Безопасность IIS

       

с рабочего стола Windows информация


При установке каталога с зашифрованными свойствами в Windows Explorer или с рабочего стола Windows информация будет шифроваться на диске. В IIS SSL/TLS шифруют информацию при непосредственной передаче по сети браузеру клиента.


Рис. 8.9.  На вкладке Web Site (Веб-узел) установите порт SSL

  • Откройте вкладку Directory Security (Безопасность каталога). В области Secure Communications (Безопасные соединения) станут доступными кнопки View Certificate (Просмотр) и Edit (Изменить) (см. рис. 8.10). Для каталога кнопка изменения сертификата будет недоступна, так как эта операция осуществляется на уровне веб-узла, а не на уровне каталога. Нажмите на кнопку Edit (Изменить) для настройки параметров SSL/TLS.
  • В окне Secure Communications (Безопасные соединения) (см. рис. 8.11) отметьте опцию Require Secure Channel (SSL) (Требовать безопасное соединение [SSL]). Станет доступной опция Require 128-Bit Encryption (Требовать 128-битное шифрование); ее также следует отметить. Важно. Для обеспечения безопасности сайта не используйте шифрование на ключе длиной меньше, чем 128 бит. 56-битный алгоритм DES довольно легко взломать, но стоит сменить длину ключа на 128 бит – и шифрование станет на несколько порядков мощнее.
  • На данном этапе выполнены все требования, необходимые для включения SSL/TLS. Нажмите на OK, чтобы применить настройки и выйти из окна Web Site Properties.


    Рис. 8.10.  Во вкладке Directory Security (Безопасность каталога) нажмите на кнопку Edit (Изменить) для настройки безопасных соединений на сайте, поддерживающем сертификаты


    Рис. 8.11.  Выберите нужные настройки SSL в окне Secure Communications (Безопасные соединения)



  • Обратите внимание на рисунок 8.11: окно Secure Communications (Безопасные соединения) позволяет указать способ поддержки сертификатов на клиентах, посещающих веб-сервер. Можно выбрать следующие опции.

    • Игнорировать сертификаты клиентов. Отключает использование на сервере клиентских сертификатов для аутентификации независимо от того, установил ли клиент сертификат.
    • Принимать сертификаты клиентов.Позволяет серверу принимать сертификаты клиентов в качестве одного из методов аутентификации.
    • Требовать сертификаты клиентов. Предотвращает доступ клиентов, не имеющих сертификаты на своих системах, к защищенному содержимому сайта.


    Можно связать сертификаты клиентов с учетными записями пользователей на веб-сервере. После установки этой связи каждый раз при входе пользователя с использованием сертификата клиента сервер автоматически свяжет этого пользователя с соответствующей учетной записью Windows. Так осуществляется автоматическая аутентификация пользователей, входящих в систему с помощью клиентских сертификатов, без применения аутентификации Basic (Базовая), Messaging Digest (Обработка сообщений) или встроенной аутентификации Windows.


    Содержание раздела