Internet Information Service (IIS) 5ssl.certum.ru/upload_module/wysiwyg/certyru/instrukcje...Internet Information Service (IIS) 5.0PL – Сертификаты для однозначных

UNIZETO TECHNOLOGIES SA ©

1

Certum – Открытый Удостоверяющий Центр ssl.certum.ru

Internet Information Service (IIS) 5.0 Использование сертификатов

в программе Microsoft IIS 5.0 PL версия 1.2

Pуководство пользователя


2


Содержание

1. СЕРТИФИКАТЫ ДЛЯ ОДНОЗНАЧНЫХ АДРЕСОВ ............................................................................ 3

1.1. ФОРМИРОВАНИЕ ЗАПРОСА НА СЕРТИФИКАТ (CSR) ................................................................................ 3 1.2. СОЗДАНИЕ СЕРТИФИКАТА НА ОСНОВАНИИ СОЗДАННОГО ЗАПРОСА (CSR) ........................................... 8 1.3. ПОЛУЧЕНИЕ И ИНСТАЛЛИРОВАНИЕ СЕРТИФИКАТА НА СЕРВЕРЕ ............................................................. 8 1.4. ПОЛУЧЕНИЕ ПРОМЕЖУТОЧНЫХ СЕРТИФИКАТОВ ................................................................................... 14 1.5. ИМПОРТ ПРОМЕЖУТОЧНЫХ СЕРТИФИКАТОВ ......................................................................................... 14

2. КОНФИГУРИРОВАНИЕ СЕРВЕРА IIS ДЛЯ СОЕДИНЕНИЙ HTTPS .............................................. 19

3. СОЗДАНИЕ РЕЗЕРВНОЙ КОПИИ СЕРВЕРНЫХ СЕРТИФИКАТОВ ............................................. 20

4. ИМПОРТИРОВАНИЕ СЕРТИФИКАТОВ С РЕЗЕРВНОЙ КОПИИ .................................................. 26

5. УДОСТОВЕРЕНИЕ КЛИЕНТА ДЛЯ СЕРВЕРА ПРИ ИСПОЛЬЗОВАНИИ СЕРТИФИКАТА ..... 33

6. СЕРТИФИКАТЫ ДЛЯ МНОГОЗНАЧНЫХ АДРЕСОВ ........................................................................ 42

6.1. ГЕНЕРАЦИЯ КЛЮЧЕЙ ............................................................................................................................... 42 6.2. СОЗДАНИЕ СЕРТИФИКАТА НА ОСНОВАНИИ СОЗДАННОГО ЗАПРОСА (CSR) ......................................... 43 6.3. СОЗДАНИЕ АРХИВНОГО ФАЙЛА P12 ИЗ ЗАКРЫТОГО КЛЮЧА И СЕРТИФИКАТА ...................................... 43 6.4. ИНСТАЛЛИРОВАНИЕ СЕРТИФИКАТА НА СЕРВЕРЕ ................................................................................... 44

Internet Information Service (IIS) 5.0PL – Сертификаты для однозначных адресов

Версия 1.2


3


1. Сертификаты для однозначных адресов

1.1. Формирование запроса на сертификат (CSR)

Запускаем Internet Information Services:

1. Старт -> Все программы -> Административные инструменты -> Информационные услуги в Интернете

или

2. Панель Управления -> Административные инструменты -> Информационные услуги в Интернете

Нажимаем правой клавишей мышки на наш веб-сайт, после этого выбираем Свойства:

Из окна Свойства выбираем закладку Безопасность папок и нажимаем на Сертификат сервера...:


Версия 1.2


4


Таким образом запускаем Мастер сертификатов, который проведет нас через процесc формирования запроса на сертификат CSR:

Выбираем опцию Создать новый сертификат:


Версия 1.2


5


Оставляем опцию по умолчанию:

Сейчас вводим название для нашего сертификата и выбираем длину ключа (1024 бита – достаточная ѐмкость). Остальное оставляем без изменений:


Версия 1.2


6


Вписываем уникальное название и подразделение фирмы (организации).

ВНИМАНИЕ: Использование диакритических, специальных знаков %, ^, $, _ или кириллицы при заполнении этой информации приведет к неправильной генерации сертификата!!!

Сейчас вводим обычное название своего сервера:


Версия 1.2


7


Потом выбираем местонахождение для файла с запросом CSR:

Нажимаем Завершить для завершения процесса генерации запроса CSR:


Версия 1.2


8


1.2. Создание сертификата на основании сформированного запроса (CSR)

-----BEGIN NEW CERTIFICATE REQUEST-----

MIIDMDCCApkCAQAwgZoxGzAZBgNVBAMTEmRsdWJhY3oudW5pemV0by5wbDEhMB8G

A1UECxMYRHppYWwgT2Nocm9ueSBJbmZvcm1hY2ppMRswGQYDVQQKExJVbml6ZXRv

IFNwLiB6IG8uby4xETAPBgNVBAcTCFN6Y3plY2luMRswGQYDVQQIExJaYWNob2Ru

aW9wb21vcnNraWUxCzAJBgNVBAYTAlBMMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCB

iQKBgQC8JvRqRPbltoZyvMjfXCef5PIcyLMQv6Z2Al0j2GMoeKBCCyZF1kHoDsWW

0ZF54FrTZhyKwYqfgiHO5duLfJSBqb/PTzovZH9qXUtxl+zQIhcJnA4Z/jKyWHGl

X7LUlC9u2bas/vWwQZWYvxeqNMW4RZ+LU9Qqm9b/YD2qtOZ2qwIDAQABoIIBUzAa

BgorBgEEAYI3DQIDMQwWCjUuMC4yMTk1LjIwNQYKKwYBBAGCNwIBDjEnMCUwDgYD

VR0PAQH/BAQDAgTwMBMGA1UdJQQMMAoGCCsGAQUFBwMBMIH9BgorBgEEAYI3DQIC

MYHuMIHrAgEBHloATQBpAGMAcgBvAHMAbwBmAHQAIABSAFMAQQAgAFMAQwBoAGEA

bgBuAGUAbAAgAEMAcgB5AHAAdABvAGcAcgBhAHAAaABpAGMAIABQAHIAbwB2AGkA

ZABlAHIDgYkAXxNuAz6gcBaZUdef8WQ2PAroKMW8sprcKv7QD2encz6/Wct9DZ5C

kGynLGy0f+Lff7ViSDJqxYWaJ68ddqgXyAqIilF63kivPTiC6yxLaNX65v3cnKFx

4UrUrGXZtub7M7/NuxSipOW0Vv7yCHganypxDyRzp6IhulEnL4APEH4AAAAAAAAA

ADANBgkqhkiG9w0BAQUFAAOBgQAsTG3Hu00fFzNTekFo/fb3tKsmuS/1rCCB5sQK

iNpWGZ8Z8+TmqBB0Tuz4FPTkeSqLpWv1ORfmxMKPIu10dC3QwRP2E//oMPnaU807

IJIDwn2VZ7qQ/h0KcWoWSPmvt7J0KKshdGgAF7P6AYc7W4yA9B9nPeyEzQRW0t4D

YBApPQ==

-----END NEW CERTIFICATE REQUEST-----

Имея созданный запрос, необходимо заполнить заявку и вклеить CSR напр. на сайте CERTUM

(ank-pki.certum.ru -> Предложение -> выбрать, который сертификат хотим купить и на сайте

выбрать Купить сертификат).

Появится окно с информацией о документах, необходимых для окончания процесса получения

сертификата. Для продолжения процесса покупки необходимо выбрать Купить.

http://www.certum.pl/


Версия 1.2


9



Версия 1.2


10


ВНИМАНИЕ: Чтобы вклеить сертификат на сайте необходимо сделать копию фрагмента текста от линии "--BEGIN CERTIFICATE --" до "--END CERTIFICATE--" (вместе с линиями!!!),

используя для этого текстовой редактор.

Необходимо установить проверку доступа к домену через выбор адреса e-mail администратора (e-mail необходимо выбрать со списка), а также способ проверки домена (с помощью Tag или файла HTML).

Проверьте, что в строке E-mail вписан правильный адрес (на это адрес будут высланы дальнейшее инструкции), и, что обозначена строка Подтверждаю Заявление и нажимаем Далее.

На следующей странице будет показан заполненный формуляр. Необходимо проверить или все данные введены правильно.

Если данные введены правильно, нажимаем Далее:

1.3. Получение и инсталлирование сертификата на сервере

После выполнения процедуры, указанной в предыдущем пункте, получим соответствующий e-mail с адресом сайта и номером ID, который даст возможность активировать сертификат (размещение сертификата в нашем репозитории, доступным на сайтах www):


Версия 1.2


11


Входим на сайт, вклеиваем ID и, нажимая Далее, активируем сертификат:

Для интересующего нас сертификата выбираем опцию Сохранить текстовом (файл *.pem) или

Записать в бинарном (файл *.cer):

...и сохраняем файл nr_seryjny.pem (или nr_seryjny.cer):


Версия 1.2


12


Для инсталлирования сертификата на сервере входим в Свойства веб-сайта и нажимаем на Сертификат сервера:

Выбираем Обработать ожидающий запрос и инсталлировать сертификат:


Версия 1.2


13


Указываем Мастеру сертификатов файл, в котором мы сохранили сертификат сервера (также можем указать файл *.cer с сертификатом нашего сервера):

Сейчас мы увидим данные о сервере, которые записаны в сертификате. После нажатия на Далее Мастер сертификатов сообщит об окончании процесса:

Сертификат заинсталлирован на нашем сервере.

ВНИМАНИЕ: Кроме нашего сертификата необходимо еще получить и заинсталлировать промежуточные сертификаты (описано в последующей части инструкции).


Версия 1.2


14


1.4. Получение промежуточных сертификатов

Для получения сертификата Certum CA или промежуточных сертификатов необходимо ввойти на сайт www.certum.ru в раздел Обслуживание сертификатов Корневые сертификаты и ключи. После выбора сертификата необходимо выбрать опцию Сертификат для серверов WWW.

Появится интересующий нас сертификат, который отмечаем мышкой, вставляем в файл и сохраняем.

ВНИМАНИЕ: Для вставки в файл сертификата, представленного на сайте, необходимо скопировать фрагмент текста от линии "--BEGIN CERTIFICATE --" до "--END CERTIFICATE--", используя для этого текстовый редактор, напр. Notepad и мышку. Не следует использовать для этой операции программу Word или какой-нибудь другой текстовый процессор!

В случае получения промежуточных сертификатов, выбираем со списка интересующий нас сертификат, напр. CERTUM Level IV (Сертификаты Level IV следует получить в случае, когда уже имеем сертификат типа Trusted, сертификат III уровня следует получить в ситуации, когда имеем сертификат типа Enterprise / Wildcard, сертификат II уровня следует получить в ситуации, когда имеем в наличии сертификат типа Commercial; для сертификатов типа Private – сертификат I класса). Остальная часть процесса (запись в файл) происходит также, как и для сертификата Certum CA.

1.5. Импорт промежуточных сертификатов

Необходимо создать специальную консоль для администрирования и управления сертификатами, находящихся в базе сертификатов компьютера (стандартный визард Windows соединяется с реестрами определенного пользователя), если же консоль была создана ранее, тогда она уже доступна в меню Административные инструменты.

Для этого создание консоли запускаем с командной строки вписывая mmc:


Версия 1.2


15


В открытой консоле выбираем с верхнего меню опцию Добавить/Удалить оснастку или используем комбинацию клавиш ctrl + M:


Версия 1.2


16


Выбираем опцию Добавить, после этого оснастку Сертификаты:

Выбираем опцию Учетная запись компьютера:


Версия 1.2


17


Оставляем настройки по умолчанию (если операция относится к локальному компьютеру):

Входим в консоль (опция Сертификаты имеет сейчас второстепенную опцию), после ее открытия переходим по указанным опциям (Главные доверенные удостоверяющие центры, Промежуточные удостоверяющие центры, Главные удостоверяющие центры других фирм) и добавляем промежуточные сертификаты (лучше всего добавлять все сертификаты - Certum CA и Certum Level I-IV во все хранилища; практически достаточно добавить промежуточные сертификаты в хранилище Промежуточные удостоверяющие центры). Главный сертификат (Certum CA) и промежуточные сертификаты (Level I-IV) можно получить на сайте: http://ssl.certum.ru/certyru/certyru,zarzadzanie_zaswiadczenia_klucze.xml

http://ssl.certum.ru/certyru/certyru,zarzadzanie_zaswiadczenia_klucze.xml


Версия 1.2


18


Нажимая правой клавишей мышки на каталоги Сертификаты отдельных хранилищ выбираем опцию Все задачи ->Импорт – здесь уже появляется знакомый нам визард.

После окончания импорта, сервер (а не только операцию) необходимо перезапустить.

После импортирования сертификата в указанные каталоги IIS извлекает информацию, которая позволяет пользователю построить полную цепочку сертификации (вместе с сертификатом Certum CA, находящимся в базе программы клиента).

Internet Information Service (IIS) 5.0PL – Конфигурирование сервера IIS для соединений https

Версия 1.2


19


2. Конфигурирование сервера IIS для соединений https

Для того, чтобы наш сервер обслуживал шифрованные соединения, необходимо в Свойствах в закладке Безопасность каталогов выбрать поле Изменить.....:

... выбрать (как указано ниже) Требовать безопасный канал (SSL) и Требовать 128 - битное шифрование.

Internet Information Service (IIS) 5.0PL – Создание резервной копии серверных сертификатов

Версия 1.2


20


Для того, чтобы проверить правильно ли работает наш сервер, вписываем в браузере адрес нашего сервера и акцептируем сертификат:

Внизу Internet Explorer заметим характерный замок, символизирующий, что установленное соединение имеет защищенный режим.

3. Создание резервной копии серверных сертификатов

Необходимо создать специальную консоль для администрирования и управления сертификатами, находящихся в базе сертификатов компьютера (стандартный визард Windows соединяется с реестрами определенного пользователя), если же консоль была уже создана раньше, тогда она доступна в меню Административные инструменты.

С этой целью создание консоли запускаем с командной строки вписывая mmc:

Старт-> Запустить -> вписываем cmd -> вписываем mmc


Версия 1.2


21


В открытой консоли выбираем с верхнего меню опцию Добавить/Удалить оснастку или используем комбинацию клавиш ctrl + M:


Версия 1.2


22






Версия 1.2


23


Выбираем сертификат, который хотим экспортировать в хранилище Личные:

Открываем меню Действие, переходим на Все задачи, а потом выбираем команду Экспорт ...:


Версия 1.2


24


Таким образом запускаем Мастер экспорта сертификатов:

В Мастере экспорта сертификатов выбираем опцию Да, экспортировать закрытый ключ.

Важно: Не следует выбирать опцию Удалить закрытый ключ если экспорт пройдет успешно, потому что, таким образом сделаем невозможным использование действующего сертификата сервера:


Версия 1.2


25


Вводим пароль для сохранения резервной копии сертификата:

Вводим название файла (закрытый ключ и сертификат сохраняется в файле с расширением .pfx):

Internet Information Service (IIS) 5.0PL – Импортирование сертификатов с резервной копии

Версия 1.2


26


Завершаем экспортирование резервной копии серверного сертификата с помощью Мастера.

Файл будет записан в c:\certyfikaty.pfx

4. Импортирование сертификатов с резервной копии

Обязательно необходимо создать специальную консоль для администрирования и управления сертификатами, помещенными в базе сертификатов компьютера (стандартный визард Windows соединяется с реестрами определенного пользователя), если же консоль была создана раньше, тогда она доступна в меню Административные инструменты.



Версия 1.2


27


Старт-> Запустить-> вписываем cmd -> вписываем mmc



Версия 1.2


28


Выбираем опцию Добавить, после этого выбираем оснастку Сертификаты:



Версия 1.2


29



Выбираем хранилище, в которое будет импортирован сертификат:


Версия 1.2


30


Открываем меню Действие, переходим на Все задачи, а потом выбираем команду Импорт...:

Таким образом запускаем Мастер импорта сертификатов:


Версия 1.2


31


Выбираем файл, в который хотим импортировать сертификат (также выбираем соответствующее расширение файла с ключом):

Вводим пароль, защищающий закрытый ключ, и выбираем опцию, которая позволит нам в случае необходимости создать резервную копию ключа:


Версия 1.2


32


Оставляем опцию по умолчанию, благодаря которой сертификат будет помещен в хранилище сертификатов Личный:

Завершаем импортирование резервной копии серверного сертификата с помощью Мастера

Internet Information Service (IIS) 5.0PL – Удостоверение клиента для сервера при использовании сертификата

Версия 1.2


33


5. Удостоверение клиента для сервера при использовании сертификата

С целью запуска вышеуказанной услуги необходимо «картографирование» акцептованного

сертификата пользователя для данного пользователя в системе. Необходимо создать

пользователя с определенными правами, который будет представлять в системе лицо, которое

будет использовать данный сертификат. Существует возможность присвоения сертификатам

стандартных пользователей, созданных системой по умолчанию (Гость, Администратор,

Пользователь WWW и т.д.), однако рекомендуем создать нового или новых пользователей,

имеющих очень ограниченные права, напр. только для просмотра содержания данной папки.

Процесс создания нового пользователя и закрепление за ним прав для данной папки будет

оговорен ниже. Администраторы, для которых это не составляет никаких проблем, могут перейти

сразу к последующим действиям, к картографированию сертификатов для учетной записи

пользователя.

Для того, чтобы добавить нового пользователя следует открыть меню: Старт -> Панель

управления-> Административные инструменты -> Управление компьютером

Переходим в меню Системные инструменты-> Пользователи и локальные группы ->

Пользователи-> Нажимаем правую клавишу мышки и выбираем Новый пользователь:


Версия 1.2


34


Вводим название пользователя, его пароль, а также предпочтительные настройки учетной

записи (напр. активную запись, неизменяемый пароль):

Добавляем пользователя в данную группу (или создаем новую группу):


Версия 1.2


35


Переходим в папку / файл своего сервера, которые будут доступны только для определенных

лиц. Для этого выбираем правой клавишей мышки папку (C:\Inetpub\wwwroot), которая будет

доступна на веб-сайте. Выбираем Свойства и появится окно:

Переходим на закладку Безопасность и добавляем пользователя, который будет иметь доступ к

папке, выбирая Добавить.

Добавленному пользователю предоставляем соответствующие права:

Затем входим на закладку Улучшенные настройки безопасности и отмечаем опцию


Версия 1.2


36


Наследовать по объекту (принимает настройки с папок высшего уровня) :

На информационном экране будет задан вопрос: на самом ли деле хотим предотвратить

«наследование» прав с папок высшего уровня. Выбираем опцию Удалить :

Права признаны. Переходим к конфигурациии настроек сервера IIS. Запускаем

административную консоль IIS. Выбираем сервер, на котором находится страница, к которой

будем ограничивать доступ. Указываем охраняемую папку или файл, и после нажатия правой

клавиши мышки выбираем опцию Свойства:

ВНИМАНИЕ: данный сервис должен иметь сертификат, чтобы было возможно требование

сертификата для доступа к данной части сервиса.


Версия 1.2


37


В закладке Безопасность папок выбираем поле Изменить :


Версия 1.2


38


Выбираем опцию Требовать сертификаты клиентов, Включить связывание сертификатов

клиента и указываем опцию Изменить:

Переходим к закладке Много к одному и для добавления правила нажимаем на Добавить :


Версия 1.2


39


На следующем экране называем наше правило (это правило дает право на вход на наш веб-

сайт) и нажимаем Далее :

В появившемся диалоговом окне вписываем критерии, согласно которых будет проверяться

сертификат пользователя. Примерные критерии представлены ниже:


Версия 1.2


40


Сейчас определяем пользователя, который будет иметь доступ к веб-сайту, и закрепляем за ним

пароль:

Если бы мы хотели заблокировать доступ к веб-сайту для какого-нибудь субъекта, тогда

операция происходила бы подобным образом, за исключением определения фильтрующих

правил...:


Версия 1.2


41


и отмечаем опцию Отказ в доступе во время генерации правила:

Таким образом мы определили правила, которые будут основанием для доступа к веб-сайту

пользователям, имеющим сертификат, который принадлежит к банку e-mail адресов с домена

certum.ru. Тогда все остальные будут отклонены.

ВНИМАНИЕ: После представления сертификата клиента правила соответствия будут проверены

с такой очередностью, с которой представлены в списке правил (снизу вверх). Если же,

например, на первом месте укажем правило «Все исключить», тогда последующие правила не

будут даже проверяться, и все действия будут заблокированы.

В случае, когда сертификат пользователя не «дает права» на вход в веб-сайт, появится

следующее сообщение:

Internet Information Service (IIS) 5.0PL – Сертификаты для многозначных адресов

Версия 1.2


42


В заключении, еще одно замечание: браузер имеет способность хранения в кэше сертификатов, которые использует данный клиент. Если клиент представляется сертификатом на главной странице, тогда именно этот сертификат будет использован для входа на другие подстраницы. Если в процессе пребывания на странице возникнет необходимость изменения сертификата, которым идентифицируемся, необходимо будет сохранить адрес, с помощью которого хотим войти при использовании другого сертификата, закрыть браузера, повторно открыть браузер и вписать сразу же конечный адрес. Сервис повторно запросит сертификат, которым мы хотим представляться и тогда сможем произвести изменения «паспорта».

6. Сертификаты для многозначных адресов

6.1. Генерация ключей

С целью генерации ключей для многозначных адресов (напр., *.mojserver.ru) воспользуемся

внешним инструментом Openssl, который можно скачать с сайта: http://openssl.org.

Внимание: Не рекомендуется использовать IIS для генерации ключей для многозначных адресов!

1. После инсталляции библиотеки Openssl вписываем команду:

openssl genrsa -des3 -out server.key 1024

Эта команда произведет генерацию закрытого ключа с именем server.key для нашего сервера.

Этот ключ будет иметь длину 1024 бита и будет зашифрован симметрическим алгоритмом 3des.

Во время генерации ключа будет запрошен пароль, который защитит компонент.

2. После успешной генерации закрытого ключа впысываем команду:

openssl req -new -key server.key -out server.csr

Результатом этой команды является запрос на сертификат CSR сервера, который будет записан

в файле server.csr. Помните о указании файла с закрытым ключом server.key. Во время

формирования запроса CSR необходимо ввести пароль, защищающий закрытый ключ и данные,

связанные с нашей фирмой и веб-сайтом (страна, область, город, название фирмы,

подразделение фирмы). Помните, что в поле Common Name необходимо вписать многозначный

адрес нашего веб-сайта, напр., *.mojserver.com, *.mojdomen.ru, *.mojastranica.com.ru и т.п. :

http://openssl.org/


Версия 1.2


43


Внимание: Использование диакритических? специальных знаков %, ^, $, _ или киррилицы при введении информации для запроса CSR приведет к неправильной генерации сертификата!!!

6.2. Создание сертификата на основании созданного запроса (CSR)

Сформированный запрос в предыдущем шаге должен выглядеть подобным образом, как указано ниже:

-----BEGIN NEW CERTIFICATE REQUEST-----

MIIDMDCCApkCAQAwgZoxGzAZBgNVBAMTEmRsdWJhY3oudW5pemV0by5wbDEhMB8G

A1UECxMYRHppYWwgT2Nocm9ueSBJbmZvcm1hY2ppMRswGQYDVQQKExJVbml6ZXRv

IFNwLiB6IG8uby4xETAPBgNVBAcTCFN6Y3plY2luMRswGQYDVQQIExJaYWNob2Ru

aW9wb21vcnNraWUxCzAJBgNVBAYTAlBMMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCB

iQKBgQC8JvRqRPbltoZyvMjfXCef5PIcyLMQv6Z2Al0j2GMoeKBCCyZF1kHoDsWW

0ZF54FrTZhyKwYqfgiHO5duLfJSBqb/PTzovZH9qXUtxl+zQIhcJnA4Z/jKyWHGl

X7LUlC9u2bas/vWwQZWYvxeqNMW4RZ+LU9Qqm9b/YD2qtOZ2qwIDAQABoIIBUzAa

BgorBgEEAYI3DQIDMQwWCjUuMC4yMTk1LjIwNQYKKwYBBAGCNwIBDjEnMCUwDgYD

VR0PAQH/BAQDAgTwMBMGA1UdJQQMMAoGCCsGAQUFBwMBMIH9BgorBgEEAYI3DQIC

MYHuMIHrAgEBHloATQBpAGMAcgBvAHMAbwBmAHQAIABSAFMAQQAgAFMAQwBoAGEA

bgBuAGUAbAAgAEMAcgB5AHAAdABvAGcAcgBhAHAAaABpAGMAIABQAHIAbwB2AGkA

ZABlAHIDgYkAXxNuAz6gcBaZUdef8WQ2PAroKMW8sprcKv7QD2encz6/Wct9DZ5C

kGynLGy0f+Lff7ViSDJqxYWaJ68ddqgXyAqIilF63kivPTiC6yxLaNX65v3cnKFx

4UrUrGXZtub7M7/NuxSipOW0Vv7yCHganypxDyRzp6IhulEnL4APEH4AAAAAAAAA

ADANBgkqhkiG9w0BAQUFAAOBgQAsTG3Hu00fFzNTekFo/fb3tKsmuS/1rCCB5sQK

iNpWGZ8Z8+TmqBB0Tuz4FPTkeSqLpWv1ORfmxMKPIu10dC3QwRP2E//oMPnaU807

IJIDwn2VZ7qQ/h0KcWoWSPmvt7J0KKshdGgAF7P6AYc7W4yA9B9nPeyEzQRW0t4D

YBApPQ==

-----END NEW CERTIFICATE REQUEST-----

Заполняем заявочный формуляр и вставляем CSR на сайте Unizeto CERTUM. В поле Тип сертификата выбираем Wildcard Domain.

ВНИМАНИЕ: Чтобы вставить сертификат на сайте необходимо скопировать фрагмент текста начиная с линии "--BEGIN CERTIFICATE --" до "--END CERTIFICATE--", используя для этого текстовый редактор, напр., Notepad и мышку. Не используйте для этой операции программу Word или другой текстовый процессор!

После выполнения вышеуказанной процедуры мы получим сообщение e-mail с дальнейшими инструкциями.

6.3. Создание архивного файла p12 из закрытого ключа и сертификата

Certum после того, как выдаст сертификат, информирует пользователя о способе получения


Версия 1.2


44


сертификата. После входа на указанную страницу сайта следует открыть содержание

сертификата, скопировать его мышкой и сохранить в файле.

После сохранения файла с сертификатом (напр., certyfikat.crt) создадим из наших файлов архив с

расширением p12 (для безпрепятственного импортирования в IIS). Так же, как и в предыдущих

случаях, воспользуемся библиотекой Openssl.

openssl pkcs12 -export -out klucze.p12 -inkey server.key -in certyfikat.crt

Команда приведет к генерации одного файла klucze.p12, состоящего из закрытого ключа

server.key и сертификата certyfikat.crt нашего сервера. Во время процедуры необходимо ввести

пароль, защищающий наш закрытый ключ и пароль, который будет использован для

экспортирования архивного файла (рекомендуется ввести два одинаковые пароли, но

достаточно сильные):

6.4. Инсталлирование сертификата на сервере

Обязательно необходимо создать специальную консоль для администрирования и управления

сертификатами, находящимися в базе сертификатов компьютера (стандартный визард Windows

соединяется с реестрами определенного пользователя), если же консоль была создана раньше,

тогда она доступна в меню Административные инструменты


Старт -> Запустить -> вписываем cmd -> вписываем mmc


Версия 1.2


45





Версия 1.2


46





Версия 1.2


47


Выбираем хранилище, в которое импортируем сертификат:

Открываем меню Действие, переходим на Все задачи, а потом выбираем команду Импорт

Таким образом запускаем Мастер импорта сертификатов


Версия 1.2


48


Выбираем файл, который хотим импортировать (вместе с подбором соответственного расширения для файла с ключом):

Вводим пароль, защищающий закрытый ключ, и выбираем опцию, которая, в случае необходимости, позволяет создать резервную копию ключа:


Версия 1.2


49


Оставляем опцию по умолчанию, благодаря которой сертификат будет помещен в хранилище сертификатов Личный:

Завершаем импортирование резервной копии сертификата сервера с помощью Мастера.


Версия 1.2


50


Сейчас присваиваем наш сертификат из хранилища в наш конкретный веб-сайт.

Запускаем Internet Information Services:

1. Старт -> Все программы-> Администрационные инструменты-> Информационные услуги в Интернете

или

2. Панель Управления-> Административные инструменты-> Информационные услуги в Интернете

Нажимаем правой клавишей мышки на наш веб-сайт, после этого выбираем Свойства:


Версия 1.2


51


Из окна Свойства выбираем закладку Безопасность папок и нажимаем на Сертификат сервера... :

Таким образом запускаем Мастер создания сертификатов, который проведет нас через процесс импортирования сертификата:


Версия 1.2


52


Выбираем опцию Присвоить существующий сертификат:

Выбираем из списка сертификат для нашего многозначного адреса


Версия 1.2


53


Завершаем работу Мастера:

После конфигурирования сервера DNS для обслуживания нашего поддомена www (если у Вас

нет собственного сервера DNS, сконтактируйтесь с Вашим провайдером и представьте

ситуацию) запускаем Internet Information Services с целью добавления обслуживания поддомена

через сервер:

1. Старт-> Все программы-> Административные инструменты-> Информационные услуги в Интернете

или

2. Панель управления-> Административные инструменты-> Информационные услуги в Интернете

Нажимаем правой клавишей мышки на наш виеб-сайт, после этого выбираем Свойства:


Версия 1.2


54


Входим в закладку Веб-сайт и выбираем опцию Улучшенные...:


Версия 1.2


55


Вписываем в Название заголовка хоста адрес нашего поддомена :

Подтверждаем изменения, перезапускаем сервер и ... это уже конец :)

Необходимо помнить о «требовании» шифрованных сессий в опциях сервера – это описано в

пункте 2 (Свойства страницы -> Безопасность папок-> Поле: Безопасное соединение->

Изменить -> Требовать безопасный канал (SSL) и Требовать 128- битное шифрование).

Documents

Internet Information Service (IIS) 5ssl.certum.ru/upload_module/wysiwyg/certyru/instrukcje...Internet Information Service (IIS) 5.0PL – Сертификаты для однозначных