Безопасность IIS

       

Цифровые подписи и инфраструктура открытого ключа


Шифрование на общем ключе привело к введению цифровых сертификатов, используемых для аутентификации на веб-сайтах с протоколами SSL/TLS и IPSec. Цифровой сертификат представляет собой цифровой документ (небольшой файл), заверяющий подлинность и статус владельца для пользователя или компьютерной системы. Например, бизнес-сертификат подтверждает тот факт, что компания обладает определенным открытым ключом. Цифровые сертификаты помогают автоматизировать распределение открытых ключей в протоколе шифрования с открытым ключом. Когда другому компьютеру необходимо произвести обмен данными с вашей системой, он осуществляет доступ к цифровому сертификату, содержащему ваш открытый ключ.

Набор продуктов и процессов, необходимых для безопасного создания, управления и распределения цифровых сертификатов, называется инфраструктурой открытого ключа (PKI). Одним из компонентов PKI является компьютер, называемый сервером сертификатов. Объединение, включающее сервер сертификатов и создающее сертификаты, называется бюро сертификатов (CA). CA несет ответственность за подтверждение подлинности сертификата и принадлежности его физическому лицу или организации перед созданием сертификата.

Существуют компании, например, Verisign и SSL.com, являющиеся коммерческими CA. Эти организации за определенную плату выпускают сертификаты для отдельных лиц и компаний. Если организация взяла на себя роль своего собственного бюро сертификатов и выпускает свои сертификаты, то необходим программный продукт Microsoft Sertificate Server, но придется установить этот компонент и управлять им на отдельном сервере в целях безопасности. Руководство многих компаний предпочитает оплатить услугу по получению сертификатов вместо покупки своего собственного оборудования и выделения необходимых ресурсов для самостоятельного выпуска сертификатов.

Стандарт цифровых сертификатов X.509 обеспечивает совместимость с протоколами SSL/TLS и IPSec, используемыми в Microsoft Windows 2000 и IIS. Согласно этому стандарту цифровой сертификат X.509 v3 должен содержать четыре объекта.


  • Отличительное имя ( Distinguished Name, DN) организации, от которой получен сертификат (т.е. имя, введенное в поле Name сертификата).
  • Открытый ключ отдельного лица или организации, идентифицируемый сертификатом.
  • Цифровую подпись, полученную от секретного ключа бюро сертификатов, предусмотренного соответствующим сервером сертификатов.
  • Отметки о дате, означающие даты выпуска и срок действия сертификата.


Имея эту информацию, два узла в виртуальной частной сети или веб-сервер и правильно настроенный веб-браузер могут отправлять и получать потоки данных, которые будут расшифрованы только ими.

Установление доверия к бюро сертификатов осуществляется по решению персонала или руководства компании. В интернете, как правило, принимается сертификат Verisign. После вынесения решения о доверии корневой сертификат СА нужно установить на серверах и клиентах, осуществляющих взаимную аутентификацию. Корневым сертификатом называется сертификат, содержащий открытый ключ CA, которому будут сопоставляться отдельно выпущенные и подписанные сертификаты с применением концепции открытого ключа для подтверждения подлинности сертификатов. Например, браузер авторизует цифровой сертификат веб-сайта, сопоставляя подпись сертификата с открытым ключом корневого сертификата CA, установленного в браузере. С помощью этой проверки браузер определяет, что сайт на самом деле принадлежит компании или организации, которую он представляет (в силу доверия к бюро сертификатов).


Содержание раздела