Вэб хандалтыг тохируулж байна

Вэб хандалтын серверийн нэмэлт тохиргоо

Аюулгүй холболтыг тохируулах (Secure Socket Layers, SSL дээр суурилсан)

Шаардлагатай бол та холболтын хамгаалалтыг тохируулж болновэб хандалтын сервертэй DIRECTUM : Харилцаа холбооны сувгаар дамжих мэдээллийг шифрлэнэ. Аюулгүй холболттой ажиллахын тулд дараахь зүйлийг хий.

1. Вэб хандалтын серверийн тохиргооны файлд өөрчлөлт оруулна уу:

· Алхам 1: Вэб хандалтын серверийн тохиргооны хэрэгслийг ажиллуул C:\Program Files\DIRECTUM Company\WebAccessConfig\DirWebConfigurator.exe.

· Алхам 2. "Вэб хандалтын серверийн вэб сайтыг сонгох" цонх DIRECTUM":

а) унадаг жагсаалтаас вэб хандалтын серверийн вэб сайтыг сонгоно уу DIRECTUM . Анхдагч байдлаар үүнийг "Вэб хандалтын сервер" гэж нэрлэдэг. DIRECTUM";

б) товчлуур дээр дарна уу БОЛЖ БАЙНА УУ ;

· Алхам 3. "Вэб хандалтын серверийн тохиргоо" цонх DIRECTUM ", "Ерөнхий" таб:

а) "Аюулгүй холболт" унадаг жагсаалтаас "Алсын хувьд" утгыг сонгоно уу. Хэрэв та аюулгүй холболтыг бий болгох шаардлагатай бол хэрэглэгчдэд зориулсан дотоод сүлжээ, дараа нь "Алсын болон орон нутгийн хувьд" утгыг сонгоно уу;

б) товчлуур дээр дарна уу БОЛЖ БАЙНА УУ .

2. IIS-г SSL-тэй ажиллахаар тохируулна уу -серверийн баталгаажуулалтын гэрчилгээг суулгах замаар холболтууд. Үүнийг хийхийн тулд аж ахуйн нэгжийн гэрчилгээний үйлчилгээ рүү экспортлох боломжтой "Алсын компьютерээс таних тэмдэг авах" зорилгоор гэрчилгээг үүсгэдэг бөгөөд үүний үр дүнд та * авах шаардлагатай. pfx - хувийн түлхүүр файл.

3. Хэрэв та Сертификат вэб үйлчилгээг ашиглаж байгаа бол Windows дараа нь дараахь зүйлийг хий.

а) Сертификат үүсгэхдээ гэрчилгээг экспортлох боломжтой сонголтыг зааж өгнө үү. Сертификатыг дотоод системд суулгасны дараа үүнийг ашиглан үзэх боломжтой Internet Explorer - "Интернет сонголтууд" цэсийн зүйл, "Агуулга" таб, товчлуур Сертификатууд . Экспорт хийхийн тулд товчлуурыг ашиглана уу Экспорт , заана Тийм ээ, хувийн түлхүүр экспортлох, нууц үгээ оруулна уу.

б) Сертификат импортлох. Үүнийг хийхийн тулд вэб сайтын шинж чанаруудын картын "Лавлахын аюулгүй байдал" таб дээрх товчийг дарна уу Сертификатууд өмнөх алхамд тохируулсан нууц үгээ ашиглан гэрчилгээг импортлохын тулд дэлгэцэн дээрх зааврыг дагана уу. Сертификатыг хүлээн авсны дараа 443-р аюулгүй холболтын порт бий болж, дамжин ажиллана SSL боломжтой болно.

4. Нээлттэй (аюулгүй) холболтыг дэмжихийн тулд та сонголтыг тохируулах хэрэгтэй Нээлттэй HTTP холболтыг дэмжихийг зөвшөөрөхвэб сайтын шинж чанаруудын вэб сайтын таб дээр.

5. Нэвтрэх хуудасны холбоосыг ашиглан баталгаажуулалтын эрх бүхий гэрчилгээг суулгахын тулд танд програмын бүлгийг ажиллуулдаг хэрэглэгч хэрэгтэй. DIRECTUM ”, "Аюулгүй байдал" таб дээрх хүссэн гэрчилгээжүүлэх байгууллагын шинж чанаруудын "Гэрчилгээний газар" хавсаргасан хэсэгт "Унших" болон "Гэрчилгээ хүсэх"-г зөвшөөрнө үү.

Мөн үзнэ үү:

Бид "Агуулгын маркетинг" хэмээх шинэ номоо гаргалаа нийгмийн сүлжээнд: Хэрхэн захиалагчдын толгойд орж, брэнддээ дурлах вэ.

Дэлхий ертөнц интернетийн аюулгүй байдлын асуудалд хэт автаж байна. Хэрэв та чиг хандлагад байгаа бөгөөд зөвхөн Telegram дээр захидал бичдэг бол сайт дээр хэрхэн аюулгүй холболт үүсгэх талаар уншина уу. Энэ нь ямар ч тохиолдолд хэрэг болох бөгөөд хэрэв та онлайн дэлгүүр бол үүнгүйгээр хийх боломжгүй юм. Замдаа гэрчилгээний талаар ярилцъя: тэдгээр нь юу вэ, яагаад хэрэгтэй вэ.

HTTPS гэж юу вэ

Энэ бол аюулгүй холболтын протокол юм. Энэ нь сервер болон хэрэглэгчийн хөтөч хооронд солилцсон мэдээллийг шифрлэдэг - энэ нь нууц үг, зээлийн картын дугаар, хаягийг хамгаалахад тусалдаг. Имэйл. HTTPS ашиглах нь хүчтэй бөгөөд нүдийг нь бага зэрэг татдаг Хайлтын системүүд Google нь аюулгүй сайтуудыг хамгаалалтгүй сайтуудаас дээгүүр эрэмбэлдэг. Сайт дээрээ HTTPS-г идэвхжүүлэхийн тулд эхлээд сервер дээр SSL сертификат суулгах ёстой.

Яагаад танд SSL сертификат хэрэгтэй байна вэ?

Энэ нь сайтын өвөрмөц дижитал гарын үсгийг бүрдүүлдэг бөгөөд энэ нь холболтыг хамгаалахад тусалдаг. SSL сертификатгүй бол та хичнээн хичээсэн ч HTTPS протоколыг авах боломжгүй болно. Үүнд:

• сайтын домэйн;
• эзэмшигч компанийн хууль ёсны бүтэн нэр;
• компанийн бодит хаяг;
• гэрчилгээний хүчинтэй хугацаа;
• SSL хөгжүүлэгчийн дэлгэрэнгүй мэдээлэл.

Мөн Yandex.Money гэх мэт аливаа төлбөрийн системд холбогдохын тулд танд гэрчилгээ хэрэгтэй болно. Логик нь энгийн - хэн ч таныг бусдын мөнгийг эрсдэлд оруулахыг зөвшөөрөхгүй.

SSL сертификатыг хэрхэн сонгох вэ

Хамгаалалтын зэрэг болон зэргээс хамааран тэдгээрийг хоёр төрөлд хуваадаг.

Домэйн баталгаажуулалтын SSL

Хамгийн хялбар сонголт. Энэ нь таныг домэйны өмчлөлийг баталгаажуулсны дараа ажиллах болно. Та үүнийг гурван аргаар хийж болно:

• Имэйлээр. Та баталгаажуулах заавар бүхий имэйл хүлээн авах болно. Илгээх хаягаар Whois домэйны шуудан эсвэл админ эсвэл вэбмастерын шуудангийн хайрцгууд сонгогдоно.

• DNS оролтоор дамжуулан. Хэрэв танд имэйл сервер суулгасан бол тусгай DNS оруулга үүсгэнэ үү. Үүний дагуу систем таныг үнэхээр сайтын эзэн мөн гэдгийг батлах болно. Энэ арга нь автоматжуулсан бөгөөд тохиргоонд Whois мэйл нуугдсан хүмүүст тохиромжтой.

• Хэш файлаар дамжуулан. Сервер дээрээ тусгай .txt файлыг байрлуулснаар баталгаажуулалтын байгууллага түүний байгаа эсэхийг тодорхойлох боломжтой.

Хэрэв танд байгаа бол энэ баталгаажуулалт тохиромжтой хувийн блогэсвэл жижиг офлайн бизнес, учир нь энэ нь дэд домайныг хамгаалах, санхүүгийн гүйлгээ хийх боломжийг олгодоггүй. Нэмж дурдахад, домэйн болон таны бодол санааны цэвэр байдлыг батлахын тулд та ямар ч төвөгтэй зүйл хийх шаардлагагүй бөгөөд бэлэн гэрчилгээ хурдан хийгддэг.

Бизнесийн баталгаажуулалт

Энэ төрлийн SSL сертификат нь илүү найдвартай, учир нь та компанийг сайтад холбогдсон гэдгийг баталгаажуулдаг. Үүнийг хийхийн тулд та хэд хэдэн баримт бичгийг баталгаажуулах төв рүү илгээж, корпорацийн дугаар руу дуудлага хүлээн авах хэрэгтэй. Бизнесийн баталгаажуулалтын гэрчилгээг 3 төрөлд хуваадаг.

• Өргөтгөсөн баталгаажуулалтын SSL. Эдгээр нь сунгасан баталгаажуулалтын гэрчилгээ юм. Тэд их хэмжээний мөнгөтэй ажилладаг бүх хүмүүст хэрэгтэй: банкууд, томоохон онлайн дэлгүүрүүд, санхүүгийн компаниуд, төлбөрийн системүүд.

• Wildcard SSL. Ийм гэрчилгээ нь сайт болон түүний дэд домайныг хоёуланг нь хамгаалдаг. Түүнээс гадна тэдгээрийн тоо хэд ч байж болох бөгөөд тэдгээр нь өөр өөр сервер дээр байрлаж болно. Хэрэв та өөр бүс нутгийн холболт эсвэл өөр төсөлтэй дэд домайн ашиглаж байгаа бол шаардлагатай.

• SAN SSL. Энэ төрлийн гэрчилгээний гол давуу тал нь гадаад болон дотоод альтернатив домэйн нэрийг дэмжих явдал юм.

• Код гарын үсэг зурах SSL. Кодыг баталгаажуулна програм хангамжийн бүтээгдэхүүнвэб сайтаас. Аливаа програм хөгжүүлэгчдэд тохиромжтой.

Би вэбсайт дээрээ үнэгүй SSL сертификат суулгаж болох уу?

Тиймээ. Эдгээр бүтээгдэхүүний ихэнх нь төлбөртэй байдаг ч мөнгө төлөх шаардлагагүй сонголтууд байдаг. Эдгээр нь домайнаар баталгаажсан үндсэн гэрчилгээ юм. Тэд танд онлайн кассын машиныг нөөцөд холбохыг зөвшөөрөхгүй, гэхдээ тэд сервертэй хэрэглэгчийн холболтыг хамгаалах боломжтой болно. Ийм SSL нь жижиг мэдээллийн сайтууд эсвэл офлайн бизнесүүдэд тохиромжтой. Жишээ нь үндсэн StartSSL сертификат юм.

SSL сертификат суулгаж байна

Эхлээд та гэрчилгээ авахын тулд CSR хүсэлт гаргах хэрэгтэй. Энэ нь домэйн эзэмшигч болон нийтийн түлхүүрийн талаархи бүх мэдээллийг агуулдаг. Ихэнх SSL үйлчилгээ үзүүлэгчид үүнийг гэрчилгээ захиалах үйл явцын нэг хэсэг болгон хийхийг зөвшөөрдөг боловч та вэб сервер талд хүсэлт гаргаж болно.

CSR түлхүүр үүсгэх үед та дараах зүйлийг зааж өгөх хэрэгтэй.

• Серверийн нэр: Хэрэв та Wildcard гэрчилгээ авч байгаа бол "site.com" эсвэл "*.site.com". Од гэдэг нь цэгийн өмнөх дурын тооны тэмдэгтийг хэлнэ.
• Улсын код: RU, UA, KZ гэх мэт.
• Бүс, жишээлбэл, Саратов муж.
• Хот.
• Байгууллагын бүтэн нэр эсвэл сайт эзэмшигчийн нэр.

CSR хүсэлтийг баталгаажуулалтын төв рүү илгээдэг. Үүний үр дүнд та SSL сертификат болон нийтийн домэйнд нийтлэх боломжгүй нууц түлхүүр бүхий файлтай болно.

Үүний дараа та гэрчилгээг вэб сервер дээр суулгах хэрэгтэй. Apache болон nginx-тэй холбоотой тохиолдлуудыг авч үзье.

Апачи

Үүнийг хийхийн тулд та бүх гэрчилгээг серверт байршуулах хэрэгтэй: үндсэн ба завсрын аль аль нь. Юуны өмнө танд сүүлийнх нь /usr/local/ssl/crt санд хэрэгтэй (анхдагчаар ашиглагддаг, таны тохиолдолд энэ нь өөр байж болно). Үүнд бүх гэрчилгээ хадгалагдах болно.

Үүний дараа үндсэн гэрчилгээг татаж аваад аль ч хэсэгт нээнэ үү текст засварлагч"ЭХЭЛЛЭХ" ба "Төгсгөл" мөрийн хамт агуулгыг бүхэлд нь хуулна.

/ssl/crt/ санд vashsite.crt нэртэй файл үүсгээд сертификатын агуулгыг түүн рүү оруулна уу.

Хувийн түлхүүр файлыг /usr/local/ssl/private/ директор руу зөөнө үү

VirtualHost файлд дараах мөрүүдийг нэмнэ үү.

SSL хөдөлгүүр асаалттай

SSLCertificateKeyFile /usr/local/ssl/private/private.key

SSLCertificateFile /usr/local/ssl/crt/yoursite.crt

SSLCertificateChainFile /usr/local/ssl/crt/intermediate.crt

Та файлуудын зөв замыг зааж өгөх ёстой. Өөрчлөлтүүдээ хадгалаад серверийг дахин эхлүүлнэ үү.

nginx

Энд SSL сертификат суулгах үйл явц арай өөр байна. Эхлээд та root, завсрын болон SSL сертификатуудыг нэг болгон нэгтгэх хэрэгтэй. Үүнийг хийхийн тулд vashsite.crt нэртэй файлыг үүсгээд гэрчилгээнүүдийн агуулгыг "BEGIN" болон "END" гэсэн мөрүүдийн хамт буулгана уу (захиалга: SSL, завсрын, root). Хоосон мөр байх ёсгүй.

Хувийн түлхүүрээр бараг ижил зүйлийг хийх шаардлагатай - vashsite.key файлыг үүсгэж, үйлчилгээ үзүүлэгчийн вэбсайтаас татаж авсан түлхүүрийн агуулгыг шилжүүлэх.

Хоёр файлыг (yoursite.crt болон yoursite.key) /etc/ssl/ директорт байрлуул (энэ нь анхдагч боловч өөр байж болно).

Тохиргооны файлд VirtualHost-ийг засварлана уу. Нэмэх:

сервер(
сонсох 443;
ssl дээр;

ssl_certificate /etc/ssl/yoursite.crt
ssl_certificate_key /etc/ssl/yoursite.key;
server_name yoursite.com;

Хэрэв гэрчилгээ, түлхүүр бүхий лавлах нь анхдагчаас өөр байвал түүнийг өөрчил.

Одоо өөрчлөлтөө хадгалаад nginx-г дахин эхлүүлнэ үү.

Ажиллаж буй HTTPS холболтыг хэрхэн авах вэ

SSL сертификатуудыг суулгасны дараа тус сайтыг http://yoursite.com болон https://yoursite.com гэсэн хоёр хаягаар ашиглах боломжтой. Та зөвхөн сүүлчийнхийг нь хадгалах хэрэгтэй. Үүнийг хийхийн тулд robots.txt файлыг тохируулж, хуучин сайтаас 301 чиглүүлэлт хийнэ үү.

"Робот" дээр та хостыг шинэчлэх хэрэгтэй. Жишээ: Хост: https://yoursite.com. Дахин чиглүүлэхийг тохируулахын тулд та .htacsess файлд мөрүүдийг нэмэх хэрэгтэй:

RewriteCond %(SERVER_PORT) !^443$

RewriteRule ^(.*)$ https://yoursite.com/$1 .

Одоо хайлтын системд өөрчлөлтийн талаар мэдэгдэх үлдлээ. "Yandex"-ийн "Вэбмастер" дээр https-тэй хуудсыг нэмж, хуучин сайтын үндсэн хуудас болгон зааж өгнө үү.

Үр дүн

Бид https гэж юу болох, үүнийг сайт дээрээ хэрхэн суулгах, бүх зүйлийг хэрхэн зөв тохируулах талаар олж мэдсэн. Энэ протокол нь аль хэдийн холболтын стандарт болсон бөгөөд цаг хугацаа өнгөрөхөд бүх сайтууд үүн рүү шилжих болно. Энэ процессыг хайлтын системүүд дэмждэг - HTTPS аюулгүй холболтын протокол байгаа нь зэрэглэл тогтоох хүчин зүйлүүдийн нэг болсон. Тиймээс, хэрэв та оргилд гарахыг хүсч байвал үүнийг суулгах хэрэгтэй.

Төлбөрийн системийг тохируулах

Төлбөрийн системийг тохируулах нь төлбөрийн системийн оператор өөрөө терминалтайгаа хэрхэн холбогдож байгаагаас ихээхэн хамаардаг. Дүрмээр бол, хэрэв хотын төлбөрийн терминал ашигладаг бол аюулгүй SSL холболтыг ашигладаг бөгөөд доор үзүүлсэн шиг терминалуудтай холбогдохын тулд SSL WEB серверийг идэвхжүүлж, тохируулах шаардлагатай. Хэрэв интернет дэх вэбсайтуудыг төлбөр хийхэд ашигладаг бол ийм тохиолдолд хэр олон удаа тохируулах шаардлагатай байдаг http сервернүүрстөрөгчийн тооцооны талаар. Нүүрстөрөгчийн тооцоог тохируулахаасаа өмнө төлбөрийн системийн оператортойгоо төлбөрийн терминалууддаа ямар холбооны протоколоор холбогдож байгааг шалгахаа мартуузай.
Төлбөрийн SSL WEB сервер нь хэд хэдэн параметртэй бөгөөд тэдгээрийн утгыг доор тайлбарласан болно.

Төлбөрийн хувьд SSL WEB серверийг идэвхжүүлнэ үү- Хэрэв төлбөрийн системийн оператор нь SSL-ээр дамжуулан төлбөрийн терминалуудтай ажилладаг бол SSL WEB серверийг идэвхжүүлэх шаардлагатай.
HTTPS холболтын IP хаяг- Нүүрстөрөгчийн тооцооны мэдээллийн санд үйлчлүүлэгчид төлбөр хийх терминал эсвэл төлбөрийн системийн сайтуудыг холбох хаяг.
HTTPS холболтын порт- 1443 портыг анхдагчаар ашигладаг. Хэрэв энэ портыг өөрчлөх шаардлагатай бол боломжтой бол 1024-ээс дээш портуудыг зааж өгнө үү.
SSL WEB серверийн зөвшөөрөгдсөн үйлчлүүлэгчийн хаягууд
Серверийн SSL сертификатын домэйн- Нүүрстөрөгчийн тооцооны төлбөрийн серверт тусад нь бүртгүүлсэн нийтийн домэйн эсвэл домайныг энд зааж өгнө үү. Энэ сонголт нь нэмэлт бөгөөд IP хаягийн оронд домэйн нэр ашиглан SSL WEB сервертэй холбогдох боломжийг олгоно.
Үйлчлүүлэгчийн гэрчилгээ шаардах, баталгаажуулах- Кассын вэб интерфэйсийг тохируулж байгаа эсэхээ шалгаарай. Хэрэв та хамтран ажиллах юм бол төлбөрийн систем, дараа нь шалгах хэрэгцээг зааж өгнө үү үйлчлүүлэгчийн гэрчилгээтөлбөрийн системийн оператороос.
Үйлчлүүлэгчийн гэрчилгээ үүсгэх- Үйлчлүүлэгчийн гэрчилгээ бий болох бөгөөд үүнийг төлбөрийн системийн операторт өгөх шаардлагатай. .pfx дагавартай гэрчилгээ нь /var/lib/usrcert директор дахь сервер дээр байх бөгөөд гэрчилгээ үүсгэх үед таны заасан CN нэртэй тэнцүү файлын нэртэй байх болно. Та winscp програмыг ашиглан сертификатын файлыг серверээс татаж авах боломжтой.

Төлбөрийн HTTP WEB серверийг тохируулах тохиолдолд.

Төлбөрийн HTTP серверийг идэвхжүүлнэ үү- Хэрэв төлбөрийн системийн оператор нээлттэй http холболтоор төлбөрийн терминалуудтай ажилладаг бол HTTP серверийг идэвхжүүлнэ үү.
HTTP холболтын IP хаяг- Терминал эсвэл төлбөрийн серверийг холбох вэб серверийн хаяг.
HTTP холболтын порт- 1444 портыг анхдагчаар ашигладаг. Хэрэв энэ портыг өөрчлөх шаардлагатай бол боломжтой бол 1024-ээс дээш портуудыг зааж өгнө үү.
HTTP серверт зориулсан зөвшөөрөгдсөн үйлчлүүлэгчийн хаягууд- заагаагүй бол хандалт нь хүн бүрт нээлттэй байх болно.

Хэрэв та энэ таб дээр доор жагсаасан төлбөрийн системийн операторуудын үйлчилгээг ашигладаг бол тэдгээрт тохирох цэсийн зүйлийг идэвхжүүлнэ үү. Ирээдүйд эдгээр чагт хайрцагнууд нь таны ашигладаг оператор бүрт шаардлагатай системийн тодорхой тохиргоог хийх болно. Хэрэв таны оператор доор жагсаасан хүмүүсийн нэг биш бол тэдгээрийн алийг нь ч битгий оруулаарай.

Robokassa төлбөрийн системийг тохируулахдаа терминал болон серверийн хооронд холболт тогтооход шаардлагатай нууц нууц үгийг зааж өгөхөө бүү мартаарай.

Ssl сертификатуудын subjectAltName параметрийн шүүмжлэл

Серверт ssl сертификат үүсгэх үед, жишээлбэл, https төлбөрийн серверийн хувьд, subjectAltName өргөтгөлийг ашигладаг. Түүхийн хувьд анхдагчаар гэрчилгээний энэ өргөтгөл нь чухал гэж тэмдэглэгдсэн байдаг бөгөөд энэ нь төлбөр тооцоог зарим төлбөрийн системтэй нэгтгэхэд асуудал үүсгэж болзошгүй юм.

Үйлчлүүлэгчийн гэрчилгээг үүсгэх үед SubjectAltName-г тохируулаагүй болно.

Параметрийн эгзэгтэй байдлыг локал консол дахь "Серверийн тохиргоо - Нарийвчилсан тохиргоо - Хөгжүүлэгчид зориулсан тохиргоо - AltName SSL параметрийг бүү шүүмжил" гэсэн сонголтоор цуцална.

Энэ сонголтыг идэвхжүүлсний дараа шинээр үүсгэсэн бүх серверийн гэрчилгээг чухал бус subjectAltName өргөтгөлөөр үүсгэнэ. https төлбөрийн серверийн хуучин гэрчилгээг дараах байдлаар гараар сэргээх шаардлагатай.

1. Тохиргоог агуулсан хуваалтыг rw болгон дахин холбоно уу (үүнд алсын туслах горимыг идэвхжүүлсэн байх ёстой):

Mount -o rw,remount /mnt/bk_disc/

2. /etc/ics/ics.conf файлыг засварлагчаар нээж, MHTTPD_F_CERT гэсэн мөрийг тайлбарлаарай.

3. https төлбөрийн серверийг дахин эхлүүлнэ үү:

/etc/init.d/mhttpd_F дахин эхлүүлэх

https төлбөрийн сервер дээрх гэрчилгээг өөрчлөх нь касс болон төлбөрийн системд зориулж урьд нь үүсгэсэн үйлчлүүлэгчийн гэрчилгээнд нөлөөлөхгүй.

Шифрлэлтгүйгээр http-ээр дамжуулан төлбөр хүлээн авах тохиргоог хийж байна

Аюулгүй http протоколыг ашиглан төлбөрийн системээс төлбөр хүлээн авах шаардлагатай бол дараах тохиргоог хийх шаардлагатай.

1) Төлбөр хүлээн авахын тулд http серверийг идэвхжүүлнэ үү.

2) Хүсэлт хүлээн авах IP хаягийг зааж өгнө үү. Энэ хаяг нь Нүүрстөрөгчийн тооцооны интерфейсийн аль нэгэнд хамаарах ёстой:

Дараа нь сервер хүсэлт хүлээн авах портыг зааж өгнө үү.

3) Хүсэлтийг хүлээн авах IP хаягуудын жагсаалтыг гарга. Энэ их чухал алхам http нь гэрчилгээгээр төлбөрийн системийг зөвшөөрөх гэсэн үг биш учраас:

Анхдагч байдлаар Robokassa болон Unikassa төлбөрийн системийн протоколууд HTTP-тэй ажиллах боломжтой. Жишээлбэл, OSMP протоколыг ашиглан http-ийн хүсэлтийг хүлээн авах шаардлагатай бол та дараахь зүйлийг хийх хэрэгтэй.

1) Серверийг ud дээр ачаална уу. туслах ба ssh-ээр root болгон холбогдоно уу.

2) Дараах тушаалуудыг ажиллуулна уу:

Mount -o rw,remount /mnt/ro_disc chattr -i -R /var /www/fiscal/htdocs/http/ cp /var /www/fiscal/htdocs/osmp.php /var /www/fiscal/htdocs/http/ osmp.php chown mhttpd_F:mhttpd_F /var /www/fiscal/htdocs/http/osmp.php

Та скрипт дэх мөрийг засах хэрэгтэй:

Mcedit /var /www/fiscal/htdocs/http/osmp.php мөр: "../include/class_page.php" оруулах; солих: "../../include/class_page.php" оруулах;

Файлыг хадгалаад засварлагчаас гарна уу.

Зөөлөн дахин ачаалсны дараа OSMP төлбөр хүлээн авах модулийг 2.2.2.2 IP хаягаас http://1.1.1.1:1444/osmp.php хаягаар авах боломжтой.

Сөрөг үлдэгдэлтэй нэвтрэх

Хоёр аргаар хэрэгжүүлж болно:

• Дүрэм, тарифын сүлжээний редактороор дамжуулан;
• дамжуулан [нэмэлт тохиргооны файл ics_tune.sh]

АЮУЛГҮЙ SSL холболтын ДИЖИТАЛ ГЭРЧИЛГЭЭ

Хөтөч болон вэб серверийн хооронд найдвартай өгөгдөл дамжуулахын тулд SSL холболт дээр суурилсан https өгөгдөл дамжуулах протоколыг ашигладаг.

Энэ нийтлэлд өгүүлдэг ерөнхий мэдээлэлНийтийн түлхүүрийн шифрлэлт, дижитал сертификат, нийтийн түлхүүрийн дэд бүтцийн тухай (PKI - Нийтийн түлхүүрийн дэд бүтэц), гэрчилгээжүүлэх эрх бий болгох, Apache Tomcat болон JBoss сервлет контейнеруудыг нэг болон хоёр талын аюулгүй холболт үүсгэх, гэрчилгээний дэлгүүр үүсгэх, хэрхэн хийх талаар keytool хэрэгслийг ашиглан SSL сертификат үүсгэх. Та мөн Java дээр хүчингүй болсон гэрчилгээг шалгах арга замуудын талаар суралцах болно (CRL жагсаалт, OCSP протокол) болон хөтөчийг сертификаттай ажиллахаар тохируулах.

Сүлжээгээр мессежийг найдвартай дамжуулах орчин үеийн арга бол нийтийн түлхүүрээр шифрлэх арга юм. Аргын мөн чанар нь нийтийн болон хувийн гэсэн хос түлхүүрүүд байх явдал юм. Нийтийн болон хувийн түлхүүрүүд нь анхны мессежийг шифрлэгдсэн мессеж, шифрлэгдсэн мессежийг эх болгон хувиргах алгоритмууд юм.

Нийтийн түлхүүрийг чөлөөтэй ашиглах боломжтой бөгөөд шифрлэгдсэн мессеж илгээхийг хүссэн хүн бүр ашиглах боломжтой. Илгээгч нь мессежийг шифрлэсний дараа түүнийг найдвартай холбооны сувгаар дамжуулж, зөвхөн хүлээн авагч нь энэ мессежийг унших боломжтой гэдэгт итгэлтэй байх болно.

Хувийн түлхүүрийг хос түлхүүрийн эзэн маш нууцалдаг. Нийтийн түлхүүрээр шифрлэгдсэн мессежийг хүлээн авмагц хүлээн авагч нь нууц түлхүүрийг ашиглан шифрийг тайлдаг. Хувийн түлхүүрийг зөвхөн мессеж хүлээн авагчид мэддэг тул өөр хэн ч уншиж чадахгүй бөгөөд энэ нь мессежийн нууцлалыг баталгаажуулдаг.

Хувийн түлхүүрээр шифрлэгдсэн мессежийг нийтийн түлхүүртэй хэн ч тайлж болно.

Энэхүү шифрлэлтийн алгоритм дээр үндэслэн аюулгүй SSL холболт үүсгэгддэг.

Дижитал гэрчилгээ

Дижитал гэрчилгээ нь эзэмшигчийг тодорхойлох цахим баримт бичиг юм. Энэ нь эзэмшигчийн талаархи үндсэн мэдээлэл, эзэмшигчийн нийтийн түлхүүр, дуусах хугацаа, цахим гарын үсэггаргагч (хэвлэн нийтлэгч) болон бусад шаардлагатай мэдээлэл. Тоон гэрчилгээ нь хүчингүй болгох жагсаалт түгээх цэг, нийтлэгчийн мэдээлэл болон бусад зүйлийг агуулсан өргөтгөлийн хэсэгтэй (заавал биш). SSL холболт. SSL сертификатыг хэрхэн үүсгэх талаар энэ өгүүллийн дараа тайлбарласан болно.

Дээрх гэрчилгээний үндсэн шинж чанарууд нь:

Гэрчилгээний байгууллагын SSL сертификат нь TRUE гэж тохируулсан CA талбарыг агуулсан байх ёстой бөгөөд энэ нь бусад гэрчилгээ олгох боломжийг олгодог, i.e. Энэ гэрчилгээ нь гинжин хэлхээний эцсийнх биш юм.

CN (нийтлэг нэр) талбар дахь серверийн SSL сертификатуудыг агуулсан байх ёстой Домэйн нэрэсвэл серверт хандах IP хаяг, эс тэгвээс гэрчилгээ хүчингүй болно;

Үйлчлүүлэгчийн SSL сертификат нь үйлчлүүлэгчийн и-мэйл хаяг, нэр, овог нэрийг агуулдаг. Серверийн сертификатаас ялгаатай нь CN талбар нь агуулгад чухал ач холбогдолтой биш бөгөөд нэр, овог нэр, имэйл хаягийг агуулж болно.

Дижитал SSL сертификат нь түүний талбарт заасан хүчинтэй хугацаанд хүчинтэй гэж тооцогддог. Тиймээс гэрчилгээг эхлэх хугацаанаас өмнө, мөн хугацаа дууссаны дараа ашиглах боломжгүй, учир нь. Түүнтэй харьцсан системүүд түүнд үл итгэх тухай мэдээлэх болно.

Хэрэглэгч эсвэл гэрчилгээ гаргагч үүнийг түдгэлзүүлэх эсвэл бүрмөсөн зогсоох шаардлагатай нөхцөл байдал байдаг. Аюулгүй хадгалагдах ёстой хувийн түлхүүр алдагдсан эсвэл халдагчид түүнд нэвтэрсэн гэж бодъё. Ийм нөхцөлд хэрэглэгч гэрчилгээ гаргагч (хэвлэн нийтлэгч)тэй холбоо барьж, гэрчилгээгээ хүчингүй болгох шаардлагатай. Түүнчлэн, үйлчлүүлэгч өөрийнх нь талаар хуурамч мэдээлэл өгсөн нь тогтоогдвол нийтлэгч гэрчилгээг хүчингүй болгож болно. Эдгээр зорилгын үүднээс гэрчилгээг цуцлах жагсаалт (CRL) гэж нэрлэгддэг тусгай жагсаалтыг гаргадаг. Энэ жагсаалтгэрчилгээний серийн дугаар, хүчинтэй байх хугацаа, хүчингүй болсон шалтгааныг агуулсан байна. Гэрчилгээ нь CRL-д орсон цагаас эхлэн хүчингүйд тооцогдох бөгөөд хэвлэн нийтлэгч нь ийм гэрчилгээний агуулгыг хариуцахгүй. CRL жагсаалтыг шалгах аргуудын нэг нь OCSP протокол боловч энэ нь баталгаажуулалтын байгууллагатай OCSP хариулагч байхыг шаарддаг.

Нийтийн түлхүүрийн дэд бүтэц (PKI)

Нийтийн түлхүүрийн дэд бүтцийн (PKI) гол үүрэг бол дижитал гэрчилгээ олгох бодлогыг тодорхойлох явдал юм.

SSL гэрчилгээ олгох, хүчингүй болгохын тулд хүчингүй болгох жагсаалт (CRLs) үүсгэх нь тусгай зүйл шаарддаг програм хангамж(ON). Ийм програм хангамжийн жишээ бол Microsoft CA (MS Windows Server 2000/2003/2008-ийн нэг хэсэг), OpenSSL (unix-тэй төстэй үйлдлийн системд тараагдсан) юм. Энэхүү програм хангамж нь гэрчилгээжүүлэх төвийн тоног төхөөрөмж дээр байрладаг.

Гэрчилгээжүүлэх байгууллага (CA) нь үйлчлүүлэгчийн өгсөн өгөгдөлд үндэслэн дижитал SSL гэрчилгээ олгодог байгууллага юм. Гэрчилгээжүүлэх байгууллага нь SSL гэрчилгээнд үзүүлсэн өгөгдлийн үнэн зөвийг дангаараа хариуцдаг бөгөөд энэ нь гэрчилгээний эзэмшигч нь өөрийгөө яг хэн гэж мэдэгддэг гэсэн үг юм.

Дэлхий дээрх хамгийн түгээмэл CA нь Verisign болон Comodo юм. Эдгээр CA сертификатууд нь хөтөч болон ихэнх серверийн програм хангамжийн 99% нь итгэдэг. Гэрчилгээжүүлэх байгууллагыг бий болгох талаар доор тайлбарлав.

Хоёр талын баталгаажуулалт бүхий аюулгүй SSL холболт

Аюулгүй SSL холболтыг цахим худалдаанд ихэвчлэн ашигладаг. Жишээлбэл, электрон дэлгүүрээр дамжуулан бараа худалдаж авахыг авч үзье. Тоо, кодыг зааж өгсөн худалдан авагч зээлийн карт, тэд халдагчийн гарт орохгүй гэдэгт итгэлтэй байхыг хүсч байна. Тиймээс сервер нь үйлчлүүлэгчид гэрчилгээ олгох замаар өөрийгөө баталгаажуулдаг. Баталгаажуулалтын байгууллага нь энэхүү жинхэнэ байдлын баталгаа юм. Үйлчлүүлэгчийн өгөгдлийг серверийн нийтийн түлхүүрээр шифрлэнэ. Энэ өгөгдлийг зөвхөн сервер дээр байгаа хувийн түлхүүрээр тайлж болно. Тиймээс үйлчлүүлэгч халдагчид түүний өгөгдлийг таслахаас айхгүй байж магадгүй, тэр үүнийг тайлж чадахгүй хэвээр байх болно.

Үйлчлүүлэгчийн SSL сертификатыг сервер нь тухайн үйлчлүүлэгч мөн болохыг баталгаажуулах шаардлагатай тохиолдолд ашигладаг. Жишээлбэл, банк нь хувийн дансаа удирдах сүлжээнд нэвтрэх боломжийг олгодог. Тэрээр өөрийгөө хамгаалж, нэвтрэх болон нууц үгээ авсан халдагч биш харин энэ дансны эзэнтэй холбогдож байгаа гэдэгт итгэлтэй байхыг хүсч байна. Энэ тохиолдолд үйлчлүүлэгч өөрийн нийтийн түлхүүрийг серверт өгдөг бөгөөд серверээс хүлээн авсан бүх өгөгдлийг зөвхөн үйлчлүүлэгч тайлж чаддаг бөгөөд өөр хэн ч биш, учир нь. тэр бол хувийн түлхүүрийн эзэн юм.

Зураг нь найдвартай SSL холболт үүсгэх алхмуудыг харуулсан диаграмм юм.

Зураг 1 - Хоёр талын баталгаажуулалт бүхий аюулгүй SSL холболт үүсгэх схем

Үйлчлүүлэгч хамгаалагдсан нөөцөд хандахыг оролдох үед сервер нь дижитал гэрчилгээгээ илгээдэг. Сертификатыг хүлээн авсны дараа үйлчлүүлэгч үүнийг шалгана. Баталгаажуулалт нь дараах байдалтай байна: хүчинтэй байх эхлэл, дуусах хугацаа нь дуусаагүй, гэрчилгээ гаргагчид итгэмжлэгдсэн байх ёстой, гэрчилгээ нь CRL-д байх ёсгүй. Шалгалт амжилтгүй болбол холболт үүсгэх процессыг зогсооно. Хэрэв баталгаажуулалтын нөхцөл хангагдсан бол үйлчлүүлэгч сертификатаа сервер рүү илгээнэ. Сервер ижил төстэй шалгалтыг гүйцэтгэдэг. Шалгалт амжилтгүй болбол сервер өөрийн нөөцөд хандах эрхгүй болно. Баталгаажуулалт амжилттай хийгдсэний дараа аюулгүй холболт үүсч, өгөгдлийг шифрлэгдсэн хэлбэрээр дамжуулна.

Энэ схемд дамжуулагдсан өгөгдөл нь давхар шифрлэгдсэн байдаг. Үйлчлүүлэгч мессежийг серверийн нийтийн түлхүүрээр, дараа нь өөрийн хувийн түлхүүрээр шифрлэдэг. Мессежийг хүлээн авмагц сервер нь мессежийг үйлчлүүлэгчийн нийтийн түлхүүрээр, дараа нь хувийн түлхүүрээр тайлдаг. Тиймээс сервер болон үйлчлүүлэгч бие биенээ баталгаажуулдаг, учир нь зөвхөн тэд хүлээн авсан өгөгдлийг тайлж чадна.

Энэ техникийг ашиглах нь өгөгдөл солилцох хурдыг бууруулдаг гэдгийг тэмдэглэх нь зүйтэй Шифрлэлт/шифр тайлах үйлдлүүд нь нэмэлт цаг хугацаа шаарддаг бөгөөд тэдгээрийн гүйцэтгэлийн хурд нь тооцоолох нөөцийн хүчнээс хамаарна.

Гэрчилгээжүүлэх байгууллагыг бий болгох

Туршилтын зорилгоор эсвэл дижитал гэрчилгээ худалдаж авах боломжгүй тохиолдолд та өөрийн CA-г үүсгэх хэрэгтэй.

Үндэс CA нь хүн бүрийн итгэдэг CA юм. Энэ нь өөрийн хувийн түлхүүрээр гарын үсэг зурсан SSL сертификаттай. Ийм SSL сертификатыг өөрөө гарын үсэг зурсан гэж нэрлэдэг.

Үндэс CA-ийн хувийн түлхүүрийг маш аюулгүй байлгах ёстой, учир нь Хэрэв энэ нь алдагдсан эсвэл хулгайлагдсан бол бүх харьяа SSL сертификатуудад итгэх итгэл алдагдах болно.

Subordinate CA нь үйлчлүүлэгчдэд SSL сертификат олгодог CA юм. Харьяа баталгаажуулалтын байгууллагын гэрчилгээнд дээд түвшний баталгаажуулалтын байгууллагын хувийн түлхүүрээр гарын үсэг зурсан болно. Баталгаажуулалтын төвүүд, вэб серверүүд, вэб хөтчүүд, шуудангийн үйлчлүүлэгчид, шаардлагатай төрлийн гэрчилгээг бий болгодог. Гэрчилгээний төрлийг баталгаажуулалтын байгууллагын бодлогоор тодорхойлно.

Дээр дурдсанаас үзэхэд үндсэн CA-аас эцсийн үйлчлүүлэгчийн гэрчилгээ хүртэл гэрчилгээний гинжин хэлхээ үүсдэг.

Зураг 2 - Гэрчилгээний хэлхээ

Гэрчилгээжүүлэх байгууллагыг бий болгохын тулд бид Зураг 3-т үзүүлсэн хоёр түвшний схемийг ашиглана. Энэ схем нь үндсэн баталгаажуулалтын байгууллага (Root CA) болон харьяа гэрчилгээжүүлэх байгууллагатай (Ossuing CA) байна. Үндсэн CA нь өөрийн SSL сертификат болон харьяа CA-уудын SSL гэрчилгээнд гарын үсэг зурдаг. Илүү их түвшинг ашиглах тусам схем нь илүү найдвартай байдаг гэдгийг тэмдэглэх нь зүйтэй.

Үндсэн болон харьяа гэрчилгээжүүлэх байгууллагын гэрчилгээнд CRL түгээлтийн цэгүүдийг өргөтгөлөөр бүртгэнэ. CRL түгээлтийн цэг нь сүлжээний хаяг юм. Энэ хаяг дээр тусгай программ хангамжаар үүсгэсэн CRL файлыг өгөгдсөн давтамжтайгаар байршуулах ёстой.

Зураг 3 - Гэрчилгээжүүлэх төвийн хоёр түвшний схем

Гэрчилгээжүүлэх төвийг зохион байгуулах жишээ Microsoft дээр суурилсан CA-г "Microsoft CA дээр суурилсан баталгаажуулалтын байгууллагуудын сүлжээг байршуулах" нийтлэлээс олж болно.

CA-аас серверийн SSL гэрчилгээ авах, Сервлет савыг тохируулах

Дижитал SSL серверийн гэрчилгээ нь танд шифрлэгдсэн хэлбэрээр өгөгдөл дамжуулах боломжийг олгодог найдвартай SSL холболт үүсгэх боломжийг олгодог.

Сервлет контейнерт ашиглах гэрчилгээ авахын тулд та CA-д Сертификат гарын үсэг зурах хүсэлт (CSR) үүсгэх ёстой. Хүсэлт нь байгууллагын талаарх үндсэн мэдээлэл болон нийтийн түлхүүрийг агуулна.

Зөв бөглөх ёстой үндсэн талбарыг нийтлэг нэр (CN) гэж нэрлэдэг. Энэ талбарт та сервлетийн контейнер байрладаг хостын домэйн нэр эсвэл IP хаягийг зааж өгөх ёстой.

Хувийн болон нийтийн түлхүүр үүсгэж, SSL сертификат хүсэхийн тулд JDK (Java хөгжүүлэлтийн хэрэгсэл) -д багтсан keytool хэрэгслийг ашиглаж болно.

AT тушаалын мөрта дараах тушаалыг оруулах хэрэгтэй.

$JAVA_HOME\bin> keytool -genkey -алиас -keyalg -түлхүүрийн дэлгүүр

Зураг 4 - Keytool хэрэглүүрийг ашиглан SSL сертификатын дэлгүүр үүсгэх

Энэхүү товчлуурын команд нь нэртэй гэрчилгээний дэлгүүрийг үүсгэдэг , RSA алгоритм ашиглан шифрлэгдсэн хувийн түлхүүр болон өөрөө гарын үсэг зурсан SSL сертификатыг хадгалдаг. Та SSL сертификатыг нэрээр нь авч болно .

Хадгалах газрыг үүсгэх явцад keytool хэрэгсэл нь репозитор руу нэвтрэх нууц үг, байгууллагын талаарх мэдээлэл, нууц (хувийн) түлхүүрийн нууц үгийг оруулахыг хүсэх болно. "Таны нэр, овог хэн бэ?" гэсэн түлхүүрийн асуултанд хариулахдаа. та хостын домэйн нэр эсвэл IP хаягийг оруулах ёстой, учир нь хариултын утгыг SSL сертификатын CN талбар болгон ашиглах болно.

Түлхүүр хадгалах хэрэгслийг keytool хэрэглүүр үүсгэсний дараа SSL гэрчилгээнд гарын үсэг зурах хүсэлтийг баталгаажуулалтын байгууллагад өгөх ёстой. Үүнийг дараах тушаалаар гүйцэтгэнэ.

$JAVA_HOME\bin> keytool -certreq -keyalg RSA -алиас -файл - түлхүүр хадгалах газар

Файлд гэрчилгээний хүсэлт хадгалагдсан. Үүний дараа гэрчилгээжүүлэх төвийн вэбсайт дээр тусгай маягт бөглөж, энэ файлын агуулгыг аль нэг талбарт хуулна.

Байгууллагад SSL гэрчилгээ олгохын тулд гэрчилгээжүүлэх төв нь үүсгэн байгуулах бичиг баримт, бүртгэлийн гэрчилгээ гэх мэтийг шаардаж болно. SSL гэрчилгээ авах өргөдлийг хүлээн авсны дараа гэрчилгээжүүлэх төв нь гэрчилгээний хүсэлт дэх өгөгдөл болон илгээсэн баримт бичгүүдийг харьцуулах замаар баталгаажуулалт хийдэг. , дараа нь хүсэлтэд гарын үсэг зурна. Гарын үсэг зурсан хүсэлт нь гэрчилгээ юм.

Зураг 5 - Серверийн гэрчилгээ авах схем

Гэрчилгээжүүлэх байгууллагаас гэрчилгээ авсны дараа үндсэн болон завсрын гэрчилгээжүүлэх байгууллагуудын SSL гэрчилгээг нэмсний дараа дэлгүүрт байрлуулах ёстой. Хадгалалтад SSL сертификат нэмэхийн тулд keytool хэрэгслийн дараах тушаалуудыг ашиглана уу.

1) үндсэн CA-ийн гэрчилгээг keytool хэрэглүүрээр нэмэх: $JAVA_HOME\bin> keytool -import -trustcacerts -alias rootca -file - түлхүүр хадгалах газар

2) keytool хэрэгсэлтэй завсрын CA сертификат нэмэх: $JAVA_HOME\bin> keytool -import -trustcacerts -alias subca -file - түлхүүр хадгалах газар

3) өөрөө гарын үсэг зурсан гэрчилгээг баталгаажуулалтын байгууллагад гарын үсэг зурсан гэрчилгээгээр солих (repository үүсгэх үед ашигласан бусад нэрийн параметрийн утгыг тодорхойлсон): $JAVA_HOME\bin> keytool -import -trustcacerts -alias -файл - түлхүүр хадгалах газар

Аппликешнүүдэд аюулгүй SSL холболт ашиглахын тулд сервлетийн контейнерийг тохируулах шаардлагатай. Apache Tomcat болон JBoss-ийн хувьд server.xml файлд дараах агуулгыг нэмнэ үү:

clientAuth="false" sslProtocol="TLS"

түлхүүр хадгалах файл = "

keystorePass=" "

keystoreType="JKS"

keyAlias=" "

Энэ оруулга нь дэлгүүрт байрлах дижитал SSL сертификатыг ашиглан сервлет контейнерт аюулгүй холболт үүсгэх боломжийг олгодог. Нууц үгээр нэрээр .

Дээрх тохиргоо нь нэг талын баталгаажуулалтыг ашигладаг, i.e. дижитал SSL гэрчилгээ олгох нь зөвхөн серверээс шаардлагатай. Хоёр талын баталгаажуулалтыг бий болгохын тулд, i.e. Үйлчлүүлэгч мөн дижитал SSL сертификат өгөх үед сервлет контейнерийн тохиргоог дараах байдлаар өөрчлөх шаардлагатай.

maxThreads = "150" схем = "https" аюулгүй = "үнэн"

clientAuth="true" sslProtocol="TLS"

түлхүүр хадгалах файл =

keystorePass=" "

keystoreType="JKS"

keyAlias=" "

итгэмжлэгдсэн файл =

TruststorePass = " "truststoreType="JKS"

Энэ тохиргоонд clientAuth=”true” параметрийг тохируулж, итгэлцлийн дэлгүүр холбогдсон байна. Итгэмжлэгдсэн SSL сертификатуудын дэлгүүрийг бий болгох нь энгийн дэлгүүрийн нэгэн адил keytool хэрэглүүрээр хийгддэг. Та сервлет контейнерт итгэх ёстой дижитал гэрчилгээ олгодог гэрчилгээжүүлэх байгууллагуудын гэрчилгээг нэмэх хэрэгтэй. Үгүй бол баталгаажуулалтын явцад SSL-ээр хангагдсан гэрчилгээг сервлетийн контейнер үгүйсгэх болно. тэдэнд итгэхгүй.

Сервер дээрх хүчингүй болсон гэрчилгээг шалгаж байна

Хүчингүй болгох гэрчилгээг баталгаажуулах 3 арга байдаг: статик CRL баталгаажуулалт, динамик CRL баталгаажуулалт, OCSP баталгаажуулалт. Эдгээр аргуудыг илүү нарийвчлан авч үзье.

1) Статик CRL шалгах

Энэ төрлийн баталгаажуулалтыг ашиглах үед серверийн администратор хүчингүй болсон гэрчилгээний жагсаалт байрлах локал драйв дээрх файлын нэрийг тохиргоонд зааж өгөх ёстой. Энэ жагсаалтыг баталгаажуулалтын байгууллагын сүлжээний эх сурвалжаас татаж авсан болно.

Apache Tomcat болон Jboss сервлет контейнерт CRL-г холбохын тулд ssl холбогч дээр дараах шинж чанарыг нэмнэ үү:

crlFile=”

Энэ аргын сул тал нь администратор CRL файлын шинэчлэлтийг байнга хянаж байх хэрэгцээ юм.

2) Динамик CRL шалгах

Энэ арга нь CRL шалгалтыг автоматаар хийх боломжийг танд олгоно. Энэ нь CRLDistributionPoint шинж чанарыг үйлчлүүлэгчийн өгсөн SSL сертификатын өргөтгөлийн хэсэгт заасан байх шаардлагатай бөгөөд энэ нь гэрчилгээг хүчингүй болгох жагсаалт (CRL) байгаа URL-ыг зааж өгдөг.

Үйлчлүүлэгчийн SSL сертификатыг CRL-д баталгаажуулахын тулд Java виртуал машинд хоёр параметрийг тохируулах шаардлагатай. Эдгээр сонголтыг сервлетийн контейнер эхлүүлэх скриптэд зааж өгч болно. Windows дээрх Apache Tomcat болон Jboss-ийн хувьд дараах байдалтай байна.

тохируулах JAVA_OPTS=%JAVA_OPTS% -Dcom.sun.net.ssl.checkRevocation=true

Dcom.sun.security.enableCRLDP=true -Djava.security.debug=certpath

java.security.debug=certpath сонголт нь ажиллаж байгаа контейнерийн консол дахь гэрчилгээний баталгаажуулалтыг ажиглах боломжийг танд олгоно.

Энэ аргын сул тал нь том CRL файлыг татаж авахтай холбоотой хамгаалагдсан эх сурвалжид хандах хугацааг хойшлуулах явдал юм.

3) OCSP протокол ашиглан баталгаажуулалт

OCSP (Онлайн гэрчилгээний статусын протокол) нь CRL-ийн өөр хувилбар болгон боловсруулсан. Энэ шалгалтыг JDK 5-аас хойш JSSE (Java Secure Socket Extension) технологи дэмждэг. OCSP нь CRL-тэй хамтран ажилладаг. OCSP холболтын үед алдаа гарсан тохиолдолд CRL-д ханддаг. Хэрэв OCSP нь SSL сертификатын статусыг тодорхойлсон бол CRL шалгалтыг хийхгүй. Сертификат нь хүчингүй болсон, хэвийн, үл мэдэгдэх гэсэн гурван статусын аль нэгтэй байж болно.

OCSP баталгаажуулахын тулд гэрчилгээ нь OCSP Хариулагчийн URL-ын утгатай өргөтгөлийн хэсэгт AuthorityInfoAccess шинж чанарыг агуулсан байх ёстой.

OCSP Responder нь гэрчилгээний статусыг тодорхойлох хүсэлтийг боловсруулж, баталгаажуулалтын үр дүнг гаргадаг баталгаажуулалтын байгууллагын сүлжээний нөөцөд байрладаг програм хангамж юм.

Java виртуал машиныг OCSP-тэй шалгахын тулд та ocsp.enable=true шинж чанарыг тохируулах ёстой. Энэ өмчийг JAVA_HOME\jre\lib\security\java.security файлд тохируулсан. Энэ файлд та ocsp.responderURL шинж чанарт OCSP хариулагчийн хаягийг зааж өгч болно. SSL гэрчилгээнд хариулагчийн URL байхгүй тохиолдолд энэ өмчийг ашиглана.

Гэрчилгээжүүлэх байгууллагаас үйлчлүүлэгчийн SSL сертификат авч, вэб хөтчийг тохируулах

Сервер нь өөрийгөө хэн болохыг нотлохоос гадна үйлчлүүлэгчээс дижитал сертификатаар хэн болохыг батлахыг шаарддаг нөхцөл байдал байдаг.

Та өөрөө хүсэлт гаргахгүйгээр баталгаажуулалтын эрх бүхий байгууллагаар дамжуулан үйлчлүүлэгчийн SSL гэрчилгээ авах боломжтой. Үүнийг хийхийн тулд CA-ийн вэбсайт дээр нэр, овог, и-мэйл хаяг гэх мэт маягтыг бөглөх ёстой. Эдгээр өгөгдөл дээр үндэслэн хүсэлт гаргана. Энэ тохиолдолд нууц түлхүүр үүсгэх ажлыг баталгаажуулалтын байгууллагад өгдөг. Мэдээллийг шалгаж, хүсэлтэд гарын үсэг зурсны дараа үйлчлүүлэгчид нууц түлхүүр, гэрчилгээ, түүнчлэн эх ба завсрын баталгаажуулалтын байгууллагуудын файлуудыг агуулсан файлыг илгээдэг.

Сертификат файлуудыг хүлээн авсны дараа та аюулгүй холболтыг бий болгох програм хангамжийг тохируулах хэрэгтэй.

Зураг 6 - SSL үйлчлүүлэгчийн гэрчилгээ авах схем

Жишээлбэл, Microsoft вэб хөтөч дээр үйлчлүүлэгчийн SSL сертификатыг суулгая Internet Explorer. Үүнийг хийхийн тулд цэснээс Tools > Internet Options-ыг сонгоно. "Агуулга" таб дээрээс "Гэрчилгээ ..." -ийг сонгоно уу.

Зураг 7 - MS Internet Explorer дээр SSL сертификатуудыг удирдах

"Импорт ..." товчийг дарж Сертификат импортлох шидтэнг ажиллуулна уу. Энэ шидтэн дээр үндсэн CA сертификат руу хүрэх замыг зааж өгнө үү. Дараа нь Итгэмжлэгдсэн эх гэрчилгээжүүлэх байгууллагуудын дэлгүүрийг сонгоод түүнд гэрчилгээ нэмнэ үү.

Үүний нэгэн адил завсрын CA-ийн гэрчилгээг "Завсрын CA" дэлгүүрт, үйлчлүүлэгчийн гэрчилгээг "Хувийн" дэлгүүрт нэмдэг.

Зураг 8 - Баталгаажуулалтын хэлхээ

Сертификатын агуулгыг үзэхийн тулд хүссэн SSL сертификатаа сонгоод "Харах" товчийг дарна уу.

Хэрэв үйлчлүүлэгчийн гэрчилгээг алдартай гэрчилгээжүүлэх байгууллагаас авсан бол дүрмээр бол түүний SSL сертификатууд вэб хөтчийн дэлгүүрт аль хэдийн агуулагдсан байдаг бөгөөд тэдгээрийг нэмэх шаардлагагүй болно. Та зөвхөн үйлчлүүлэгчийн гэрчилгээг нэмэх хэрэгтэй.

Хэрэв харилцан үйлчлэлцэх сервер нь нийтлэг баталгаажуулалтын байгууллагаас бус гэрчилгээ авсан бол вэб хөтөч ийм гэрчилгээнд үл итгэх тухай мессежийг харуулахгүйн тулд серверийн гэрчилгээг итгэмжлэгдсэн хүмүүст нэмж оруулах шаардлагатай.

Үйлчлүүлэгчийн хүчингүй болсон гэрчилгээг шалгаж байна

Хэрэв үйлчлүүлэгч MS Internet Explorer вэб хөтчийг ашигладаг бол CRL-д илгээсэн гэрчилгээг шалгахаар тохируулж болно. Үүнийг хийхийн тулд Интернетийн сонголтуудын "Нарийвчилсан" таб руу очоод "Хэвлэн нийтлэгчийн гэрчилгээг хүчингүй болгосон эсэхийг шалгах" болон "Серверийн гэрчилгээг хүчингүй болгосон эсэхийг шалгах" гэсэн хоёр шинж чанарыг шалгана уу.