehetőség szerint adjon meg 1024-nél nagyobb portokat.
Engedélyezett ügyfélcímek a HTTP-kiszolgálóhoz- ha nincs megadva, akkor a hozzáférés mindenki számára nyitva áll.

Ha ezen a fülön az alábbiakban felsorolt ​​fizetési rendszer-üzemeltetők szolgáltatásait veszi igénybe, akkor engedélyezze a hozzájuk tartozó menüpontokat. A jövőben ezek a jelölőnégyzetek meghatározott rendszerbeállításokat állítanak be minden egyes használt operátorhoz. Ha az Ön szolgáltatója nem tartozik az alábbiakban felsoroltak közé, akkor ne vegye fel egyiket sem.

A Robokassa fizetési rendszer beállításakor ne felejtse el megadni a terminál és a szerver közötti kapcsolat létrehozásához szükséges titkos jelszót.

Az ssl-tanúsítványok subjectAltName paraméterének kritikussága

Amikor SSL-tanúsítványokat generál egy szerverhez, például egy https fizetési szerverhez, a tárgyAltName kiterjesztést használja a rendszer. A múltban alapértelmezés szerint a tanúsítványban ez a kiterjesztés kritikusnak van megjelölve, ami problémákhoz vezethet a számlázás egyes fizetési rendszerekkel való integrálásakor.

Az ügyféltanúsítványok generálásakor a subjectAltName nincs beállítva.

A paraméter kritikusságát megszünteti a helyi konzol "Szerver konfigurációja - További beállítások - Beállítások fejlesztők számára - Ne tegye kritikussá az AltName SSL paraméterét" - opció.

A beállítás engedélyezése után az összes újonnan generált szervertanúsítvány egy nem kritikus tárgyAltName kiterjesztéssel jön létre. A https fizetési szerver régi tanúsítványát manuálisan újra kell generálni az alábbiak szerint:

1. Csatlakoztassa újra a konfigurációt tartalmazó partíciót az rw-re (ehhez engedélyezni kell a távsegítő módot):

Mount -o rw,remount /mnt/bk_disc/

2. Nyissa meg az /etc/ics/ics.conf fájlt egy szerkesztővel, és írja be a sort az MHTTPD_F_CERT karakterlánccal.

3. Indítsa újra a https fizetési szervert:

/etc/init.d/mhttpd_F újraindítás

A https fizetési szerveren végzett tanúsítvány módosítása nem érinti a pénztárosok vagy fizetési rendszerek korábban generált ügyféltanúsítványait.

Fizetések fogadásának beállítása http-n keresztül titkosítás nélkül

Ha szükséges a nem biztonságos http protokollt használó fizetési rendszerek fogadása, a következő beállításokat kell elvégezni:

1) Engedélyezze a http szervert a kifizetések fogadására.

2) Adja meg azt az IP-címet, amelyen a kéréseket fogadni kell. Ennek a címnek a szén-dioxid-számlázási felületek egyikéhez kell tartoznia:

Ezután adja meg azt a portot, amelyen a szerver fogadja a kéréseket.

3) Készítsen egy listát azokról az IP-címekről, amelyekről a rendszer fogadja a kéréseket. Ez nagyon fontos lépés mivel a http nem jelenti a fizetési rendszer tanúsítványon keresztüli engedélyezését:

Alapértelmezés szerint a Robokassa és az Unikassa fizetési rendszer protokolljai működhetnek HTTP-vel. Ha például el kell fogadnia a http-re vonatkozó kéréseket az OSMP protokoll használatával, akkor a következőket kell tennie:

1) Töltse be a szervert az ud. asszisztens, és csatlakozzon ssh-n keresztül rootként.

2) Futtassa a következő parancsokat:

Mount -o rw,remount /mnt/ro_disc chattr -i -R /var /www/fiscal/htdocs/http/cp /var /www/fiscal/htdocs/osmp.php /var /www/fiscal/htdocs/http/ osmp.php chown mhttpd_F:mhttpd_F /var /www/fiscal/htdocs/http/osmp.php

Módosítania kell a sort a szkriptben:

Mcedit /var /www/fiscal/htdocs/http/osmp.php sor: include "../include/class_page.php"; cserélje ki: include "../../include/class_page.php";

Mentse el a fájlt, és lépjen ki a szerkesztőből.

Egy puha újraindítás után az OSMP fizetési elfogadó modul elérhető lesz a http://1.1.1.1:1444/osmp.php címen a 2.2.2.2 IP-címről.

Hozzáférés negatív egyenleggel

Kétféleképpen valósítható meg:

• A szabályok és tarifahálózatok szerkesztőjén keresztül;
• Keresztül [további beállítások fájl ics_tune.sh]

A BIZTONSÁGOS SSL-CSATLAKOZÁS DIGITÁLIS IGAZOLÁSA

A böngésző és a webszerver közötti biztonságos adatátvitelhez a https adatátviteli protokollt használják, amely biztonságos SSL kapcsolaton alapul.

Ez a cikk elmondja Általános információ a nyilvános kulcsú titkosításról, a digitális tanúsítványokról, a nyilvános kulcsú infrastruktúráról (PKI - Public Key Infrastructure), a tanúsító hatóság létrehozásáról, az Apache Tomcat és JBoss szervlet konténerek konfigurálásáról egy- és kétirányú biztonságos kapcsolat létrehozásához, tanúsítványtároló létrehozásáról és hogyan SSL-tanúsítvány létrehozásához a keytool segédprogramok segítségével. Azt is megtudhatja, hogyan ellenőrizheti a visszavont tanúsítványokat Java-ban (CRL-listák, OCSP-protokoll), és hogyan konfigurálhatja a böngészőt a tanúsítványokkal való együttműködésre.

Az üzenetek hálózaton keresztüli biztonságos továbbításának modern módja a nyilvános kulcsú titkosítási módszer. A módszer lényege egy kulcspár jelenléte: nyilvános és privát. A nyilvános és privát kulcsok olyan algoritmusok, amelyek az eredeti üzenetet titkosított üzenetté, a titkosított üzenetet pedig eredetivé alakítják.

A nyilvános kulcs szabadon elérhető, és bárki számára elérhető, aki titkosított üzenetet szeretne küldeni. A feladó, miután titkosította az üzenetet, magabiztosan továbbíthatja azt egy nem biztonságos kommunikációs csatornán, és biztos lehet benne, hogy ezt az üzenetet csak a címzett tudja elolvasni.

A privát kulcsot a kulcspár tulajdonosa szigorúan titokban tartja. A nyilvános kulccsal titkosított üzenet fogadásakor a címzett a titkos kulcsot használja a titkosítás visszafejtéséhez. Mivel a privát kulcsot csak az üzenet címzettje ismeri, senki más nem tudja elolvasni, ami garantálja az üzenet titkosságát.

A privát kulccsal titkosított üzenetet bárki visszafejtheti, aki rendelkezik nyilvános kulccsal.

A titkosítási algoritmus alapján biztonságos SSL kapcsolat jön létre.

Digitális tanúsítvány

A digitális tanúsítvány egy elektronikus dokumentum, amely azonosítja a tulajdonost. Alapvető információkat tartalmaz a tulajdonosról, a tulajdonos nyilvános kulcsáról, a lejárati dátumokról, digitális aláírás kibocsátó (kiadó) és egyéb szükséges információk. A digitális tanúsítványoknak van egy kiterjesztési szakasza (nem kötelező), amely tartalmazza a visszavonási lista terjesztési pontjait, a kiadói információkat és egyebeket. A digitális tanúsítvány lehetővé teszi egy biztonságos SSL kapcsolat. Az SSL-tanúsítvány létrehozásának módját ebben a cikkben később ismertetjük.

A fenti tanúsítványok főbb jellemzői:

A tanúsító hatóság SSL-tanúsítványának tartalmaznia kell a CA mezőt IGAZ értékre állítva, amely lehetővé teszi más tanúsítványok kiadását, pl. ez a tanúsítvány nem végleges a láncban.

A CN (közönséges név) mezőben szereplő szerver SSL-tanúsítványoknak tartalmazniuk kell Domain név vagy az ip-cím, amelyen a szerver elérhető, ellenkező esetben a tanúsítvány érvénytelenné válik;

A kliens SSL-tanúsítványai tartalmazzák az ügyfél e-mail címét, kereszt- és vezetéknevét. A szervertanúsítvánnyal ellentétben a CN mező nem kritikus a tartalom szempontjából, és tartalmazhat egy kereszt- és vezetéknevet, valamint egy e-mail címet is.

A digitális SSL-tanúsítvány a mezőiben meghatározott érvényességi időn belül érvényesnek minősül. Így a tanúsítvány nem használható fel a kezdő dátum előtt, és a lejárati dátum után, mert. a vele kapcsolatba kerülő rendszerek bizalmatlanságukat jelentik vele szemben.

Vannak helyzetek, amikor a felhasználónak vagy a tanúsítvány kibocsátójának fel kell függesztenie vagy teljesen le kell állítania azt. Tegyük fel, hogy a biztonságosan tárolandó privát kulcs elveszett, vagy behatolók hozzáfértek. Ilyen helyzetben a felhasználónak fel kell vennie a kapcsolatot a tanúsítvány kibocsátójával (kiadójával), hogy az megszüntesse az érvényességét. Ezenkívül a kiadó visszavonhatja a tanúsítványt, ha kiderül, hogy az ügyfél hamis adatokat adott meg magáról. Ebből a célból egy speciális lista jön létre, az úgynevezett tanúsítvány visszavonási lista (CRL). Ez a lista tartalmazza a tanúsítvány sorszámát, lejárati idejét és a visszavonás okát. Attól a pillanattól kezdve, hogy a tanúsítvány belép a CRL-be, az érvénytelennek minősül, és a kiadó nem vállal felelősséget az ilyen tanúsítvány tartalmáért. A CRL-lista ellenőrzésének egyik módja az OCSP protokoll, de ehhez szükség van egy OCSP válaszadó jelenlétére a hitelesítési hatóságnál.

Nyilvános kulcsú infrastruktúra (PKI)

A nyilvános kulcsú infrastruktúra (PKI) fő feladata a digitális tanúsítványok kiadására vonatkozó szabályzat meghatározása.

Az SSL-tanúsítványok kiadásához és visszavonásához a visszavonási listák (CRL-ek) létrehozása speciális követelményeket igényel szoftver(TOVÁBB). Ilyen szoftver például a Microsoft CA (az MS Windows Server 2000/2003/2008 része), az OpenSSL (unix-szerű operációs rendszerekre terjesztve). Ez a szoftver a tanúsító központ berendezésén található.

A hitelesítésszolgáltató (CA) egy olyan szervezet, amely az ügyfél által megadott adatok alapján digitális SSL-tanúsítványokat bocsát ki. Az SSL-tanúsítványban szereplő adatok valódiságáért a hitelesítés-szolgáltató teljes mértékben felelős, ami azt jelenti, hogy a tanúsítvány tulajdonosa pontosan az, akinek állítja magát.

A világon a leggyakoribb CA-k a Verisign és a Comodo. Ezekben a CA-tanúsítványokban a böngészők és a legtöbb kiszolgálószoftver 99%-a megbízható. A tanúsító hatóság létrehozását az alábbiakban ismertetjük.

Biztonságos SSL kapcsolat kétirányú hitelesítéssel

A biztonságos SSL-kapcsolatot leggyakrabban az e-kereskedelemben használják. Példaként vegye figyelembe az áruk elektronikus áruházon keresztül történő vásárlását. Vevő a számok és kódok feltüntetésével bankkártyák, biztos akar lenni abban, hogy nem kerülnek támadó kezébe. Ezért a szerver úgy hitelesíti magát, hogy tanúsítványt ad át az ügyfélnek. Ennek a hitelességnek a garanciája a tanúsító hatóság. Az ügyféladatokat a szerver nyilvános kulcsával titkosítjuk. Ezeket az adatokat csak a szerveren lévő privát kulccsal lehet visszafejteni. Ezért az ügyfél nem tarthat attól, hogy egy támadó elkapja az adatait, de mégsem tudja visszafejteni azokat.

Az ügyfél SSL-tanúsítványa olyan esetekben használatos, amikor a kiszolgálónak meg kell erősítenie, hogy az ügyfél az, akinek állítja magát. Például egy bank hálózati hozzáférést biztosít személyes számla kezeléséhez. Meg akarja védeni magát, és biztos akar lenni abban, hogy a fiók tulajdonosa veszi fel a kapcsolatot vele, nem pedig egy bejelentkezési nevet és jelszót szerzett támadó. Ebben a helyzetben a kliens megadja nyilvános kulcsát a szervernek, és a szervertől kapott összes adatot csak a kliens tudja visszafejteni, senki más, mert ő a privát kulcs tulajdonosa.

Az ábra egy diagram, amely bemutatja a biztonságos SSL kapcsolat létrehozásának lépéseit.

1. ábra – Kétirányú hitelesítéssel rendelkező biztonságos SSL kapcsolat létrehozásának sémája

Amikor egy ügyfél megpróbál hozzáférni egy védett erőforráshoz, a kiszolgáló elküldi a digitális tanúsítványát. A tanúsítvány kézhezvétele után az ügyfél ellenőrzi azt. Az ellenőrzés a következőképpen zajlik: az érvényesség kezdő és záró dátuma nem lehet lejárt, a tanúsítvány kiállítója megbízható, a tanúsítvány nem lehet a CRL-ben. Ha az ellenőrzés sikertelen, a kapcsolatlétesítési folyamat megszakad. Ha az érvényesítési feltételek teljesülnek, akkor a kliens elküldi a tanúsítványát a szervernek. A szerver hasonló ellenőrzést végez. Ha az ellenőrzés sikertelen, a szerver megtagadja a hozzáférést az erőforrásaihoz. A sikeres ellenőrzést követően biztonságos kapcsolat jön létre, és az adatok titkosított formában kerülnek továbbításra.

Ebben a sémában a továbbított adatok kettős titkosításúak. A kliens az üzenetet a szerver nyilvános kulcsával, majd saját privát kulcsával titkosítja. Az üzenet fogadásakor a szerver visszafejti az üzenetet a kliens nyilvános kulcsával, majd a privát kulcsával. Így a szerver és a kliens hitelesíti magát egymás előtt, mert csak ők tudják visszafejteni a kapott adatokat.

Meg kell jegyezni, hogy ennek a technikának a használata csökkenti az adatcsere sebességét, mivel A titkosítási/dekódolási műveletek további időt igényelnek, és végrehajtásuk sebessége a számítási erőforrások teljesítményétől függ.

Tanúsító hatóság létrehozása

Tesztelési célból, vagy ha nem célszerű digitális tanúsítványt vásárolni, létre kell hoznia saját CA-t.

A gyökér CA olyan CA, amelyben mindenki megbízik. SSL tanúsítvánnyal rendelkezik, amely saját privát kulccsal van aláírva. Az ilyen SSL-tanúsítványokat önaláírtnak nevezzük.

A gyökér CA privát kulcsát nagyon biztonságosan kell tartani, mert ha elveszik vagy ellopják, az összes alárendelt SSL-tanúsítványba vetett bizalom elveszik.

Az alárendelt CA olyan CA, amely SSL-tanúsítványokat ad ki az ügyfeleknek. Az alárendelt hitelesítés-szolgáltató tanúsítványát a felettes hitelesítés-szolgáltató magánkulcsával írják alá. Tanúsítási központok, webszerverek, webböngészők, levelezőkliensek, amelyhez a szükséges típusú tanúsítványok generálódnak. A tanúsítványok típusait a tanúsító hatóság szabályzata határozza meg.

A fentiekből következik, hogy egy tanúsítványlánc jön létre a gyökér CA-tól a végső ügyféltanúsítványig.

2. ábra – Tanúsítványlánc

Hitelesítés-szolgáltató létrehozásához a 3. ábrán látható kétszintű sémát fogjuk használni. Ennek a sémának van egy gyökér hitelesítési hatósága (Root CA) és egy alárendelt hitelesítési hatósága (Kiadó CA). A gyökér CA aláírja saját SSL-tanúsítványát és az alárendelt CA-k SSL-tanúsítványait. Meg kell jegyezni, hogy minél több szintet használnak, annál biztonságosabb a rendszer.

A gyökér- és alárendelt tanúsító hatóság tanúsítványaiban a CRL terjesztési pontok a bővítményben vannak regisztrálva. A CRL terjesztési pont egy hálózati cím. Ezen a címen egy speciális szoftver által generált CRL fájlt kell feltölteni adott gyakorisággal.

3. ábra – A tanúsító központ kétszintű sémája

Példa egy tanúsító központ megszervezésére a alapú Microsoft A CA megtalálható a „Microsoft CA-n alapuló hitelesítésszolgáltatói lánc telepítése” című cikkben.

Szerver SSL-tanúsítványának beszerzése a CA-tól és a Servlet-tároló konfigurálása

A digitális SSL szervertanúsítvány lehetővé teszi biztonságos SSL kapcsolat létrehozását, amely lehetővé teszi az adatok titkosított formában történő átvitelét.

A szervlet-tároló által használt tanúsítvány beszerzéséhez létre kell hoznia egy tanúsítvány-aláírási kérelmet (CSR) a hitelesítésszolgáltatónak. A kérelem alapvető információkat tartalmaz a szervezetről és a nyilvános kulcsról.

A fő mezőt, amelyet helyesen kell kitölteni, köznévnek (CN) nevezik. Ebben a mezőben meg kell adnia annak a gazdagépnek a tartománynevét vagy IP-címét, ahol a szervlet-tároló található.

Privát és nyilvános kulcs létrehozásához és SSL-tanúsítvány kéréséhez használhatja a JDK-ban (Java fejlesztőkészletben) található keytool segédprogramot.

NÁL NÉL parancs sor be kell írnia a következő parancsot:

$JAVA_HOME\bin> keytool -genkey -alias -keyalg -kulcstár

4. ábra – SSL-tanúsítványtároló létrehozása a Keytool segédprogrammal

Ez a keytool parancs létrehoz egy nevű tanúsítványtárolót , amely a privát kulcsot és az önaláírt SSL-tanúsítványt tárolja, RSA algoritmussal titkosítva. Az SSL-tanúsítványt név szerint érheti el .

Az adattár létrehozása során a keytool segédprogram kéri a lerakat eléréséhez szükséges jelszó megadását, a szervezetre vonatkozó információkat, valamint a titkos (magán) kulcshoz tartozó jelszót. Amikor válaszol a kulcsfontosságú kérdésre: "Mi a vezeték- és keresztneve?" meg kell adnia a gazdagép domain nevét vagy ip-címét, mert a válaszérték lesz az SSL-tanúsítvány CN mezője.

Miután a Keytool segédprogram létrehozta a kulcstárolót, kérni kell a hitelesítésszolgáltatótól egy SSL-tanúsítvány aláírására. Ez a következő paranccsal történik:

$JAVA_HOME\bin> keytool -certreq -keyalg RSA -alias - fájl -kulcstár

Fájlban a tanúsítványkérés mentésre kerül. Ezt követően a tanúsító központ honlapján egy speciális űrlapot töltenek ki, és ennek a fájlnak a tartalmát bemásolják az egyik mezőbe.

Az SSL-tanúsítvány szervezet számára történő kiadásához a hitelesítő központ kérhet létesítő dokumentumokat, regisztrációs tanúsítványt stb. Az SSL-tanúsítvány iránti kérelem beérkezésekor a hitelesítési központ a tanúsítványkérelemben szereplő adatok és a küldött dokumentumok összehasonlításával végzi el az ellenőrzést. , majd aláírja a kérést. Az aláírt kérelem egy tanúsítvány.

5. ábra - Szervertanúsítvány beszerzési sémája

A hitelesítésszolgáltatótól kapott tanúsítványt a gyökér és a köztes hitelesítésszolgáltató SSL tanúsítványának hozzáadása után el kell helyezni az áruházba. Ha SSL-tanúsítványokat szeretne hozzáadni a tárolóhoz, használja a keytool segédprogram következő parancsait:

1) a gyökér CA tanúsítványának hozzáadása a keytool segédprogrammal: $JAVA_HOME\bin> keytool -import -trustcacerts -alias rootca -file -kulcstár

2) egy köztes CA-tanúsítvány hozzáadása a keytool segédprogrammal: $JAVA_HOME\bin> keytool -import -trustcacerts -alias subca -file -kulcstár

3) önaláírt tanúsítvány cseréje hitelesítésszolgáltatónál aláírt tanúsítványra (az alias paraméter értéke megadva, amit az áruház létrehozásakor használtunk): $JAVA_HOME\bin> keytool -import -trustcacerts -alias - fájl -kulcstár

Ahhoz, hogy az alkalmazások biztonságos SSL-kapcsolatot tudjanak használni, be kell állítani a szervlet-tárolót. Apache Tomcat és JBoss esetén adja hozzá a következő tartalmat a server.xml fájlhoz:

clientAuth="false" sslProtocol="TLS"

keystoreFile=" "

keystorePass=" "

keystoreType="JKS"

keyAlias=" "

Ez a bejegyzés lehetővé teszi a servlet-tároló számára, hogy biztonságos kapcsolatot létesítsen egy digitális SSL-tanúsítvány segítségével, amely az áruházban található Jelszóval álnévvel .

A fenti konfiguráció egyirányú hitelesítést használ, azaz. digitális SSL-tanúsítvány megadása csak a szervertől szükséges. Kétirányú hitelesítés létrehozásához, pl. ha a kliens digitális SSL-tanúsítványt is biztosít, akkor a következőképpen kell módosítania a szervlet tároló konfigurációját:

maxThreads="150" schema="https" secure="true"

clientAuth="true" sslProtocol="TLS"

keystoreFile="

keystorePass=" "

keystoreType="JKS"

keyAlias=" "

truststoreFile="

truststorePass=" "truststoreType="JKS"

Ebben a konfigurációban a clientAuth=”true” paraméter be van állítva, és a megbízhatósági tároló csatlakozik. A megbízható SSL-tanúsítványok tárolójának létrehozását a keytool segédprogram ugyanúgy végzi el, mint egy hagyományos tárolót. Hozzá kell adnia a digitális tanúsítványokat kibocsátó hitelesítésszolgáltatók tanúsítványait, amelyekben a szervlet-tárolónak megbíznia kell. Ellenkező esetben az SSL által biztosított tanúsítványokat a szervlet-tároló elutasítja a hitelesítés során. nem fognak megbízni.

A visszavont tanúsítványok ellenőrzése a szerveren

Háromféleképpen érvényesíthető a tanúsítvány visszavonás céljából: statikus CRL-érvényesítés, dinamikus CRL-ellenőrzés és OCSP-ellenőrzés. Tekintsük ezeket a módszereket részletesebben.

1) Statikus CRL ellenőrzés

Az ilyen típusú ellenőrzés használatakor a szerver adminisztrátorának meg kell adnia a konfigurációban a helyi meghajtón található fájl nevét, ahol a visszavont tanúsítványok listája található. Ez a lista a hitelesítés-szolgáltató hálózati erőforrásáról tölthető le.

Ha CRL-t szeretne csatlakoztatni Apache Tomcat és Jboss szervlet-tárolókban, adja hozzá a következő attribútumot az ssl-csatlakozóhoz:

crlFile=”

Ennek a módszernek a hátránya, hogy a rendszergazdának folyamatosan figyelnie kell a CRL fájl frissítését.

2) Dinamikus CRL ellenőrzés

Ez a módszer lehetővé teszi a CRL automatikus ellenőrzését. Ez megköveteli, hogy az ügyfél által biztosított SSL-tanúsítvány kiterjesztések szakaszában a CRLDistributionPoint attribútum szerepeljen, amely megadja azt az URL-t, ahol a tanúsítvány-visszavonási lista (CRL) található.

Ahhoz, hogy a kliens SSL-tanúsítványt érvényesítse a CRL-ben, két paramétert kell konfigurálni a Java virtuális géphez. Ezeket a beállításokat a szervlet tároló indító parancsfájljában lehet megadni. Az Apache Tomcat és a Jboss Windows rendszeren a következőképpen néz ki:

set JAVA_OPTS=%JAVA_OPTS% -Dcom.sun.net.ssl.checkRevocation=true

Dcom.sun.security.enableCRLDP=true -Djava.security.debug=certpath

A java.security.debug=certpath beállítás lehetővé teszi a tanúsítványhitelesítés megfigyelését a futó tároló konzoljában.

Ennek a módszernek a hátrányai közé tartozik a nagy CRL-fájlok letöltésével kapcsolatos védett erőforrásokhoz való hozzáférés késése.

3) Érvényesítés OCSP protokollal

Az OCSP-t (Online Certificate Status Protocol) a CRL alternatívájaként fejlesztették ki. Ezt az ellenőrzést a JSSE (Java Secure Socket Extension) technológia támogatja a JDK 5 óta. Az OCSP a CRL-lel együtt működik. A CRL akkor érhető el, ha hiba történik az OCSP kommunikáció során. Ha az OCSP meghatározta az SSL-tanúsítvány állapotát, a CRL-ellenőrzés nem történik meg. Egy tanúsítvány három állapotú lehet: visszavont, normál, ismeretlen.

Az OCSP érvényesítéséhez a tanúsítványnak tartalmaznia kell egy AuthorityInfoAccess attribútumot a kiterjesztési szakaszban az OCSP válaszadó URL-címének értékével.

Az OCSP Responder egy olyan szoftver, amely egy hitelesítés-szolgáltató hálózati erőforrásán található, és feldolgozza a tanúsítvány állapotának meghatározására irányuló kéréseket, és ellenőrzési eredményeket ad ki.

Ahhoz, hogy a Java virtuális gép ellenőrizni tudja az OCSP-t, be kell állítania az ocsp.enable=true tulajdonságot. Ez a tulajdonság a JAVA_HOME\jre\lib\security\java.security fájlban van beállítva. Ebben a fájlban megadhatja az OCSP válaszadó címét az ocsp.responderURL tulajdonságban. Ezt a tulajdonságot a rendszer akkor használja, ha nincs válasz URL-címe az SSL-tanúsítványban.

Kliens SSL-tanúsítvány beszerzése a hitelesítésszolgáltatótól és a webböngésző konfigurálása

Vannak olyan helyzetek, amikor a szervernek nem csak azt kell igazolnia, hogy kinek mondja magát, hanem akkor is, amikor a kiszolgáló megköveteli az ügyféltől, hogy digitális tanúsítvánnyal igazolja kilétét.

Ügyfél SSL-tanúsítványt szerezhet anélkül, hogy saját maga generálna kérést, ha ezt egy hitelesítésszolgáltató segítségével teszi meg. Ehhez a CA honlapján egy űrlapot kell kitöltenie, amelyen feltünteti a nevet, vezetéknevet, e-mail címet stb. Ezen adatok alapján kérést generálunk. Ebben a helyzetben a titkos kulcs generálása hozzá van rendelve a hitelesítési hatósághoz. Az adatok ellenőrzése és a kérelem aláírása után az ügyfél megkapja a titkos kulcsot és a tanúsítványt tartalmazó fájlt, valamint a gyökér és a köztes hitelesítő hatóság fájljait.

A tanúsítványfájlok kézhezvétele után konfigurálnia kell a szoftvert, amely biztonságos kapcsolatokat hoz létre.

6. ábra – SSL kliens tanúsítvány beszerzési sémája

Példaként telepítsünk egy ügyfél SSL-tanúsítványt egy Microsoft webböngészőbe internet böngésző. Ehhez válassza az Eszközök > Internetbeállítások menüpontot a menüből. A "Tartalom" lapon válassza a "Tanúsítványok ..." lehetőséget.

7. ábra – SSL-tanúsítványok kezelése MS Internet Explorerben

Indítsa el a Tanúsítványimportáló varázslót az "Importálás..." gombra kattintva. Ebben a varázslóban adja meg a gyökér CA-tanúsítvány elérési útját. Ezután válassza ki a Trusted Root Certification Authorities tárolót a tanúsítvány hozzáadásához.

Hasonlóképpen, a köztes CA-k tanúsítványai hozzáadódnak a "Köztes CA-k" tárolóhoz, és egy ügyféltanúsítvány a "Személyes" tárolóhoz.

8. ábra - Tanúsítási lánc

A tanúsítvány tartalmának megtekintéséhez válassza ki a kívánt SSL-tanúsítványt, és kattintson a "Nézet" gombra.

Ha egy ügyféltanúsítványt egy jól ismert hitelesítésszolgáltatótól szereztünk be, akkor annak SSL-tanúsítványai általában már megtalálhatók a webböngésző tárolóiban, és nincs szükség hozzájuk. Csak az ügyféltanúsítványt kell hozzáadnia.

Ha a szerver, amellyel az interakciót végrehajtják, nem egy közös hitelesítés-szolgáltatótól kapott tanúsítványt, akkor a szervertanúsítványt hozzá kell adni a megbízhatókhoz, hogy a webböngésző ne jelenítsen meg bizalmatlansági üzenetet az ilyen tanúsítványokkal kapcsolatban.

Visszavont tanúsítványok ellenőrzése az ügyfélen

Ha a kliens az MS Internet Explorer webböngészőt használja, akkor beállítható úgy, hogy ellenőrizze az elküldött tanúsítványokat a CRL-ben. Ehhez lépjen az Internetbeállítások „Speciális” lapjára, és jelölje be a „Kiadói tanúsítványok visszavonásának ellenőrzése” és „Kiadói tanúsítványok visszavonásának ellenőrzése” attribútumot.