15. Установка сертификатов SSL и защищенного веб-сервера


О безопасности необходимо беспокоиться всегда, и с помощью SSL и нескольких утилит вы можете приступить к защите веб-серверов. Однако, никогда не забывайте устанавливать последние заплаты и обновления безопасности от Microsoft и Citrix, иначе вы подвергаете себя риску злонамеренных атак. Я настоятельно рекомендую использовать такие инструменты, как Microsoft Baseline Security Analyzer и hfnetchk.exe, чтобы анализировать серверы на наличие последних заплат и наличие уязвимостей. Вам также могут помочь продукты третьих производителей.

Далее описаны следующие процедуры:

15.1 Как установить и настроить утилиту IIS Lockdown Utility 2.1

Суть утилиты Microsoft IIS Lockdown заключается в удалении ненужных особенностей IIS. Загрузить ее можно по сылке: http://download.microsoft.com/download/iis50/Utility/2.1/NT45XP/EN-US/iislockd.exe

IIS Lockdown требует наличия Windows NT 4.0 с IIS 4.0 или Windows 2000 с IIS 5.0.

Замечание: Следующая процедура не работает на веб-сервере, выполняющем Citrix Web Console.

  1. Загрузите IIS Lockdown
  2. Запутите iislockd.exe и щелкните Next.
  3. Выберите I agree и щелкните Next.
  4. Выберите Dynamic Web Server (ASP enabled) и включите View templates, затем щелкните Next.
  5. Щелкните Next.
  6. Щелкните Next.
  7. Отключите опцию Scripts и щелкните Next.
  8. Щелкните Next.
    Замечание: Если вы планируете использование URLScan, то вам следует учитывать, что конфигурация URLScan по умолчанию предотвращает на веб-сервере IIS любые ссылки на файлы .EXE и .DAT. Какое отношение это имеет к Web Interface 2.1? Это означает, что никто не сможет загрузить клиента ICA32T.EXE, а клиент Java не сможет подгрузить файл ICAPRINTERS.DAT.
  9. Чтобы избежать этого, вам необходимо закомментировать расширение .dat в файле urlscan.ini и перезапустить IIS.
  10. Что касается ICA32t.EXE, то вам следует либо переименовать его (.zip или .ex_) и изменить имя в файле \Nfuse17\Include\Install.vbs, или изменить ссылку загрузки файла так, чтобы она указывала на веб-сайт Citrix - тогда вам тоже придется слегка подправить файл Install.vbs.
  11. Щелкните Next.
  12. Щелкните Next.
  13. Щелкните Finish.

Мастер Internet Information Server Wizard создает следующие две локальные группы

Локальная учетная запись IUSR_COMPUTERNAME теперь является членом группы Web Anonymous Users. Мастер устанавливает привилегии, используя эти две группы.

Web Interface требует, чтобы IUSR_COMPUTERNAME имел право изменения в каталоге C:\Inetpub\wwwroot\NFuseIcons. Если IUSR_COMPUTERNAME не имеет такого права в этой папке, то пользователи не смогут видеть иконки опубликованных приложений на странице account does not have the right
permission to the folder, then the user will not see the icon for the published application on the Web Interface.

15.2 Как включить SSL на веб-сервере

Многие небольшие компании считают, что им не нужны сертификаты SSL, но они не правы. Без SSL имя пользователя и пароль передаются от клиента на веб-сервер открытым текстом, давая возможность их скомпрометировать. Еще одно неверное представление состоит в том, что сертификаты SSL сложны в понимании. Все что вам нужно запомнить - это то, что каждый веб-сертификат (личный ключ) требует корневого сертификата (открытый ключ). Вот почему я настоятельно рекомендую использовать сертификаты коммерческих (публичных) центров сертифкации. Сертификаты, генерируемые публичными центрами сертифкации, уже имеют корневые сертификаты, установленные в большинстве современных браузерах и поэтому не требуют администрирования на рабочей станции. Без этого вам необходимо вручную инсталлировать корневой сетификат на каждом устройстве, которое будет подключаться к веб-серверу.

Ниже приведен список некоторых открытых центров сертификации (Certificate Authorities, СА):

Учитывая вышеизложенное, вам необходимо защитить веб-серверы Web Interface и Secure Access Manager сертификатом SSL. Следующие процедуры помогут вам в установке и поддержании сертификатов SSL.

15.2.1 Как создать и установить сертификат SSL публичного центра сертификации на Windows 2000

Чтобы получить сертификат SSL от публичного центра сертификации, вы сначала должны сгенерировать файл запроса сертификата (Certificate Signing Request,CSR). После завершения этого процесса вам следует отослать запрос в центр сертификации или следовать инструкциям центра сертификации для генерации сертификата.

Ниже показано, как сгенерировать запрос для веб-сайта Microsoft Internet Information Server (IIS) 5.0

  1. Щелкните Start -> Programs -> Administrative Tools -> Internet Information Services.
  2. Выберите компьютер и веб-сайт (хост), который вы хотите защитить. Щелкните правой кнопкой и выберите Properties.
  3. Выберите вкладку Directory Security и щелкните кнопку Server Certificate.
  4. Появится мастер сертификатов. Щелкните Next.
  5. Выберите Create a new certificate и щелкните Next.
  6. Выберите Prepare the request now, but send it later (подготовить запрос сейчас, но отправить позднее) и щелкните Next.
  7. В окне Name and Security Settings введите наименование (например, www.dabbc.com) и выберите длину ключа. Я рекомендую 1024 бит. Щелкните Next.
  8. Введите наименование организации (в точности так, как указано в ваших учредительных документах. Не используйте сокращения.), а также организационное подразделение (отдел организации). Щелкните Next.

    Замечание: Нельзя использовать следующие символы: < > ~ ! @ # $ % ^ * / \ ( ) ?&. (включая точку и запятую).
  9. Введите общее имя (Common Name). Это полностью квалифицированное доменное имя вашего веб-сервера. Совпадение должно быть точным.
  10. Выберите страну (двухбуквенное сокращение ISO вашей страны), штат/провинцию (где расположена ваша организация. Сокращать нельзя) и город. Щелкните Next.
  11. Введите полный путь к файлу запроса CSR.
  12. Проверьте ваш запрос и щелкните Next.
  13. На экране Completing the Web Server щелкните Finish.
    Замечание: Не удаляйте ожидающий запрос, иначе файл .crt не найдет соответствия не сможет установиться.
  14. Передайте CSR в открытый центр сертификации и ждите, пока не прийдет сертификат SSL.

После получения сертификата SSL от центра сертификации, скопируйте его из письма и вставьте в текстовом редакторе для получения текстового файла. Далее следуйте инструкции по установке сертификата SSL:

  1. Щелкните Start -> Programs -> Administrative Tools -> Internet Services Manager.
  2. Щелкните правой кнопкой на сайте и выберите Properties.
  3. Выберите вкладку Directory Security и щелкните кнопку Server Certificate.
  4. Появится мастер сертификатов. Щелкните Next.
  5. Выберите Process the pending request and install the certificate и щелкните Next.
  6. Укажите размещение файла сертификата, который вы получили от центра сертификации, и щелкните Next.
  7. Проверьте резюме сертификата и убедитесь, что информация в нем соответствует действительности. Щелкните Next.
  8. Щелкните Finish.

Проверьте сертификат, подключившись к серверу. Используйте протокол https (т.е. введите в адресной строке https://web_server/). Если вы все сделали правильно, в веб-браузере появится иконка закрытого висячего замка.

15.2.2 Как создать и установить сертификат с помощью Microsoft Windows 2000 Certificate Server

Замечание: Вам необходимо установить в домене сервер сертификатов (Certificate Server)

  1. Щелкните Start -> Programs -> Administrative Tools -> Internet Information Services. Щелкните правой кнопкой на сайте, в котором вы хотите включить SSL -> щелкните кнопку Server Certificates.
  2. Щелкните Next.
  3. Выберите Create a new certificate и щелкните Next.
  4. Выберите Prepare the request now, but send it later и щелкните Next.
  5. В окне Name and Security Settings введите наименование (например, www.dabbc.com) и выберите длину ключа. Я рекомендую 1024 бит. Щелкните Next.
  6. Введите наименование организации и наименование подразделения организации. Щелкните Next.
  7. Введите общее имя (Common Name). Это полностью квалифицированное доменное имя вашего веб-сервера.
  8. Введите географическую информацию и щелкните Next.
  9. Введите полный путь к файлу запроса, например, c:\certreq.txt
  10. Проверьте резюме введенных данных и щелкните Next.
  11. Откройте Internet Explorer и подключитесь к серверу Microsoft Cerificate Server и папке certserv, например, http://db2kad2/certserv
  12. Выберите Request a certificate и щелкните Next.
  13. Выберите Advanced request и щелкните Next.
  14. Выберите Submit a certificate request using a base64 encoded PKCS #10 file or a renewal request using a base64 encoded PKCS #7 file и щелкните Next.
  15. Запустите Notepad, откройте файл, сохраненный на этапе 9, выделите тест внутри строк "---BEGIN NEW CERTIFICATE REQUEST ---" и "--END NEW NEW CERTIFICATE REQUEST ---", из меню Edit щелкните Copy
  16. Вставьте скопированный текст в поле Base64 Encoded Certificate Request, выберите в раскрывающемся меню Certificate Template значение Web Server и щелкните Submit.
  17. Выберите Base 64 encoded radio button и щелкните ссылку Download CA certificate.
  18. Сохраните сертифкат с именем веб-сервера.
  19. Щелкните правой кнопкой на загруженном файле сертификата и выберите Install Certificate.
  20. Щелкните Next.
  21. Щелкните Next.
  22. Щелкните Finish.
  23. Щелкните ОК.
  24. Вернитесь в консоль управления IIS и щелкните кнопку Server Certificate.
  25. Щелкните Next.
  26. Выберите Assign an existing certificate и щелкните Next.
  27. Подсветите установленный сертификат и щелкните Next.
  28. Щелкните Next.
  29. Щелкните Finish.
  30. Щелкните ОК.

15.2.3 Как добавить оснастку Certificate в Microsoft Management Console

Оснастка сертифкатов для Microsoft Management Console (MMC) изначально не сконфигурирована. Ниже показано, как ее добавить.

  1. Щелкните Start -> Run -> введите: mmc -> щелкните OK.
  2. Из меню выберите Console -> Add/Remove Snap-in…
  3. Щелкните Add.
  4. Из доступных оснасток выберите Certificates и щелкните Add.
  5. Выберите Computer account и щелкните Next.
  6. Выберите компьютер и щелкните Finish.
  7. Щелкните ОК.

Теперь вы готовы использовать ваши новые сертификаты SSL, но сначала следует сделать их резеврную копию на тот случай, если вы захотите переустановить сервер или перенести сертификаты на другой сервер с тем же именем FQDN.

15.2.4 Как сделать резервную копию сертификата SSL

После установки сертификата очень важно сделать его резервную копию. Копия пригодится также в том случае, если вам потребуется перенести сертификат на новый сервер или при переустановке операционной системы.

Замечание: Помните, что сертификаты специфичны для устройства и операционной системы, на которых они были созданы.

Ниже описано, как сделать резервную копию сертификата на сервере Windows 2000 и IIS 5.0

  1. Откройте Microsoft Management Console (MMC) и добавьте оснастку Cerficates, как описано выше.
  2. Раскройте папку Certificates. (Certificates(Local Computer) -> Personal Certificates)
  3. Щелкните правой кнопкой Certificate -> All Tasks -> Export…
  4. Появится мастер экспорта сертификата. Щелкните Next.
  5. Выберите Yes, export the private key и щелкните Next.
  6. Убедитесь, что включена опция Personal Information Exchange- PKCS # 12(.PFX) и включите опцию Enable strong protection requires IE5.0, NT4.0 SP4 or above. Щелкните Next.
    Предупреждение: Убедитесь, что опция Delete the private key if the export is successful выключена.
  7. Введите и подтвердите пароль экспорта.
    Предупреждение: Если вы забудете пароль, вы не сможете восстановить резервную копию сертификата.
  8. Укажите полный путь к файлу сертификата и щелкните Next.
  9. Проверьте правильность информации и щелкните Finish.

Вы успешно сделали копию вашего сертификата SSL. Я рекомендую сделать несколько копий и хранить их в разных местах.

15.2.5 Как восстановить сертификат SSL

Если переустановили ваш веб-сервер или хотите перенести сертификат на другой сервер с тем же именем FQDN, то вам следует сделать процедуру резервного сохранения и восстановления сертификата SSL . Ниже показано, как восстановить резервную копию сертификата SSL.

  1. Дважды щелкните на сохраненном сертификате.
  2. Появится мастер импорта сертификата. Щелкните Next.
  3. Введите имя файла импортируемого сертификата и щелкните Next.
  4. Введите пароль, указанный на этапе экспорта, и щелкните Next.
  5. Выберите Place all certficates in the following store и щелкните Browse.
  6. Выберите папку Personal и щелкните OK.
  7. Проверьте правильность информации и щелкните Finish.
  8. Щелкните ОК.
  9. Следуйте процедуре, описанной в разделе "Как добавить остнастку Certificates в MMC", кроме этапа 5, на котором вы должны выбрать My user account. Щелкните Finish.
  10. Добавив оснастку, проверьте, что сертификат находится в нужном месте. В большинстве случаев он будет в папке Current User – Personal – Certificates. В этом случае его следует перетащить в папку Certificates – Personal – Certificates.
  11. Щелкните Start -> Programs -> Administrative Tools -> Internet Services Manager.
  12. Щелкните правой кнопкой на сайте и выберите Properties.
  13. Выберите вкладку Directory Security и щелкните кнопку Server Certificate.
  14. Щелкните Next.
  15. Выберите Assign an existing certificate и щелкните Next.
  16. Выберите сертификат и щелкните Next.
  17. Проверьте правильность сертификата щелкните Next.

Теперь вы готовы использовать SSL на своем веб-сервере.

15.3 Как принудительно использовать шифрование SSL на веб-сайте

После установки сертификата SSL вы можете заставить пользователей использовать шифрование SSL для портала Web Interface. Ниже показано, как использовать SSL на сайте Web Interface без требования от пользователя ввода https// перед адресом сайта.

  1. Перейдите в корневой каталог веб-сайта и создайте папку с именем портала. Дайте ей такое имя, чтобы пользователи могли его легко запомнить, поскольку это имя будет постоянно использоваться.
  2. Запустите notepad.
  3. Введите следующий текст:

    <% Response.Redirect "https://secure.dabcc.com/citrix/metaframexp/" %>

  4. Сохраните в файл под именем default.asp в каталог, созданный на этапе 1 (например, c:\inetpub\wwwroot\portal)
  5. Запустите Internet Services Manager, выберите сайт Web Interface, щелкните правой кнопкой и выберите Properties.
  6. Выберите вкладку Directory Security и щелкните Edit.
  7. Выберите опцию Require secure channel (SSL), затем щелкните опцию Require 128-bt encryption checkbox. Щелкните OK.
  8. Теперь сообщите пользователям, чтобы они указывали папку, созданную на этапе 1, после чего они будут перенаправлены на сайт Web Interface используя SSL.

Установка Web Interface Содержание Установка Secure Gateway 2.0