Что нужно чтобы получить? Серверы сертификатов, или общение без страха

Мы выпустили новую книгу «Контент-маркетинг в социальных сетях: Как засесть в голову подписчиков и влюбить их в свой бренд».

Подписаться

Сертификат безопасности сайта – это данные, которыми сайт сообщает, что обмениваться с ним данными безопасно.

Отчасти это можно сравнить с предъявлением документов. Перед тем как пройти куда-либо с человеком, представившимся вам сотрудником полиции, вы можете попросить его показать вам удостоверение. Таким образом вы убедитесь, что этот человек действительно работает в правоохранительных органах и ему можно довериться.

Наличие у сайта сертификата безопасности может показывать, что:

  • Вебсайт использует https шифрование.
  • Он принадлежит реально зарегистрированной компании.
  • Владелец домена подтвердил свои права на него.

Типы сертификатов

Есть три вида удостоверений:

  • Начальный – Domain Validated, DV – подтверждающий только доменное имя. Выпускается моментально. Бесплатное подключение удостоверений этого уровня доступно в панели управления провайдера доменных имен. В ходе получения начального сертификата безопасности сайта просто проверяются ваши права на домен. Для получения удостоверения вы должны перейти по ссылке, высылаемой на электронную почту. Важный момент: когда вас попросят ввести почтовый адрес, нужно указать либо тот, что указан в WHOIS, либо тот, что расположен на самом домене. Так произойдет проверка прав.
  • Обычный - Organization Validation, OV - подтверждающий домен и его принадлежность организации. Чтобы его получить, вам нужно предъявить гарантийное письмо, удостоверяющие принадлежность домена вашей организации.
  • Расширенный – Extended Validation, EV – наиболее дорогой и авторитетный. Именно о наличии этого типа удостоверения свидетельствует зеленая строка с названием организации в адресной строке. Правила получения расширенного удостоверения строго регламентированы. Их нельзя назвать легко выполнимыми: необходимо предоставить множество документов. Каждый год производится проверка правовой, физической и операционной деятельности компании. Процесс выдачи занимает до двух недель.

Что такое https

HTTPS (Hyper Text Transfer Protocol Secure) – усовершенствованный протокол http. Такое соединение подтверждает то, что веб-сайт защищен – протоколом шифрования данных. Это также означает, что вся пересылаемая информация между вами и сайтом зашифрована и подтверждает, что он – подлинный.

Условно говоря, вы сообщаете, кто вы, при помощи логина и пароля. Сервер делает это, предоставляя сертификат безопасности вашему браузеру, а тот, в свою очередь, показывает это вам при помощи значка замка в адресной строке.

Если же описываемого символа на странице нет, это может быть поводом насторожиться. Ваши данные могут попасть в руки мошенников, ведь http соединение не зашифровано. Соответственно, при перехвате информации, например, когда вы пользуетесь публичным WIFI, прочесть ваши личные данные не составит никакого труда. Но если соединение будет защищено, то злоумышленник, если и перехватит сигнал, все равно не сможет расшифровать данные. Поэтому при пользовании публичными WIFI сетями стоит посещать только те страницы, соединение с которыми идет через https.

Как он работает

SSL шифрование подразумевает использование PKI системы, которая также известна как ассиметричная.

Такая система использует два ключа для зашифровки информации. Один из них – публичный, другой – приватный. Все, что шифруется публичным ключом, может быть расшифровано лишь приватным.

Когда вы запрашиваете соединение с страницей, веб-сайт сразу же отсылает SSL сертификат вашему браузеру. Он содержит публичный ключ, необходимый для того, чтобы . Затем происходит то, что называется SSL рукопожатием: происходит обмен данными, необходимыми для дешифрации и установки уникального защищенного соединения между веб-сайтом и пользователем.

Что делать, если возникла проблема с сертификатом безопасности сайта

Если вы увидели перед собой подобную ошибку, не нужно сразу же уходить со страницы. Необходимо проверить детали. Это не займет много времени.
Владелец мог попросту забыть продлить действие SSL-удостоверения.
Также, подобная ошибка может возникнуть из-за несоответствия даты и времени, выставленных на сервере и у вас на компьютере.

Но если же уведомление гласит, что сертификат безопасности сайта был отозван – это существенный повод насторожиться. Вероятнее всего, владелец ресурса пытался использовать его в мошеннических целях и за это был наказан.

Также браузер может уведомить вас о том, что компании, выдавшей документ, нет в списке доверенных. В таком случае необходимо более детально изучать само удостоверение безопасности. Всегда можно ввести название компании в поисковике – если вы не найдете отрицательных отзывов о сайтах, использующих удостоверения безопасности этой компании, повода для недоверия нет.

Как получить сертификат безопасности сайта

Для получения удостоверения безопасности мы можете обратиться к любому известному и проверенному удостоверяющему центру напрямую. Таких много: GoDaddy, Comodo, Norton, GlobalSign

Несмотря на то, что можно купить удостоверения напрямую, многие предпочитают делать это через посредников – своих хостеров/провайдеров/регистраторов. Это удобнее, ведь поддержку на русском языке вы получите только в российской компании.
Купить удостоверение у российского продавца сложно. Российские удостоверяющие центры не входят в число доверенных.

Сертификат безопасности сайта – это краеугольный камень репутации любого ресурса, владельцев которого заботит собственный бренд и доверие клиентов.

Подключение SSL обязательно для владельца любого веб-сайта. Оно оказывает влияние на уровень доверия пользователя.

Что такое сертификат сервера?

Сегодня решил посетить один сайт, который посещал неоднократно долгое время, в том числе и вчера. Но при заходе на сайт браузер дал следующее предупреждение: "Сертификат сервера не соответствует имени узла. Принять?" Что это может означать?


Юрий | 25 октября 2013, 09:28
спасибо, Дмитрий, ты очень помог

Иван | 23 октября 2013, 19:38
Проблема может возникать не только в случае заражения вирусом, подменивающим сайты, но и при использовании некоторых сетевых экранов, например, Kaspersky Internet Security, Dr.Web Security Space Pro и, возможно, других (источник http://my.opera.com/russian/forums/topic.dml?id=1531102). Технически такое вполне возможно, ведь, например, Касперский переадресует весь внешний трафик на виртуальный сервер 127.0.0.1 и хотя он устанавливает дополнительные сертификаты, сам же предупреждает о том, что они не абсолютно надёжны.

Решение я найти не смог, разве что отключить сетевой экран (файервол). И, как и сказал Дмитрий, в случае подмены сайтов лучше просканировать компьютер на вирусы: это решит проблему.

Анатолий | 15 мая 2013, 13:53
Дмитрий, у меня примерно такая же беда. Включаю почту Яндекса и появляется такая открытка. Прочитал ваш ответ "предыдущему товарищу", но... ничего не понял. Не врубаюсь я в свои 60 лет... Изложите мне это, пожалуйста, по пунктам: 1, 2... Тогда я буду читать и делать.

Дмитрий | 15 апреля 2012, 16:18
Зайдите в свойства обозревателя - вкладка Содержание - кн. Сертификаты - вкладка Доверенные корневые центры сертификации. Там у Вас много сертификатов. Встаньте на любой и нажмите ниже кн. Просмотр. Компьютер покажет сертификат. В нижней части написано: кому он выдан, кем выдан и на какой срок. Теперь о вашем случае: в сертификате, который проверяет Ваш браузер эти данные соответствуют узлу, на который пытаетесь зайти? Скорее всего нет. Т.е. некие плохие люди подставили Вашему браузеру копию сайта, на который Вы хотели попасть, и таким образом хотят украсть конф.данные, как-то: пароль, пинкоды и пр. Вам решать, что делать. Лично я немедленно ушел бы и больше не заходил туда, а также немедленно обновил систему безопасности (хотя я и так поддерживаю ее в актуальном состоянии) и проверился антивирусом.

16.09.1997 Тодд Купи

Все четыре программных продукта, о которых пойдет речь в обзоре, облегчают работу с сертификатами безопасности, но сервер WebСА компании Entrust справляется с этой задачей лучше остальных. WebСА вызывает доверие Sentry

Все четыре программных продукта, о которых пойдет речь в обзоре, облегчают работу с сертификатами безопасности, но сервер WebСА компании Entrust справляется с этой задачей лучше остальных.

Вряд ли кто-нибудь захочет завести случайные связи в киберпространстве, посылая по Internet конфиденциальную информацию для непроверенного партнера. Разумнее - воспользоваться услугами солидных "бюро знакомств", которые позволят удостовериться, что тот, кто находится на другом конце провода, вполне благонадежен. В компьютерном мире роль бюро знакомств играют специальные программы, называемые серверами сертификатов безопасности (или просто серверами сертификатов).

Серверы WebСА 1.0.1 (Entrust Technologies), Sentry CA Apache Stronghold Release 1.2 (Xcert Software), Certificate Server 1.01 (Netscape Communications) и e-Cert (Frontier Technologies) предназначены для решения именно этой задачи. Все они позволяют создавать и обрабатывать цифровые сертификаты в стандарте Х.509 и, наряду с технологией шифрования, используются для защиты данных, передаваемых между пользователями. По сути дела, сертификаты препятствуют попыткам злоумышленника, применяющего фальшивый шифровальный ключ, выдать себя за другого. С помощью серверов, находящихся в распоряжении службы сертификации (их называют серверами сертификатов), можно создавать, хранить и обрабатывать сертификаты в безопасном режиме (см. ). Если вы уже пришли к выводу, что нуждаетесь в цифровых сертификатах, для вас не составит большого труда установить в частной сети сервер сертификатов с помощью любого из четырех программных продуктов, о которых пойдет речь ниже.

Среди протестированных нами продуктов наивысшей оценки заслуживает пакет WebСА компании Entrust: он быстро устанавливается, обладает удачным интерфейсом, легко настраивается и стоит недорого. Однако конкуренция между программами была очень жесткой. Certificate Server компании Netscape - неплохой вариант для пользователей, вынужденных управлять большим количеством сертификатов и готовых смириться с достаточно неудобной процедурой установки. Серверы Sentry CA компании Xcert и e-Cert компании Frontier Technologies тоже довольно привлекательны; их можно использовать на узлах, работающих под управлением ПО на базе Unix и Microsoft соответственно.

WebСА вызывает доверие

Сервер сертификатов WebСА компании Entrust Technologies появился на рынке одним из первых и явно предназначен для работы на корпоративном уровне. Он оказался очень серьезным продуктом. Благодаря способности осуществлять взаимную аутентификацию WebСА производит аутентификацию сертификатов, хранящихся на других серверах. Стоимость этого пакета невысока (500 дол. за 500 сертификатов), что позволяет создавать у себя службы корпоративного масштаба небольшим и среднего размера компаниям.

Сервер WebСА привлекателен и совместимостью со многими другими программными продуктами. Такие гиганты компьютерного бизнеса, как IBM, Novell и Hewlett-Packard, создают специализированные прикладные программы, в которых используются сертификаты, созданные при помощи WebСА. Даже Netscape, разработавшая конкурирующий сервер сертификатов, выпускает версию своего сервера Communicator 4.0, снабженную совместимым с WebСА браузером.

WebСА работает под управлением Windows NT 3.51 или выше и хорошо совместим с любым Web-сервером, который применяет протокол безопасности SSL (Secure Sockets Layer) и работает под управлением NT, - в том числе с серверами Internet Information Server (IIS) компании Microsoft и Enterprise Server компании Netscape. Мы проверили, как WebСА работает с IIS 3.0, и не обнаружили никаких проблем. Установливая в сети сервер WebСА, администраторы получат настоящее удовольствие - настолько проста эта процедура.

В комплект сервера WebСА входит Entrust/Directory - база данных, совместимая с протоколом LDAP (Lightweight Directory Access Protocol, упрощенный протокол доступа к каталогам). Она используется сервером для хранения и обработки содержащейся в сертификатах информации. Объем базы данных достаточен для того, чтобы держать на одном сервере сведения о 5 тыс. пользователей. Если требуется создать большее число сертификатов, то в WebСА имеются ссылки на более крупные каталоги Х.500.

Вместе с сервером WebСА поставляются образец заявки на выдачу сертификата, сценарии интерфейса общего шлюза и страницы в формате HTML. Все эти элементы настраиваются по вашему желанию. Пользователь способен создавать сертификаты различных типов и в любом количестве в соответствии с определенной для него привилегией доступа. При соответствующей настройке сервер позволит загружать список пользователей из имеющегося каталога или принимать целевые запросы на выдачу сертификатов. Благодаря основанному на браузере и очень простому в работе интерфейсу администраторы добавляют группы новых пользователей, аннулируют их и исключают из списков, изменяют некоторые параметры сертификатов (например, сроки действия), а также добавляют и аннулируют имена других администраторов. Пользователи, нуждающиеся в сертификатах для работы с браузерами, могут связаться с WebСА через Web с помощью специальной страницы, которая позволяет подготовить заявку на выдачу сертификата и направить ее администратору узла.

Большинство серверов сертификатов отвечают на запросы пользователей электронным письмом, содержащим ссылку на Web-страницу, к которой пользователь должен обратиться для получения сертификата. Сервер WebСА дает возможность получать сертификаты из каталога, поддерживающего протокол LDAP.

Единственным минусом WebСА является то, что он не удовлетворяет автоматически некоторые запросы на предоставление сертификата. Поэтому администраторам сервера во всех случаях приходится выдавать соответствующее разрешение вручную. Это может привести к образованию больших очередей на узлах, обслуживающих крупные сообщества пользователей.

Sentry - бдительный часовой

Сервер Sentry CA компании Xcert Software успешно развеивает миф о том, что установка ПО под ОС Unix требует как минимум ученой степени в области программирования и работы с операционными системами. Нам потребовалось менее 15 минут, чтобы разархивировать дистрибутивный файл, запустить установочную программу и настроить сервер для работы на компьютере SPARC 5 компании Sun Microsystems под управлением операционной системы Solaris 2.5.1.

Sentry CA совместим с популярным Web-сервером Apache, если последний снабжен программным модулем Stronghold компании C2 Net, поддерживающим безопасные транзакции. При этом сам сервер Sentry CA комплектуется полным набором программ, входящих в сервер Apache. К сожалению, компания Xcert пока не выпустила сервер Sentry CA в виде расширения для серверов Netscape Enterprise Server и Microsoft IIS.

Набор функций Sentry CA производит очень приятное впечатление. Продукт поддерживает режим взаимной аутентификации со службами сертификации других организаций, работающих с той же локальной сетью, с помощью безопасного протокола LDAP, поэтому можно принимать и обрабатывать их сертификаты. В состав сервера включены также модули списка управления доступом (ACL, Access Control List), которые предоставляют администратору возможность разрешать или запрещать доступ пользователя к ресурсам на основании его сертификата. Мы чрезвычайно легко создали несколько ACL-объектов, ограничивающих доступ к каталогам нашего Web-сервера на основании имени организации, указанного в сертификате.

Если вы намерены пополнить ваш арсенал средств безопасности шифровальными устройствами типа смарт-карт, то для вас окажется очень полезной поддержка сервером Centry CA устройств, совместимых со стандартом PKCS (Public Key Cryptography Standards #11). Благодаря этой поддержке сервер удовлетворяет запросы на сертификаты, отправленные с помощью смарт-карт NetSign компании Litronic и шифровальных модулей Cryptographic Token компании Fischer International. Те и другие представляют собой аппаратные средства распознавания; пользователи вставляют их в специальное считывающее устройство, соединенное с компьютером.

Как и в других аналогичных продуктах, взаимодействие с сервером Sentry CA осуществляется через стандартный Web-браузер. Используя специальные формы, которые входят в комплект сервера, пользователи запрашивают сертификаты, а администраторы удовлетворяют эти запросы, ведя с пользователями диалог по электронной почте. Запросы на выдачу сертификатов могут высылаться автоматически, без вмешательства администратора, что очень удобно, - особенно для узлов, на которых выдавается большое количество сертификатов. Следует отметить: сертификаты нельзя создавать внутри Sentry CA, их приходится приобретать у независимой службы, что неизбежно увеличивает полную стоимость сервера.

Среди достоинств Sentry CA следует отметить развитый интерфейс прикладного программирования Xcert Universal Data API (XUDA). Набор инструментальных программ XUDA обеспечивает большую гибкость в работе с базой данных, предназначенной для хранения сертификатов. Эти программы применимы и для разработки приложений, использующих сертификаты с открытым ключом, SSL-транзакции и безопасный доступ к базам данных.

Certificate Server совсем неплох

Продукт Certificate Server компании Netscape не обладает такими же развитыми возможностями, как Sentry CA, столь же отчетливой ориентацией на корпоративную работу и таким же простым интерфейсом, как WebСА, но все же является вполне достойным. Как и другие серверы, созданные Netscape, Certificate Server работает под управлением ОС Windows NT и целого ряда версий Unix, что упрощает задачу его интеграции с корпоративной сетевой средой. Certificate Server поддерживает до 10 тыс. сертификатов на каждый сервер. Он может быть приобретен в составе комплекта SuiteSpot Professional Edition производства Netscape и прекрасно совместим с другими продуктами этой компании.

Основным достоинством сервера является основанный на Web-браузере пользовательский интерфейс. Он не столь удобен в работе, как интерфейс сервера WebСА, но простые электронные формы, входящие в состав сервера, позволяют настроить большинство функций. С помощью сертификата, предоставившего нам права администратора, мы воспользовались протоколом SSL для регистрации в программе и создали в ней настраиваемые шаблоны, а затем - выдавали, находили и аннулировали выданные сертификаты.

Действуя в качестве пользователя, мы запрашивали сертификаты для сервера и отдельного пользователя. Чтобы получить разрешение, нужно было заполнить соответствующую форму и поставить ее в очередь к администратору сервера. Оба типа полученных нами сертификатов работали с самыми последними версиями браузеров Navigator и Internet Explorer, настроенными на функционирование в безопасной сетевой среде.

Certificate Server поставляется в комплекте с сервером Online Workgroup Server компании Informix Software, который используется для хранения и обработки сертификатов. Специальная база данных учитывает любое изменение в статусе каждого из созданных сертификатов и включает в себя такие сведения, как время создания и аннулирования, имя подписавшего сертификат и т. п. Если ваша сетевая среда поддерживает протокол LDAP, то для вас окажутся полезными прямые ссылки на сервер Directory Server компании Netscape, которые содержатся в Certificate Server. Они позволяют размещать действующие сертификаты и списки аннулированных сертификатов в каталогах LDAP.

В целом благоприятное впечатление от продукта компании Netscape было омрачено лишь неудобной процедурой его установки. Чередование диалоговой программы с вводом команд из командной строки представляло собой странную комбинацию, которая привела нас в некоторое замешательство.

e-Cert - часть системы e-Lock

Сервер e-Cert является одной из трех составных частей системы безопасности e-Lock, разработанной компанией Frontier: для выдачи сертификатов и управления ими используется компонент e-Cert, для создания цифровых подписей под любым файлом или документом - e-Sign, а с помощью e-Mail можно зашифровать и подписать электронное послание, передаваемое по протоколу Secure MIME. Другие рассмотренные нами серверы сертификатов тоже поддерживают продукты, сходные с e-Sign и e-Mail, но только Frontier включила эти программы в комплект своего сервера.

Установка e-Cert 1.1 на ПК класса Pentium под управлением Windows NT Server 4.0 оказалась гораздо более простой, чем в случае с Certificate Server. Нам помогла установочная программа Install Wizard. Процедуру установки сервера облегчают многие заимствования из концепции "мастеров" (wizards), предложенной компанией Microsoft.

Программа e-Cert относится к тем немногим серверам сертификатов, которые используют различные базы данных для хранения сертификатов. Можно выбрать любую систему управления базами данных, совместимую с ODBC (Open Database Connectivity), практически любую коммерческую СУБД на базе SQL или каталог LDAP. В комплект сервера входят несколько удобных демонстрационных программ, одна из которых автоматически выдает пользователю сертификат через Web-браузер.

Сервер сертификатов e-Cert прост в эксплуатации и совместим с такими промышленными стандартами, как PKCS. Однако он лишен некоторых полезных функций, например удобного способа выдачи сертификатов пользователям. Когда пользователь присылает файл с запросом на сертификат (или сертификат, полученный от публичной службы сертификации), приходится вручную переносить его на e-Cert путем загрузки с диска или копирования с другой машины в сети. Затем администратор должен изучить запрос и принять по его поводу какое-либо решение. Еще один потенциальный недостаток e-Cert кроется в отчетливой ориентации пакета на сервер IIS и браузер Internet Explorer. Если ваша сетевая среда ориентирована на операционную систему Unix или продукты компании Netscape, вам следует поискать какой-нибудь другой вариант.

Тодд Купи (Todd Coopee) - помощник руководителя технической службы колледжа Trinity College в г. Хартфорд (шт. Коннектикут). Адрес его электронной почты - [email protected] .

Результаты испытаний серверов сертификатов

Критерий Весовой коэфф., % WebСА Sentry CA Certificate Server e-Cert
Разнообразие свойств и поддержка протоколов 30 8 9 8 6
Средства управления и поддержка серверов 30 9 6 9 7
Установка и справочная документация 20 10 10 5 9
Емкость и возможности наращивания 10 8 9 9 7
Цена 10 10 7 8 9
Итоговая оценка 8,9 8,1 7,8 7,3
Примечания. Оценки даны по 10-балльной шкале. Весовые коэффициенты свидетельствуют об относительной значимости каждого критерия и используются при выведении итоговой оценки.

Что такое "сертификаты безопасности"

Термин "служба сертификации" (Certificate Authority, CA) берет свое начало в области шифрования с открытым ключом (public key). В этом шифровальном алгоритме шифровальный ключ состоит из двух частей: открытого ключа (он опубликован и доступен всем желающим) и секретного (private key), который известен только его владельцу. Конфиденциальные сообщения шифруются и отсылаются с помощью открытого ключа, но расшифроваются только благодаря секретному ключу, которым располагает адресат сообщения. Открытый и секретный ключи фактически являются инверсными копиями друг друга, однако из-за большого размера шифровального ключа практически невозможно восстановить его неизвестную (секретную) составляющую по известной части.

К сожалению, шифрование решает не все проблемы. Например, каким образом пользователь может проверить, получил ли он открытый ключ своего партнера по диалогу или того, кто маскируется под этого партнера? Как узнать, можно ли доверять вашему собеседнику? Вот здесь-то на помощь и проходят цифровые сертификаты и ПО для работы с ними. Сертификаты лишают злоумышленника возможности использовать фальшивый ключ и выдавать себя за другого; серверы сертификатов выдают, хранят и обрабатывают сертификаты в безопасном режиме.

Универсальное применение сертификатов обеспечивает стандарт Х.509, на котором все они основаны и который поддерживается целым рядом протоколов безопасности. В их числе - стандарт шифрования с открытым ключом (PKCS), протокол связи SSL (Secure Sockets Layer Handshake Protocol) и безопасный протокол передачи гипертекстовых сообщений (Secure HTTP).

Достоинства и недостатки серверов сертификатов


 Стоимость, дол. Достоинства Недостатки
WebСА фирмы Entrust Technologies, Inc., www.entrust.com 500 (за 500 сертификатов) Невысокая цена
Простота установки
Хороший интерфейс управления 		Ограниченные возможности настройки
Отсутствуют некоторые развитые функции
Sentry CA 1.2 фирмы Xcert Software, Inc., www.xcert.com 1495 Простота установки
Хороший набор функций 		Ограниченные функции Web-сервера
Нет возможности создавать собственные сертификаты
Certificate Server 1.01 фирмы Netscape Communications Corp., www.netscape.com 995 Хорошие средства управления
Имеется возможность настройки
Содержит базу данных Informix 		Неудобный процесс установки
Неполная справочная документация
e-Cert 1.1 фирмы Frontier Technologies Corp., www.frontiertech.com 799 Простота установки
Является частью более крупного пакета 		Поддерживает ограниченное число типов серверов
Явно ориентирован на продукцию Microsoft


Следующие процедуры демонстрируют, как можно организовать работу с сертификатами на сервере. Дополнительные сведения о сертификатах см. в разделе О сертификатах .

Важно! Очень важно обеспечить сохранность и защиту сертификата и пары ключей; всегда создавайте их резервные копии на дискете и храните эту дискету в безопасном месте.

Чтобы выпустить собственный сертификат сервера

Исследуя возможность выпуска собственных сертификатов сервера, следует рассмотреть следующие вопросы.

  • Ознакомьтесь с возможностями, предлагаемыми службой сертификации; службы сертификации Microsoft Certificate Services 2.0 поддерживают различные форматы сертификатов и имеют средства для аудита и регистрации событий, связанных с сертификатами.
  • Сравните стоимость выпуска собственных сертификатов и приобретения сертификата в службе сертификации.
  • Организации может потребоваться некоторое время, чтобы изучить, реализовать и интегрировать службы сертификации с существующими системами и политиками безопасности.
  1. Используйте службы сертификации для создания настраиваемой службы выпуска сертификатов и управления ими. Серверные сертификаты можно создавать для Интернета или корпоративных интрасетей, что позволяет установить в организации полный контроль над политиками управления сертификатами. Дополнительные сведения см. в документации по службам сертификации Microsoft.
  2. Для получения и установки сертификата сервера используйте .

Примечания

  • Интерактивные запросы на серверные сертификаты можно выполнять только к службам сертификации организации. Мастер сертификатов веб-сервера IIS не распознает изолированную службу сертификации, работающую на том же компьютере. Используйте автономный запрос на сертификат для сохранения сертификата в файле и его автономной обработки (см. документацию по службам сертификации). Интерактивные запросы с использованием локальных служб сертификации организации при этом не затрагиваются.
  • При открытии сертификата SGC, на вкладке Общие может возникнуть сообщение "Этот сертификат не удалось проверить для всех указанных для него целей применения." Это сообщение обусловлено способом, которым сертификаты SGC взаимодействуют с Windows 2000, и не обязательно свидетельствует о том, что сертификат работает неправильно.
Чтобы получить сертификат сервера в службе сертификации

Примечание. Если заменяется текущий сертификат сервера, IIS будет продолжать использовать его до тех пор, пока новый запрос не будет полностью обработан.

  1. Найдите службу сертификации, предлагающую услуги, которые отвечают требованиям вашей организации, и запросите сертификат сервера.

    2. При выборе службы сертификации необходимо рассмотреть следующие вопросы:

  • Сможет ли служба сертификации выдать вам сертификат, совместимый со всеми обозревателями, с помощью которых пользователи обращаются к вашему серверу?
  • Является ли служба сертификации известной организацией, которой можно доверять?
  • Каким образом служба сертификации обеспечивает подтверждение вашей подлинности?
  • Имеет ли эта служба систему интерактивного приема запросов на сертификаты, например запросов, созданных с помощью мастера сертификатов веб-сервера?
  • Сколько будет стоить сам сертификат, а также его последующие обновления и другие услуги?
  • Имеет ли служба сертификации опыт в области деловых интересов вашей компании?

Список сертификационных служб, поддерживающих Internet Information Services, находится на веб-узле Microsoft Security по адресу . В списке By Category выберите строку Certificate Authority Services .

  • С помощью мастера сертификатов веб-сервера создайте запрос на сертификат, который можно отправить службе сертификации.
  • Отправьте запрос службе сертификации. Она обработает его и выдаст вам сертификат.

    • Примечание. Некоторые службы сертификации требуют подтверждения вашей подлинности перед обработкой запроса или выдачей сертификата.

  • Для установки сертификата используйте мастер сертификатов веб-сервера .

    • Создание резервной копии сертификата сервера и закрытого ключа

    Примечание. В предыдущей версии IIS для создания резервных копий сертификатов сервера использовалась программа Key Manager. В настоящей версии программу Key Manager заменяет мастер сертификатов веб-сервера. Так как IIS тесно связан с Windows, для экспорта и создания резервных копий сертификатов сервера можно использовать диспетчер сертификатов.

    Чтобы создать резервную копию сертификата сервера
    Чтобы добавить диспетчер сертификатов в MMC

    Примечание. Если диспетчер сертификатов уже установлен в консоли MMC, он будет указывать на хранилище сертификатов «Локальный компьютер».

    1. Откройте консоль MMC и выберите команду Добавить/удалить оснастку в меню «Консоль».
    2. Нажмите кнопку Добавить .
    3. Выберите в списке строку Сертификаты .
    4. Нажмите кнопку Добавить .
    5. Выберите переключатель учетной записи компьютера .
    6. Выберите переключатель локальным компьютером (тем, на котором выполняется эта консоль) .
    7. Нажмите кнопку Готово .

    SSL-сертификат (от англ. Secure Sockets Layer — уровень защищённых сокетов) - это протокол для кодировки данных, которые идут от пользователя к серверу и обратно.

    Как SSL-сертификат работает?

    На сервере есть ключ, с помощью которого шифруются любые данные, которыми он обменивается с пользователем. Браузер пользователя получает уникальный ключ (который известен только ему) и таким образом складывается ситуация, когда расшифровать информацию может только сервер и пользователь. Хакер конечно может перехватить данные, но расшифровать их практически невозможно.

    Зачем SSL-сертификат владельцу сайта?

    Если ваш сайт подразумевает регистрацию для пользователей, онлайн-покупки и т.д., то SSL-сертификат будет хорошим сигналом для пользователя, что вашему сайту можно доверять. Сегодня многие пользователи не знают об этом, и без раздумий передают данные своих кредиток на различных сайтах. Но в будущем таких людей будет становиться все меньше и меньше, т.к. после первой же пропажи денег с карточки человек сразу задумывается "а что нужно делать, чтобы деньги не пропадали?", "каким сайтам можно доверять?". В итоге о безопасном соединение, говорит наличие протокола https:// в адресе сайта или такой вид адресной строки в браузере.

    Как получить SSL-сертификат?

    SSL-сертификаты выдают специальные сертификационные центры, наиболее популярными в мире считаются Thawte , Comodo , Symantec . Но все они имеют англоязычный интерфейс, что создает определенные неудобства для отечественных пользователей. Поэтому сейчас появилось очень много компаний, которые являются посредниками и продают SSL-сертификаты. Это же делают и крупные хостинг-компании, и регистраторы доменов. Мы рекомендуем покупать сертификаты именно у качественных хостеров или регистраторов доменов. А еще лучше, покупать их у той компании, у которой вы регистрировали свой домен. Как правило эти компании сотрудничают с сертификационными центрами, и за счет объема имеют существенную скидку. Поэтому итоговая цена для вас скорее всего не будет меняться.

    Какие бывают SSL-сертификаты?

    Начальный уровень

    Как правило такие сертификаты покупают в том случае, если не нужно подтверждать компанию (или компании вовсе нет, а сайт принадлежит частному лицу), а нужно лишь безопасное соединение.

    • Самые дешевые
    • Срок выдачи: несколько часов
    • Подтверждают права на домен, и не подтверждают компанию
    • Для юридических, физических и частных лиц
    • Не нужны какие-либо документы

    Средний уровень

    Такие сертификаты уже могут подтвердить компанию владельца домена, что вызывает больше доверия у посетителей сайта. Ведь документы компании проверяет аттестационный центр, что должно вызывать максимальное доверие пользователей. При этом адрес сайта в браузере подсвечивается зеленым цветом.

    • Средняя стоимость
    • Срок выдачи: в течении недели
    • Подтверждают компанию, которая владеет доменом
    • Только для юридических лиц
    • Требуются документы, подтверждающие вашу компанию и ее адрес

    высокий уровень

    Данные сертификаты имеют все показатели Среднего уровня, но цена их дороже, за счет маркетинговой игры центров аттестации. Так например вы сможете их использовать не только на основном домене, но и на поддоменах (например forum.mysite.com и т.д.), или пользователи с устаревшими браузерами смогут использовать защищенное соединение. Также от уровня сертификата зависит максимальный срок регистрации сертификата. Как правило он составляет 1-4 года от даты выдачи.

    Сколько стоит SSL-сертификат?

    Цена находится в рамках от 30 до 1200 долларов США в год. Но есть и бесплатные варианты, в виде бесплатные варианты , хотя их использование не совсем удобно.

    Что нужно чтобы получить?

    Для сертификатов низкого уровня

    • e-mail (обязательно чтобы он принадлежал вашему сайту, например для сайта mysite.com имейл может быть [email protected]
    • Имя или организация
    • Адрес

    Для сертификатов более высокого уровня

    Здесь проводиться проверка организации, поэтому к тому, что перечислено выше вам придется добавить:

    • Телефон
    • Документы подтверждающие организацию (номер регистрации компании или подобные документы). В целом для каждой страны перечень
    • документов разный, но будьте готовы к серьезной проверке, в плоть до того, что придется высылать копию договора о предоставлении услуг связи, чтобы подтвердить телефон. Отправка скан-копий документов возможно по факсу и электронной почте.

    Также для получения SSL-сертификата у домена должен быть отключен WHOIS-Protect (скрытие данных о домене). На сегодня это правило не действует лишь на домены.ru и.рф. И еще, обязательной является генерация CSR.

    Что такое CSR?

    CSR (Certificate Signing Request) - это зашифрованный запрос, который нужно приложить к заявке отправляемой в центр сертификации. Этот запрос нужно сгенерировать на сервере, на котором расположен ваш сайт. Процесс генерации CSR зависит от сервера, а точнее от программного обеспечения, которое на нем установлено. Если покупать сертификат через хостинг-компанию у которой расположен ваш сайт, то скорее всего вам будет представлен удобный интерфейс для генерации CSR. Если же его нет, то мы расскажем как это сделать для наиболее распространенного серверного софта (Linux\Apache).

    Как генерировать CSR?

    1. Подключаетесь к серверу через SSH-соединение

    Используем программу PuTTY . В командной строке вводите:

    openssl genrsa -out myprivate.key 2048

    Тем самым мы генерируем закрытый приватный ключ для CSR. При этом будет задано два вопроса "Enter pass phrase for private.key" и "Verifying - Enter pass phrase for myprivate.key" - это просьба два раза ввести пароль для ключа. Важно чтобы вы его запомнили, т.к. понадобится на следующем шаге. В результате будет сгенерирован файл myprivate.key.

    2. Генерируем CSR

    Вводим команду:

    openssl req -new -key myprivate.key -out domain-name.csr

    Только меняйте domain-name на имя вашего домена. Потом в ответ на вопрос "Enter pass phrase for myprivate.key" вводим пароль, который мы задавали на предыдущем шаге.

    После этого только английскими буквами заполняем:

    Country Name - Код страны в формате ISO-3166 (нам нужен двухбуквенный код, берем его из колонки Alpha-2);
    State or Province Name: Область или регион\штат;
    Locality Name: Город;
    Organization Name: Организация;
    Organizational Unit Name: Подразделение (необязательное заполнять);
    Common Name: доменное имя;
    Email Address: ваш E-mail (необязательное поле);
    A challenge password: (не нужно заполнять);
    An optional company name: Другое название организации (не нужно заполнять).

    Все данные которые вносятся должны быть правдивыми и совпадать с теми, которые вы заполняли при регистрации домена (проверить их можно через WHOIS-сервисы). В результате этих операций, на сервере будет создан файл domain-name.csr. Его нужно сохранить, и потом приложить к заявке на получение SSL-сертификата, которая подается в центр сертификации.

    Что делать, после получения SSL-сертификата?

    После получения сертификата его нужно установить на сервер. Процесс установки достаточно простой, но очень отличается в зависимости от программного обеспечения сервера. Поэтому поищите инструкцию на сайте хостинг-провайдера, а еще лучше - обратитесь в техническую поддержку, чтобы правильно все настроить.

    Что делать если изменились данные организации или поменялся хостинг?

    В таких случаях нужно переиздавать SSL-сертификат, но при этом это должно делать бесплатно для вас.

    Читайте также