Digitální certifikace zabezpečeného ssl připojení. Nastavení platebních systémů Obousměrné ssl propojení s platebním systémem
Můžete začít podnikat v malém. Například organizovat přeprodej domén a SSL certifikátů. Najdete zákazníky pro stávající prodejce a získáte odměnu ve formě slev a marží – jinými slovy, staňte se prodejcem. Pomocí softwaru ISPsystem můžete rychle nastavit prodejní domény a SSL certifikáty.
Důležité! Doporučujeme začít nikoli technickou implementací, ale obchodním modelem a právní stránkou problému. Určete cílovou skupinu a způsoby, jak ji přilákat, vypracujte cenovou politiku, která je výhodná pro vás i vaše zákazníky. Naučte se právní a účetní rámec. Teprve poté přejděte k technické realizaci plánu.
Co potřebujete, abyste mohli začít
Chcete-li se stát prodejcem domén a certifikátů SSL, budete potřebovat:
- virtuální server (VPS/VDS),
- dohoda s prodejci domén a SSL certifikátů,
- souhlas s platebním systémem,
- fakturační platforma pro příjem plateb,
- stránky pro prodej služeb.
Instalace a konfigurace softwaru
Chcete-li prodávat domény a certifikáty SSL, budete muset nainstalovat BILLmanager na pronajatý virtuální server.
Integrace s dodavateli domény a SSL
Chcete-li nastavit integraci, použijte data od dodavatelů domény a SSL, se kterými máte smlouvu. Integrace obvykle vyžaduje adresu URL pro přístup k rozhraní API, kód prodejce a autorizační klíč rozhraní API. Údaje se mohou lišit v závislosti na společnosti.
Poté v BILLmanageru v menu Integrace - Servisní procesory budete moci nastavit další prodej.
Můžete také začít prodávat SSL certifikáty prostřednictvím ISPsystem. Nebudete muset jednat přímo s registrátorem. Chcete-li to provést, v části „Servisní procesory“ vyberte BILLmanager 5 a zadejte údaje o svém osobním účtu my.ispsystem.com.
Propojení platebních systémů
Chcete-li zákazníkům umožnit platit za služby, nastavte platební metody. BILLmanager obsahuje více než 30 modulů platba: Yandex.Money, WebMoney, PayMaster, Qiwi, PayPal, Bankovní převod a další.
Chcete-li pracovat s určitým platebním systémem, musíte vy a vaši zákazníci mít účet nebo účet v tomto systému. Vyberte si tedy co nejvíce oblíbený Služby. Pro nastavení integrace budete potřebovat údaje z platebního systému: číslo peněženky a tajný klíč.
Klienti převedou prostředky ze svého účtu na váš. Příjem finančních prostředků se projeví na vašem účtu a zákaznickém účtu v BILLmanager.
Chcete-li přijímat platby od jednotlivců, můžete připojit jednoduché elektronické systémy, jako je Yandex.Checkout nebo WebMoney. Právnické osoby platí za služby bankovním převodem dle faktury, pro práci s nimi tedy připojte platební metodu Bankovní převod (ruská banka). Zadejte bankovní údaje vaší organizace. Napojení na platební systémy.
Nastavení šablon dokumentů
BILLmanager má předinstalované šablony dokumentů: faktury, potvrzení o provedení práce, potvrzení o odsouhlasení, servisní smlouvy, přílohy ke smlouvě. Upravte je podle svých smluvních podmínek.
Pro splnění zákonných požadavků vytvořte a publikujte na svém webu Zásady ochrany osobních údajů A Podmínky použití. Přidejte odkaz na tyto dokumenty v nabídce Nastavení - Nastavení značky - autorská práva. Při sestavování zásad zpracování osobních údajů se řiďte doporučeními Roskomnadzoru. Nastavení šablon dokumentů a zpráv
Nastavení šablon pošty a zpráv
BILLmanager obsahuje více než 60 e-mailových šablon. Klienti obdrží dopisy při registraci, objednávce služeb, fakturaci. Vyúčtování vás upozorní, až služba vyprší. Můžete také nastavit šablony pro SMS zprávy a hromadné rozesílání. Na panelu můžete změnit typ zpráv.
Nastavení integrace s webem
Integrace webových stránek
Aby bylo možné prodávat služby, musí být informace o nich veřejně dostupné. Pokud máte web, nastavte si na něm zobrazování služeb. Připravte si obrázky a popisy tarifů a v BILLmanageru vygenerujte odkaz na konkrétní tarif s požadovanou dobou splatnosti. Po kliknutí na odkaz bude uživatel okamžitě přesměrován na nákupní stránku vybraného produktu. Konfigurace integrace BILLmanager s webem
Karty zboží a služeb
Tarify můžete na stránky rychle umístit pomocí nástroje Showcase. Nástroj umožňuje přidat na stránku kartu jedné nebo více služeb, takže si uživatel může vybrat a objednat. Ceny na kartách se aktualizují automaticky.
Chcete-li přidat kartu, musíte na místo, kde ji chcete zobrazit, umístit speciální skript. Skript najdete v dokumentaci: Integrace výlohy do existujícího webu.
Branding
Při přechodu z vaší stránky na svůj osobní účet v BILLmanageru mohou zákazníci pocítit nesrovnalosti: stránka a fakturace jsou navrženy jinak, fakturační adresa obsahuje IP adresu serveru a liší se od adresy webu.
Chcete-li styly „o úroveň výš“, dokončete nastavení značky: přidejte své logo do fakturace, změňte barvu rozhraní, publikujte odkazy na web. Abyste zajistili, že se fakturační adresa URL nebude lišit od webové stránky, nakonfigurujte adresu pro BILLmanager . CloudLite má například webovou adresu cloudlite.ru, fakturační adresa - myvdc.cloudlite.ru.
Webová stránka společnosti CloudLiteDokumentace pro nastavení Aihor showcase" nebo "FirstVDS". Poté si můžete spustit vlastní virtuální hosting a VDS hosting.DIGITÁLNÍ CERTIFIKACE ZABEZPEČENÉHO SSL PŘIPOJENÍ
Pro bezpečný přenos dat mezi prohlížečem a webovým serverem se používá protokol přenosu dat https, který je založen na zabezpečeném připojení SSL.
Tento článek poskytuje přehled o šifrování veřejného klíče, digitálních certifikátech, infrastruktuře veřejných klíčů (PKI - Public Key Infrastructure), vytvoření certifikační autority, konfiguraci kontejnerů servletů Apache Tomcat a JBoss pro navázání jednosměrné a obousměrné zabezpečené komunikace, generování úložiště certifikátů a jak vytvořit certifikát SSL pomocí obslužného programu keytool. Dozvíte se také o způsobech kontroly odvolaných certifikátů v Javě (seznamy CRL, protokol OCSP) a konfiguraci prohlížeče pro práci s certifikáty.
Moderním způsobem bezpečného přenosu zpráv po síti je metoda šifrování veřejným klíčem. Podstatou metody je přítomnost dvojice klíčů: veřejného a soukromého. Veřejný a soukromý klíč jsou algoritmy pro převod původní zprávy na zašifrovanou zprávu a zašifrovanou zprávu na původní.
Veřejný klíč je volně dostupný a dostupný každému, kdo chce poslat šifrovanou zprávu. Odesílatel, který zprávu zašifroval, ji může s jistotou přenést přes nezabezpečený komunikační kanál a mít jistotu, že tuto zprávu bude moci přečíst pouze adresát.
Soukromý klíč je přísně tajný vlastníkem páru klíčů. Po obdržení zprávy zašifrované veřejným klíčem příjemce použije soukromý klíč k jejímu dešifrování. Vzhledem k tomu, že soukromý klíč zná pouze adresát zprávy, nemůže jej přečíst nikdo jiný, což zaručuje utajení zprávy.
Zprávu zašifrovanou soukromým klíčem může dešifrovat kdokoli, kdo má veřejný klíč.
Na základě tohoto šifrovacího algoritmu je vytvořeno zabezpečené připojení SSL.
Digitální certifikát
Digitální certifikát je elektronický dokument, který identifikuje vlastníka. Obsahuje základní údaje o vlastníkovi, veřejný klíč vlastníka, data expirace, digitální podpis vydavatele (vydavatele) a další potřebné informace. Digitální certifikát má sekci rozšíření (volitelné), která obsahuje distribuční body seznamu odvolání, informace o vydavateli atd. Digitální certifikát umožňuje nastavit zabezpečené připojení SSL. Jak vytvořit certifikát SSL je popsáno dále v tomto článku.
Hlavní vlastnosti výše uvedených certifikátů jsou:
Certifikát SSL certifikační autority musí obsahovat pole CA nastavené na hodnotu TRUE, což umožňuje vydávání dalších certifikátů, tzn. tento certifikát není v řetězci konečný.
SSL certifikáty serveru v poli CN (common name) musí obsahovat název domény nebo ip-adresu, na které je server přistupován, jinak bude certifikát zneplatněn;
Klientské SSL certifikáty obsahují e-mailovou adresu klienta, jméno a příjmení. Na rozdíl od certifikátu serveru není pole CN pro obsah kritické a může obsahovat křestní jméno a příjmení a také e-mailovou adresu.
Digitální certifikát SSL je považován za platný v době platnosti uvedené v jeho polích. Certifikát tedy nelze použít před datem zahájení a po datu vypršení platnosti, protože. systémy, které s ním přijdou do kontaktu, budou hlásit nedůvěru k němu.
Existují situace, kdy uživatel nebo vydavatel certifikátu potřebuje certifikát pozastavit nebo úplně zastavit. Řekněme, že soukromý klíč, který by měl být bezpečně uložen, byl ztracen nebo k němu získali přístup vetřelci. V takové situaci musí uživatel kontaktovat vydavatele (vydavatele) certifikátu, aby ten zrušil jeho platnost. Vydavatel také může certifikát zrušit, pokud se zjistí, že klient o sobě uvedl falešné údaje. Pro tyto účely je vytvořen speciální seznam, nazývaný seznam odvolaných certifikátů (CRL). Tento seznam obsahuje sériové číslo certifikátu, datum vypršení jeho platnosti a důvod zrušení. Od okamžiku, kdy certifikát vstoupí do CRL, je považován za neplatný a vydavatel nenese odpovědnost za obsah takového certifikátu. Jednou z metod kontroly seznamu CRL je protokol OCSP, ten však vyžaduje přítomnost OCSP respondéru u certifikační autority.
Infrastruktura veřejného klíče (PKI)
Hlavním úkolem infrastruktury veřejného klíče (PKI) je definovat politiku pro vydávání digitálních certifikátů.
Chcete-li vydávat a odvolávat certifikáty SSL, generovat seznamy odvolání (CRL), potřebujete speciální software (software). Příkladem takového softwaru je Microsoft CA (součást MS Windows Server 2000/2003/2008), OpenSSL (distribuovaný do unixových operačních systémů). Tento software je umístěn na zařízení certifikačního centra.
Certifikační autorita (CA) je organizace, která vydává digitální certifikáty SSL na základě údajů poskytnutých zákazníkem. Za pravost údajů uvedených v SSL certifikátu je odpovědná výhradně certifikační autorita, což znamená, že vlastníkem certifikátu je přesně ten, za koho se vydává.
Nejběžnější CA na světě jsou Verisign a Comodo. Těmto certifikátům CA důvěřuje 99 % prohlížečů a většina serverového softwaru. Vytvoření certifikační autority je popsáno níže.
Zabezpečené připojení SSL s obousměrnou autentizací
Zabezpečené připojení SSL se nejčastěji používá v elektronickém obchodování. Jako příklad uveďme nákup zboží prostřednictvím elektronického obchodu. Kupující s uvedením čísel a kódů kreditních karet chce mít jistotu, že se nedostanou do nesprávných rukou. Proto se server ověřuje poskytnutím certifikátu klientovi. Garantem této pravosti je certifikační autorita. Klientská data budou zašifrována veřejným klíčem serveru. Tato data lze dešifrovat pouze pomocí soukromého klíče, který je na serveru. Klient se tedy nemusí bát, že jeho data zachytí útočník, stejně je nebude schopen dešifrovat.
Klientský SSL certifikát se používá v případech, kdy server potřebuje potvrzení, že klient je tím, za koho se vydává. Například banka poskytuje síťový přístup pro správu osobního účtu. Chce se chránit a mít jistotu, že ho kontaktuje majitel tohoto účtu, a ne útočník, který získal přihlašovací jméno a heslo. V této situaci klient poskytne svůj veřejný klíč serveru a všechna data přijatá ze serveru může dešifrovat pouze klient a nikdo jiný, protože. je vlastníkem soukromého klíče.
Obrázek je schéma, které ukazuje kroky k vytvoření zabezpečeného připojení SSL.
Obr 1 - Schéma pro vytvoření zabezpečeného SSL spojení s obousměrnou autentizací
Když se klient pokusí o přístup k chráněnému prostředku, server odešle svůj digitální certifikát. Po obdržení certifikátu jej klient zkontroluje. Ověření je následující: datum začátku a konce platnosti nesmí vypršet, vydavatel certifikátu musí být důvěryhodný, certifikát nesmí být v CRL. Pokud kontrola selže, proces navázání spojení se přeruší. Pokud jsou splněny podmínky ověření, klient odešle svůj certifikát na server. Server provede podobnou kontrolu. Pokud se kontrola nezdaří, server odepře přístup ke svým prostředkům. Po úspěšném ověření je navázáno zabezpečené spojení a data jsou přenášena v šifrované podobě.
V tomto schématu jsou přenášená data dvojitě zašifrována. Klient zašifruje zprávu veřejným klíčem serveru a poté svým vlastním soukromým klíčem. Po přijetí zprávy server dešifruje zprávu pomocí veřejného klíče klienta a poté pomocí jeho soukromého klíče. Server a klient se tedy vzájemně ověřují, protože pouze oni mohou dešifrovat přijatá data.
Je třeba poznamenat, že použití této techniky snižuje rychlost výměny dat, protože operace šifrování/dešifrování vyžadují další čas a rychlost jejich provádění závisí na výkonu výpočetních zdrojů.
Vytvoření certifikační autority
Pro účely testování nebo v případech, kdy není praktické kupovat digitální certifikát, byste si měli vytvořit vlastní CA.
Kořenová CA je CA, které všichni důvěřují. Má SSL certifikát, který je podepsán vlastním soukromým klíčem. Takové certifikáty SSL se nazývají self-signed.
Soukromý klíč kořenové CA musí být velmi zabezpečený, protože pokud dojde ke ztrátě nebo odcizení, dojde ke ztrátě důvěry ve všechny podřízené certifikáty SSL.
Podřízená CA je CA, která vydává certifikáty SSL klientům. Certifikát podřízené certifikační autority je podepsán privátním klíčem nadřízené certifikační autority. Jako klienti podřízeného certifikačního centra mohou vystupovat certifikační centra, webové servery, webové prohlížeče, poštovní klienti, pro které jsou generovány certifikáty požadovaného typu. Typy certifikátů jsou určeny politikou certifikační autority.
Z výše uvedeného vyplývá, že je vytvořen řetězec certifikátů od kořenové CA až po finální klientský certifikát.
Obr. 2 - Řetězec certifikátů
Pro vytvoření certifikační autority použijeme dvouúrovňové schéma znázorněné na obrázku 3. Toto schéma má kořenovou certifikační autoritu (Root CA) a podřízenou certifikační autoritu (Issuing CA). Kořenová CA podepisuje svůj vlastní certifikát SSL a certifikáty SSL podřízených CA. Je třeba poznamenat, že čím více úrovní je použito, tím je schéma bezpečnější.
V certifikátech kořenové a podřízené certifikační autority jsou distribuční místa CRL registrována v rozšíření. Distribuční bod CRL je síťová adresa. Na tuto adresu by měl být s danou frekvencí nahrán soubor CRL vygenerovaný speciálním softwarem.
Obr. 3 - Dvouúrovňové schéma certifikačního centra
Příklad organizace certifikační autority na základě Microsoft CA naleznete v článku Nasazení řetězce certifikačních autorit založených na Microsoft CA.
Získání certifikátu SSL serveru od CA a konfigurace kontejneru Servlet
Digitální certifikát serveru SSL vám umožňuje vytvořit zabezpečené připojení SSL, které vám umožní přenášet data v šifrované podobě.
Chcete-li získat certifikát, který bude kontejner servletu používat, musíte CA vygenerovat žádost o podepsání certifikátu (CSR). Požadavek obsahuje základní informace o organizaci a veřejný klíč.
Hlavní pole, které musí být správně vyplněno, se nazývá Common Name (CN). V tomto poli musíte zadat název domény nebo IP adresu hostitele, kde je umístěn kontejner servletu.
Chcete-li vygenerovat soukromý a veřejný klíč a požádat o certifikát SSL, můžete použít nástroj keytool, který je součástí sady JDK (Java development kit).
Na příkazovém řádku zadejte následující příkaz:
$JAVA_HOME\bin> keytool -genkey -alias
Obr. 4 - Vytvoření úložiště certifikátů SSL pomocí nástroje keytool
Tento příkaz keytool vytvoří paměť certifikátů s názvem
Během vytváření úložiště vás nástroj keytool vyzve k zadání hesla pro přístup do úložiště, informací o organizaci a hesla pro tajný (soukromý) klíč. Když odpovídáte na klíčovou otázku "Jaké je vaše jméno a příjmení?" musíte zadat název domény nebo ip-adresu hostitele, protože hodnota odpovědi bude použita jako pole CN certifikátu SSL.
Po vygenerování úložiště klíčů obslužným programem keytool by měla být certifikační autoritě zaslána žádost o podepsání certifikátu SSL. To se provádí příkazem:
$JAVA_HOME\bin> keytool -certreq -keyalg RSA -alias
V souboru
K vydání SSL certifikátu organizaci může certifikační centrum vyžadovat ustavující dokumenty, registrační certifikát atd. Po obdržení žádosti o SSL certifikát certifikační centrum provede ověření porovnáním údajů v žádosti o certifikát a zaslaných dokumentů a poté žádost podepíše. Podepsaná žádost je certifikát.
Obr. 5 - Schéma pro získání certifikátu serveru
Po obdržení certifikátu od certifikační autority je nutné jej po přidání SSL certifikátů kořenové a zprostředkující certifikační autority umístit do úložiště. Chcete-li do úložiště přidat certifikáty SSL, použijte následující příkazy nástroje keytool:
1) přidání certifikátu kořenové CA pomocí nástroje keytool: $JAVA_HOME\bin> keytool -import -trustcacerts -alias rootca -file
2) přidání zprostředkujícího certifikátu CA pomocí nástroje keytool: $JAVA_HOME\bin> keytool -import -trustcacerts -alias subca -file
3) nahrazení self-signed certifikátu certifikátem podepsaným v certifikační autoritě (je uvedena hodnota parametru alias, který byl použit při vytváření úložiště): $JAVA_HOME\bin> keytool -import -trustcacerts -alias
Aby aplikace mohly používat zabezpečené připojení SSL, musí být nakonfigurován kontejner servletu. Pro Apache Tomcat a JBoss přidejte do souboru server.xml následující obsah:
clientAuth="false" sslProtocol="TLS" keystoreFile=" keystorePass=" keystoreType="JKS" keyAlias=" Tato položka umožňuje kontejneru servletu vytvořit zabezpečené připojení pomocí digitálního certifikátu SSL, který je umístěn v úložišti Výše uvedená konfigurace využívá jednosměrnou autentizaci, tzn. poskytnutí digitálního certifikátu SSL je vyžadováno pouze ze serveru. Pro vytvoření obousměrné autentizace, tzn. když klient poskytuje také digitální certifikát SSL, musíte změnit konfiguraci kontejneru servletu následovně: maxThreads="150" schéma="https" secure="true" clientAuth="true" sslProtocol="TLS" keystoreFile=" keystorePass=" keystoreType="JKS" keyAlias=" truststoreFile=" truststorePass=" V této konfiguraci je nastaven parametr clientAuth=”true” a je připojeno důvěryhodné úložiště. Vytvoření úložiště důvěryhodných certifikátů SSL se provádí pomocí nástroje keytool stejným způsobem jako běžné úložiště. Musíte k němu přidat certifikáty certifikačních autorit, které vydávají digitální certifikáty, kterým by měl kontejner servletu důvěřovat. Jinak budou certifikáty poskytované SSL kontejnerem servletu během ověřování odmítnuty. nebude se jim věřit. Existují 3 způsoby, jak ověřit certifikát pro odvolání: statické ověření CRL, dynamické ověření CRL a ověření OCSP. Zvažme tyto metody podrobněji. 1) Statická kontrola CRL Při použití tohoto typu ověření musí administrátor serveru zadat v konfiguraci název souboru na lokálním disku, kde se nachází seznam odvolaných certifikátů. Tento seznam je stažen ze síťového prostředku certifikačního úřadu. Chcete-li připojit CRL v kontejnerech servletů Apache Tomcat a Jboss, přidejte do konektoru ssl následující atribut: crlFile=” Nevýhodou tohoto způsobu je nutnost neustálého sledování aktualizace souboru CRL ze strany správce. 2) Dynamická kontrola CRL Tato metoda umožňuje provádět kontrolu CRL automaticky. To vyžaduje, aby byl atribut CRLDistributionPoint zadán v části rozšíření certifikátu SSL poskytnutého klientem, který určuje adresu URL, kde se nachází seznam odvolaných certifikátů (CRL). Aby mohl být klientský certifikát SSL ověřen v CRL, musí být pro Java Virtual Machine nakonfigurovány dva parametry. Tyto volby lze zadat ve spouštěcím skriptu kontejneru servletu. Pro Apache Tomcat a Jboss ve Windows to vypadá takto: nastavit JAVA_OPTS=%JAVA_OPTS% -Dcom.sun.net.ssl.checkRevocation=true Dcom.sun.security.enableCRLDP=true -Djava.security.debug=certpath Volba java.security.debug=certpath vám umožňuje sledovat ověřování certifikátů v konzole běžícího kontejneru. Mezi nevýhody této metody patří zpoždění v přístupu k chráněnému zdroji spojené se stahováním velkého souboru CRL. 3) Ověření pomocí protokolu OCSP OCSP (Online Certificate Status Protocol) byl vyvinut jako alternativa k CRL. Tato kontrola je podporována technologií JSSE (Java Secure Socket Extension) od verze JDK 5. OCSP funguje ve spojení s CRL. K CRL se přistupuje, když během komunikace OCSP dojde k chybě. Pokud OCSP určil stav certifikátu SSL, kontrola CRL se neprovádí. Certifikát může mít jeden ze tří stavů: odvolaný, normální, neznámý. Pro ověření OCSP musí certifikát obsahovat atribut AuthorityInfoAccess v sekci rozšíření s hodnotou adresy URL OCSP respondéru. OCSP Responder je software umístěný na síťovém prostředku certifikační autority, který zpracovává požadavky na zjištění stavu certifikátu a vydává výsledky ověření. Aby mohl virtuální stroj Java kontrolovat OCSP, musíte nastavit vlastnost ocsp.enable=true. Tato vlastnost je nakonfigurována v souboru JAVA_HOME\jre\lib\security\java.security. V tomto souboru můžete zadat adresu OCSP respondéru ve vlastnosti ocsp.responderURL. Tato vlastnost se použije, pokud v certifikátu SSL není žádná adresa URL odpovídače. Existují situace, kdy server nejen potřebuje prokázat, že je tím, za koho se vydává, ale také když server vyžaduje, aby klient prokázal svou identitu digitálním certifikátem. Klientský SSL certifikát můžete získat, aniž byste sami generovali žádost, a to pomocí certifikační autority. K tomu je třeba na stránkách CA vyplnit formulář se jménem, příjmením, e-mailovou adresou apod. Na základě těchto údajů bude vygenerována žádost. V této situaci je generování tajného klíče přiřazeno certifikační autoritě. Po ověření dat a podepsání požadavku je klientovi zaslán soubor obsahující tajný klíč a certifikát a také soubory kořenové a zprostředkující certifikační autority. Po obdržení souborů certifikátu je třeba nakonfigurovat software, který vytvoří zabezpečená připojení. Jako příklad si nainstalujme klientský SSL certifikát do webového prohlížeče Microsoft Internet Explorer. Chcete-li to provést, vyberte z nabídky Nástroje > Možnosti Internetu. Na záložce "Obsah" vyberte "Certifikáty ...". Spusťte Průvodce importem certifikátu kliknutím na tlačítko "Importovat...". V tomto průvodci zadejte cestu ke kořenovému certifikátu CA. Dále vyberte úložiště důvěryhodných kořenových certifikačních úřadů a přidejte do něj certifikát. Podobně jsou certifikáty zprostředkujících CA přidány do úložiště "Zprostředkující CA" a klientský certifikát do úložiště "Osobní". Pro zobrazení obsahu certifikátu vyberte požadovaný SSL certifikát a klikněte na tlačítko "Zobrazit". Pokud je klientský certifikát získán od známé certifikační autority, pak jsou její SSL certifikáty zpravidla již obsaženy v úložištích webového prohlížeče a není třeba je přidávat. Stačí přidat klientský certifikát. Pokud server, se kterým bude interakce provedena, obdržel certifikát, který není od běžné certifikační autority, pak by měl být serverový certifikát přidán mezi důvěryhodné, aby webový prohlížeč nezobrazoval hlášení o nedůvěře k takovému certifikátu. Pokud klient používá webový prohlížeč MS Internet Explorer, pak jej lze nakonfigurovat tak, aby kontroloval odeslané certifikáty v CRL. Chcete-li to provést, přejděte na kartu "Upřesnit" v Možnostech Internetu a zaškrtněte dva atributy "Kontrola odvolání certifikátů vydavatele" a "Kontrola odvolání certifikátů serveru". Další nastavení serveru pro webový přístup
Nastavení zabezpečeného připojení (založené na Secure Socket Layers, SSL)
V případě potřeby můžete nakonfigurovat ochranu připojenís webovým přístupovým serverem DIRECTUM : Informace přenášené komunikačními kanály budou šifrovány. Abyste mohli pracovat se zabezpečenými připojeními, proveďte následující: 1.
Proveďte změny v konfiguračním souboru serveru pro webový přístup: ·
Krok 1: Spusťte konfigurační nástroj Web Access Server C:\Program Files\DIRECTUM Company\WebAccessConfig\DirWebConfigurator.exe. ·
Krok 2. Okno "Select the Web Site of the Web Access Server". DIRECTUM": A) v rozevíracím seznamu vyberte webovou stránku serveru pro webový přístup DIRECTUM . Ve výchozím nastavení se nazývá "Web Access Server". DIRECTUM"; b) klikněte na tlačítko OK
;
·
Krok 3. Okno "Web Access Server Settings". DIRECTUM “, záložka „Obecné“: A) v rozevíracím seznamu "Zabezpečené připojení" vyberte hodnotu "Pro vzdálené". Pokud je nutné vytvořit zabezpečené připojení pro uživatele místní sítě, vyberte hodnotu „Pro vzdálené a místní“; b) klikněte na tlačítko OK
.
2. Nakonfigurujte službu IIS pro práci s protokolem SSL -připojení instalací ověřovacího certifikátu serveru. K tomu je vygenerován certifikát s účelem „Poskytuje získání identifikace ze vzdáleného počítače“ s možností exportu do služby podnikového certifikátu, v důsledku čehož musíte získat *. pfx -soubor soukromého klíče. 3.
Pokud používáte Certificate Web Service Okna pak proveďte následující: A) Při generování certifikátu uveďte možnost případného exportu certifikátu. Jakmile je certifikát nainstalován v místním systému, lze jej zobrazit pomocí internet Explorer – Položka nabídky „Možnosti Internetu“, karta „Obsah“, tlačítko Certifikáty
. Pro export použijte tlačítko Vývozní
, upřesněte Ano, exportovat soukromý klíč a zadejte heslo. b) Importujte certifikát. Chcete-li to provést, na kartě „Zabezpečení adresáře“ na kartě vlastností webu klikněte na tlačítko Certifikáty
a podle pokynů na obrazovce importujte certifikát pomocí hesla, které bylo nastaveno v předchozím kroku. Po obdržení certifikátu bude navázán a zprovozněn port zabezpečeného připojení 443 SSL bude možné. 4.
Chcete-li podporovat otevřená (nezabezpečená) připojení, musíte tuto možnost nastavit Povolit podporu pro otevřená připojení HTTP na kartě Web ve vlastnostech webu. 5.
Abyste mohli nainstalovat certifikát certifikační autority pomocí odkazu z přihlašovací stránky, potřebujete uživatele, který spouští aplikační skupinu " DIRECTUM “, povolte „Číst“ a „Vyžadovat certifikáty“ v modulu snap-in „Certifikační autorita“ ve vlastnostech požadované certifikační autority na záložce „Zabezpečení“. Viz také: SSL verze 3.0 byl základem pro protokol Transport Layer Security (TLS), který se od SSL liší v drobných detailech. V následujícím textu bude termín SSL označovat oba protokoly. Proces výměny dat pomocí protokolu SSL je znázorněn na Obr. 10.1. Kdykoli se klient připojí k serveru, spustí se relace SSL. V rámci každé relace je možné více připojení. Pokud se klient připojí k jinému serveru, zahájí se nová relace, aniž by byla přerušena ta aktuální. Při návratu k prvnímu serveru může uživatel buď obnovit připojení pomocí dříve nastavených parametrů, nebo vytvořit nové připojení. Aby se zabránilo útokům, SSL zahrnuje časový limit relace (obvykle 24 hodin), po kterém je relace ukončena a musí být vytvořena nová relace, aby mohla pokračovat komunikace se serverem. Relace SSL je charakterizována následujícími hodnotami. SSL zahrnuje čtyři protokoly, které jsou znázorněny na Obr. 10.2:
podání ruky. Tento protokol je určen pro vzájemnou autentizaci klienta a serveru, navázání relace nebo spojení. Nastavení relace, schematicky znázorněné na Obr. 10.3 je obvykle inicializován klientem zprávou ClientHello (někdy se server inicializuje odesláním zprávy HelloRequest indikující, že server je připraven na Handshake), ve které klient předává následující parametry: Jako odpověď na tuto zprávu server odešle zprávu ServerHello obsahující následující parametry: Kromě této zprávy server odešle svůj vlastní certifikát. V případě, že použité algoritmy vyžadují klientský certifikát, server odešle klientovi žádost o certifikát - CertificateRequest. Server poté odešle zprávu ServerHelloDone klientovi, která označuje konec zprávy ServerHello. Pokud klient nepodporuje algoritmy navržené serverem nebo neposlal svůj certifikát jako odpověď na příslušný požadavek, pak se navázání relace přeruší. V opačném případě klient ověří certifikát serveru, vygeneruje Pre_Master_Secret, zašifruje jej veřejným klíčem serveru odvozeným z certifikátu serveru a odešle výslednou hodnotu ve zprávě ClientKeyExchange. Server dešifruje přijatou zprávu pomocí svého soukromého klíče a extrahuje Pre_Master_Secret. Obě strany (klient a server) tedy mají tři hodnoty - Server_Random, Client_Random a Pre_Master_Secret a mohou vypracovat Master_Secret podle schématu znázorněného na obr. 10.4. Poté obě strany pošlou zprávu Finished, což jsou parametry relace zašifrované na tajném klíči Master_Secret a symbolizuje dokončení procesu navázání nové relace. Spojení je dokončeno odesláním zpráv ChangeCipherSpec klienta a serveru, které potvrzují přijetí obou stran algoritmů pro kompresi, šifrování a hashování informací a Dokončené zprávy, symbolizující dokončení procesu navazování nového spojení. záznam. Tento protokol je navržen pro převod dat přenášených relační vrstvou do transportní vrstvy a naopak. Konverze dat probíhá podle schématu na obr. 10.7. Informace přenášené odesílatelem jsou rozděleny do bloků ne větších než 2^14 + 2048 bajtů. Každý blok je poté komprimován pomocí zvoleného kompresního algoritmu. Poté se vypočítá MAC každého bloku a připojí se k poslednímu bloku. Přijaté fragmenty jsou postupně očíslovány, aby se zabránilo útokům, zašifrovány pomocí zvoleného algoritmu a přeneseny do transportní vrstva. Příjemce dešifruje přijaté fragmenty, zkontroluje pořadí jejich čísel a integritu zpráv. Fragmenty jsou poté rozbaleny a spojeny do jediné zprávy. CSS. Protokol CSS se skládá z jediné zprávy umožňující provedení protokolu Record transformace dat pomocí vybraných algoritmů. Upozornění. Tento protokol generuje chybové zprávy, které se vyskytují během přenosu dat nebo navazování relace nebo připojení. V závislosti na povaze chyb bude vydáno varování nebo bude připojení/relace ukončeno. Příklady chyb jsou uvedeny v tabulce. 10.2. Většina elektronických platebních systémů, zejména internetových obchodů, využívá při své práci webové prohlížeče. Vzhledem k tomu, že SSL je zabudováno do téměř všech známých webových prohlížečů, je na něm v 99 % případů založena bezpečnost přenášených dat [ 3GPP TR 21.905: Vocabulary for 3GPP Specifications.]. Je však třeba vzít v úvahu následující negativní aspekty SSL, které je třeba vzít v úvahu při rozhodování, zda použít tento protokol při organizování zabezpečeného kanálu pro interakci mezi účastníky elektronických platebních transakcí. Vydali jsme novou knihu „Marketing obsahu sociálních médií: Jak se dostat do hlavy předplatitelů a přimět je, aby si vaši značku zamilovali.“ Svět je posedlý internetovou bezpečností. Pokud jste v trendu a odpovídáte výhradně v telegramu, přečtěte si o tom, jak vytvořit zabezpečené připojení na webu. V každém případě se bude hodit a pokud jste internetový obchod, tak se bez něj vůbec neobejdete. Po cestě si promluvme o certifikátech: co to je a proč jsou potřeba. Toto je protokol zabezpečeného připojení. Šifruje informace vyměňované mezi serverem a prohlížečem uživatele – to pomáhá chránit hesla, čísla kreditních karet a e-mailové adresy. Využití HTTPS je silné a dělá ho v očích vyhledávačů o něco atraktivnějším – Google řadí zabezpečené stránky výše než ty nezabezpečené. Chcete-li na svém webu povolit protokol HTTPS, musíte nejprve na server nainstalovat certifikát SSL. Tvoří jedinečný digitální podpis webu, který pomáhá zabezpečit spojení. Bez SSL certifikátu se k protokolu HTTPS nedostanete, ať se budete snažit sebevíc. Obsahuje: Budete také potřebovat certifikát pro připojení k jakémukoli platebnímu systému, jako je Yandex.Money. Logika je jednoduchá – nikdo vás nenechá riskovat cizí peníze. Jsou rozděleny do dvou typů, v závislosti na stupni ochrany a. Nejjednodušší varianta. Bude fungovat, až ověříte vlastnictví domény. Můžete to udělat třemi způsoby: Takové ověření je vhodné, pokud máte osobní blog nebo malou offline firmu, protože vám neumožňuje chránit subdomény a provádět finanční transakce. Navíc pro potvrzení čistoty domény a vašich myšlenek nemusíte dělat nic složitého a hotový certifikát je rychle hotový. Tento typ certifikátu SSL je bezpečnější, protože potvrzujete, že je společnost připojena k webu. Chcete-li to provést, musíte do ověřovacího centra odeslat několik dokumentů a přijmout hovor na firemní číslo. Certifikáty Business Validation se dělí na 3 typy: Ano. Většina těchto produktů je placená, ale existují možnosti, za které nemusíte platit peníze. Jedná se o základní doménově ověřené certifikáty. Neumožní vám připojit online pokladnu ke zdroji, ale budou moci chránit připojení uživatele k serveru. Takové SSL jsou vhodné pro malé informační weby nebo offline podniky. Příkladem je základní StartSSL certifikát. Nejprve je potřeba vygenerovat CSR žádost o certifikát. Obsahuje všechny informace o vlastníkovi domény a veřejném klíči. Většina poskytovatelů SSL vám to umožňuje jako součást procesu objednávky certifikátu, ale můžete také vygenerovat požadavek na straně webového serveru. Při generování klíče CSR musíte zadat: Požadavek CSR je odeslán do ověřovacího centra. V důsledku toho získáte certifikát SSL a soubor se soukromým klíčem, který nelze ztratit a zveřejnit ve veřejné doméně. Poté je třeba certifikát nainstalovat na webový server. Zvažte případy s Apache a nginx. Chcete-li to provést, musíte na server nahrát všechny certifikáty: primární i prostřední. Nejprve potřebujete poslední v adresáři /usr/local/ssl/crt (ve výchozím nastavení, ve vašem případě se může lišit). Budou v něm uloženy všechny certifikáty. Poté si stáhněte hlavní certifikát, otevřete jej v libovolném textovém editoru a zkopírujte celý obsah spolu s řádky „ZAČÁTEK“ a „KONEC“. V adresáři /ssl/crt/ vytvořte soubor s názvem vashsite.crt a vložte do něj obsah certifikátu. Přesuňte soubor soukromého klíče do adresáře /usr/local/ssl/private/ Do souboru VirtualHost přidejte řádky: SSL Engine zapnutý SSLCertificateKeyFile /usr/local/ssl/private/private.key SSLCertificateFile /usr/local/ssl/crt/yoursite.crt SSLCertificateChainFile /usr/local/ssl/crt/intermediate.crt Musíte zadat platné cesty k souborům. Uložte změny a restartujte server. Zde je proces instalace SSL certifikátu mírně odlišný. Nejprve musíte zkombinovat kořenový, mezilehlý a SSL certifikát do jednoho. Chcete-li to provést, vytvořte soubor s názvem vashsite.crt a vložte do něj obsah certifikátů spolu s řádky "BEGIN" a "END" (pořadí: SSL, střední, root). Neměly by tam být prázdné řádky. Téměř totéž je potřeba udělat se soukromým klíčem – vytvořit soubor vashsite.key a přenést obsah klíče staženého z webu poskytovatele. Umístěte oba soubory (yoursite.crt a yoursite.key) do adresáře /etc/ssl/ (toto je výchozí nastavení, ale může se lišit). V konfiguračním souboru upravte VirtualHost. Přidat: server( ssl_certificate /etc/ssl/yoursite.crt Pokud se adresář s certifikátem a klíčem liší od výchozího, změňte jej. Nyní uložte změny a restartujte nginx. Po instalaci certifikátů SSL bude stránka dostupná na dvou adresách: http://yoursite.com a https://yoursite.com. Musíte si nechat jen to poslední. Chcete-li to provést, nastavte soubor robots.txt a proveďte přesměrování 301 ze starého webu. V "robotech" musíte aktualizovat hostitele. Příklad: Host: https://yoursite.com. Chcete-li nastavit přesměrování, musíte do souboru .htacsess přidat řádky: RewriteCond %(SERVER_PORT) !^443$ RewriteRule ^(.*)$ https://yoursite.com/$1 . Nyní zbývá o změnách informovat vyhledávače. V "Webmaster" "Yandex" přidejte stránku s https a zadejte ji jako hlavní pro starý web. Přišli jsme na to, co je to https, jak jej nainstalovat na váš web a jak vše správně nastavit. Tento protokol se již stal standardem připojení a časem na něj přejdou všechny živé weby. Tento proces podporují vyhledávače – přítomnost zavedeného protokolu zabezpečeného připojení HTTPS se stala jedním z hodnotících faktorů. Proto, pokud se chcete dostat nahoru, musíte si jej nainstalovat.Kontrola odvolaných certifikátů na serveru
Získání klientského SSL certifikátu od certifikační autority a konfigurace webového prohlížeče
Obr. 6 - Schéma pro získání SSL klientského certifikátu
Obr. 7 - Správa SSL certifikátů v MS Internet Explorer
Obr. 8 - Certifikační řetězec
Kontrola odvolaných certifikátů na klientovi
Tabulka 10.1. Místo SSL v modelu OSI
Číslo úrovně
Název úrovně
7
Aplikovaný
6
Reprezentace
5
zasedání
SSL
4
Doprava
3
síť
2
odvedeny
1
Fyzický
10.1. Výměna dat v SSL
10.2. SSL protokoly
Rýže. 10.2.
Rýže. 10.3.
Rýže. 10.4.Tabulka 10.2. Chyby generované protokolem Alert
název
Popis
přístup odepřen
certifikát odvolán během platnosti relace/připojení
špatný_certifikát
chyba certifikátu
bad_record_mac
špatný MAC
platnost certifikátu vypršela
vypršela platnost certifikátu
certifikát_odvolán
zneplatněný certifikát
certifikát_neznámý
neznámý certifikát
close_notify
dobrovolné ukončení relace ze strany odesílatele
decode_error
chyba rozdělení/sloučení bloku
dekompresní_selhání
chyba dekomprese komprimovaného bloku
decrypt_error
chyba dešifrování související se selháním ověření podpisu
dešifrování se nezdařilo
chyba dešifrování způsobená nesprávným nastavením parametrů při šifrování zprávy
export_restriction
chyba způsobená exportními omezeními
handshake_failure
nelze nastavit obecné parametry připojení
nelegální_parametr
nesprávné parametry relace/připojení
nedostatečné_zabezpečení
nedostatečná míra utajení algoritmů na straně klienta
interní chyba
Interní chyba
no_renegociation
chyba způsobená nemožností dokončit protokol Handshake
Protocol_version
verze klientského protokolu není podporována serverem
záznam_přetečení
délka bloku zpráv přesahuje 2^14+2048 bajtů
neočekávaná_zpráva
předčasně přijatá zpráva
neznámý_ca
nesprávný podpis certifikační autority
nepodporovaný_certifikát
nepodporovaný certifikát
uživatel_zrušeno
přerušení protokolu Handshake klientem
10.3. Použití SSL v platebních systémech
Co je HTTPS
Proč potřebujete certifikát SSL
Jak vybrat SSL certifikát
Ověření domény SSL
Ověření podnikání
Mohu si na svůj web nainstalovat bezplatný certifikát SSL?
Instalace certifikátu SSL
Apache
nginx
poslouchat 443;
ssl zapnuto;
ssl_certificate_key /etc/ssl/yoursite.key;
server_name yoursite.com;Jak získat funkční připojení HTTPS
Výsledek