Безопасность IIS

       

Запрос на сертификат сервера


Первым шагом в получении сертификата является запрос в бюро сертификатов, которое выпустит его. При выполнении запроса необходимо подтвердить информацию, описывающую ваш бизнес, а также созданный открытый ключ.

При запросе сертификата у коммерческого бюро сертификатов его нужно отправлять с сайта этой организации (например, www.verisign.com). При запросе сертификата в бюро сертификатов внутри организации администратор бюро создаст веб-страницу и предоставит соответствующий URL.

Скорее всего, вы получите сертификат не сразу. Исключением является ситуация, когда сертификаты используются внутри сети. В этом случае в организации предусматривается политика, которая не требует просмотра запросов на сертификаты при условии доверия запрашивающему пользователю (т.е. если ваше имя из списка пользователей Windows Domain распознано), и если управляемый внутри сети сервер сертификатов настроен на автоматизированное подтверждение. Однако, большая часть времени после передачи запроса в бюро сертификатов уйдет на ожидание решения (Pending), пока администратор бюро сертификатов не подтвердит или не отклонит ваш запрос.

Когда откроется страница запроса на сертификат в бюро сертификатов, нужно заполнить ряд форм. Набор вводимых данных зависит от конкретного бюро сертификатов, хотя все эти данные представляют минимально необходимую информацию, требуемую стандартом x509 v3, если используется сертификат именно этого типа. Будет предложено выбрать пароль и указать открытый ключ. На рисунке 8.4 показана форма, предназначенная для указания открытого ключа при запросе сертификата у Verisign.

Открытый ключ представляет собой большое двоичное число, сохраненное в файле, созданном в процессе CSR. Можно просмотреть содержимое открытого ключа в программе Notepad (Блокнот) Windows 2000 (см. рис. 8.5). В нужный момент процедуры регистрации сертификата укажите этот ключ в бюро сертификатов. Если вы обратились в Verisign, то для предоставления ключа откройте файл, вырежете и вставьте его содержимое из Notepad в поле формы.
Все зависит от конкретного бюро сертификатов; просто следуйте инструкциям используемого бюро.

После заполнения форм CA и подтверждения введенной информации запрос будет помещен в очередь ожидания решения CA Pending. В случае одобрения бюро сертификатов подготовит сертификат и заверит его подписью. СА обычно проверяет введенную информацию и отсылает по электронной почте уведомления об отрицательном или положительном результате рассмотрения запроса.


увеличить изображение
Рис. 8.4.  Процедура регистрации сертификата Verisign заключается в заполнении определенного набора форм

Если запрос одобрен, то, в зависимости от политики бюро сертификатов, сообщение электронной почты может содержать сам сертификат или ссылку (URL) на страницу сайта, защищаемую SSL; эта страница гарантирует безопасную доставку сертификата. На этой странице введите пароль, указанный вами при регистрации приложения, после чего загрузите сертификат на локальный диск вашего сервера.


Рис. 8.5.  Обычно бюро сертификатов предлагает вырезать и вставить открытый ключ в форму запроса сертификата

Совет. В данном примере используется демонстрационный сертификат Verisign. При отправке компанией Verisign сообщения электронной почты для подтверждения запроса сертификат прикрепляется к нижней части сообщения. Он очень похож на открытый ключ, вырезанный и вставленный в форму запроса на сертификат. Нужно вырезать и вставить сертификат в новый документ Notepad (Блокнот) и сохранить его под именем, оканчивающимся расширением .cer; данное расширение сообщает мастеру о том, что файл является сертификатом.


Содержание раздела