Опубликован: 20.02.2006 | Доступ: свободный | Студентов: 3559 / 480 | Оценка: 4.34 / 3.99 | Длительность: 21:22:00
ISBN: 978-5-9570-0022-1
Лекция 10:

Шифрование

Связь "один ко многим"

Посредством связи "много к одному" сопоставляется набор критериев с сертификатами пользователей. При соответствии этой информации клиент проходит аутентификацию. При связи "много к одному" осуществляется аутентификация нескольких пользователей посредством одного правила. Например, можно связать все сертификаты, выпущенные определенным бюро сертификатов, с одной учетной записью пользователя. Это может быть целесообразно для аутентификации пользователей из компании-партнера, использующей другое бюро сертификатов. Поскольку связи "много к одному" сопоставляют информацию, а не сертификаты, то при создании пользователем нового сертификата с той же самой информацией он по-прежнему будет успешно проходить аутентификацию. В этом случае не нужно извлекать сертификаты, как при работе со связями "один к одному". Правила "много к одному" обрабатываются по порядку; первое правило, соответствие которому обнаруживается, аутентифицирует пользователя. Следовательно, последнее правило откажет в доступе всем пользователям.

Перед созданием набора правил узнайте, какие поля должны присутствовать в сертификате, используемом при работе с этими правилами.

  1. В Windows Explorer дважды щелкните на файле сертификата ( .cer ).
  2. Нажмите на кнопку Details (Детали).
  3. На вкладке Details (Детали) окна Certificate (Сертификат) (см. рис. 10.8) в записях Issuer и Subject расположена полезная информация.
Вкладка Details (Детали) окна Certificate (Сертификат)

Рис. 10.8. Вкладка Details (Детали) окна Certificate (Сертификат)

С учетом этой информации создайте правило отказа в доступе по умолчанию.

  1. Откройте консоль IIS MMC.
  2. Откройте окно Properties (Свойства) веб-сайта, для которого настраивается связь сертификата клиента, после чего откройте вкладку Directory Security (Безопасность каталога).
  3. Убедитесь, что в области Secure Communications (Безопасные соединения) отмечена опция Enable Client Certificate Mapping (Включить связывание сертификатов клиентов), после чего нажмите на кнопку Edit (Изменить).
  4. Откройте вкладку Many-to-1 (Много к одному) в окне Account Mapping (Связи с учетными записями).
  5. Нажмите на кнопку Add (Добавить).
  6. В окне General (Общие) присвойте правилу Wilcard Matching Rule (Правило соответствия по групповому символу) информативное имя, например, "Отказ всем". Опция Enable This Wildcard Rule (Включить это правило группового символа) должна быть отмечена по умолчанию.
  7. Нажмите на кнопку Next (Далее), затем – на кнопку New (Создать).
  8. В окне Rules (Правила) выберите критерий, которому будет удовлетворять каждый сертификат, например:
    • поле Certificate: Issuer ;
    • поле Sub: CN ;
    • критерий: * (Символ "*" соответствует любой возможной записи).
  9. Оставьте отмеченной опцию Match Capitalization (Сопоставлять регистр).
  10. Нажмите на кнопку OK, после чего нажмите на кнопку Next (Далее).
  11. В окне Mapping (Связывание) выберите переключатель Refuse Access (Отклонить доступ).
  12. Нажмите на кнопку Finish (Готово).

Теперь всем посетителям будет отказано в доступе, независимо от их сертификатов. Следующим шагом, разумеется, будет определение правил, разрешающих доступ.

  1. В окне Account Mappings (Связи с учетными записями) (см. шаги 3 и 4 предыдущей процедуры) нажмите на кнопку Add (Добавить).
  2. В окне General (Общие) присвойте правилу некоторое информативное имя, например, "Инженерный отдел".
  3. Оставьте отмеченной опцию Enable This Wildcard Rule (Включить это правило группового символа).
  4. Нажмите на кнопку Next (Далее), затем – на кнопку New (Создать).
  5. В окне Rules (Правила) выберите соответствующий параметр, например:
    • поле Certificate: Subject ;
    • поле Sub: OU ;
    • критерий: Инженерный.
  6. Не забудьте включить или отключить опцию Match Capitalization (Сопоставлять регистр) (при необходимости). Данная опция включена по умолчанию.
  7. Если этой информации достаточно для определения аутентифицируемой группы, то нажмите на кнопку Next (Далее). В противном случае нажмите на кнопку New (Создать) еще раз для добавления нужного количества правил.
  8. В окне Mapping (Связывание) выберите имя и укажите пароль учетной записи, с которой следует установить связь.
  9. Нажмите на кнопку Finish (Готово).
  10. Введите пароль еще раз в появившемся окне Confirm Password (Подтвердите пароль).
  11. Нажмите на кнопку OK.
  12. Убедитесь, что правила расположены в нужном порядке (см. рис. 10.9). Все, что расположено ниже правила отклонения, будет игнорироваться. С помощью кнопок Move Up (Вверх) и Move Down (Вниз) выполните упорядочивание списка.
  13. Нажмите на кнопку OK для закрытия окна Account Mappings (Связи с учетными записями).
Правила связывания с учетными записями

Рис. 10.9. Правила связывания с учетными записями

Архивация и восстановление сертификата

При архивации сертификата SSL необходимо вместе с сертификатом заархивировать секретный ключ.

Для архивирования сертификата и секретного ключа выполните следующие действия.

  1. Откройте консоль Certification Authority (Бюро сертификатов) с помощью команды Start\Administrative Tools\Certification Authority (Пуск\Администрирование\Бюро сертификатов).
  2. Щелкните на значке "+" рядом с пунктом Personal (Личное).
  3. Щелкните на папке Certificates (Сертификаты).
  4. Щелкните правой кнопкой мыши на сертификате и выберите Export (Экспорт).
  5. Нажмите на кнопку Next (Далее).
  6. Выберите опцию Yes, Export The Private Key (Да, экспортировать секретный ключ).
  7. Выберите опцию Personal Information Exchange (Обмен личной информацией).
  8. Отметьте опцию Include All Certificates In The Certification Path, If Possible (Если возможно, включить все сертификаты в папку сертификатов). Отключите все остальные опции.
  9. Нажмите на кнопку Next (Далее).
  10. Укажите пароль, после чего нажмите на кнопку Next (Далее).
  11. Нажмите на кнопку Browse (Обзор).
  12. Присвойте файлу информативное имя и выберите каталог для сохранения.
  13. Нажмите на кнопку Save (Сохранить), затем – на кнопку Next (Далее), далее – на кнопку Finish (Готово).

Предупреждение. Данный процесс опасен тем, что архив с сертификатом и секретным ключом может попасть в чужие руки. Храните архивный файл в надежном месте.

Для восстановления сертификата выполните следующие действия.

  1. Откройте консоль IIS MMC.
  2. Щелкните правой кнопкой мыши на виртуальном сервере, для которого нужно восстановить сертификат, и выберите Propeties (Свойства).
  3. В области Secure Communications (Безопасные соединения) вкладки Directory Security (Безопасность каталога) окна свойств нажмите на кнопку Server Certificate (Сертификат сервера).
  4. Откроется окно Welcome To The Web Server Certificate Wizard (Добро пожаловать в мастер сертификатов веб-сервера). Нажмите на кнопку Next (Далее).
  5. Выберите опцию Import Certificate From A .pfx File (Импортировать сертификат из файла .pfx). Нажмите на кнопку Next (Далее).
  6. Нажмите на кнопку Browse (Обзор) и выберите нужный файл .pfx. Нажмите на кнопку Next (Далее).
  7. Введите пароль. Нажмите на кнопку Next (Далее).
  8. Мастер предложит указать номер порта SSL. По умолчанию указан порт 443, и его номер не следует менять без веских оснований, поскольку клиенты будут по умолчанию устанавливать SSL-соединение через порт 443.
  9. Нажмите на кнопку Next (Далее).
  10. Отобразятся сведения о сертификате. Нажмите на кнопку Next (Далее), затем – на кнопку Finish (Готово).
Александр Тагильцев
Александр Тагильцев

Где проводится профессиональная переподготовка "Системное администрирование Windows"? Что-то я не совсем понял как проводится обучение.

Владимир Кирин
Владимир Кирин
Неполодки на ресурсе.При сдаче 7 теста, открывается пустое окно, и ничего не происходит.Поправте пожалуйста. При этом попытка считается защитана, перездача только через 30 мин. Использую браузер опера.