Güvenli bir ssl bağlantısının dijital sertifikası. Ödeme sistemleri kurulumu Ödeme sistemi ile çift yönlü ssl bağlantısı

Küçük bir iş kurabilirsiniz. Örneğin, alan adlarının ve SSL sertifikalarının yeniden satışını organize edin. Mevcut satıcılar için müşteri bulursunuz ve indirimler ve marjlar şeklinde ödüllendirilirsiniz - başka bir deyişle bayi olursunuz. ISPsystem yazılımını kullanarak yeniden satış alanlarını ve SSL sertifikalarını hızlı bir şekilde ayarlayabilirsiniz.

Önemli! Teknik uygulama ile değil, konunun iş modeli ve yasal yönü ile başlamanızı öneririz. Hedef kitleyi ve onu çekmenin yollarını belirleyin, size ve müşterilerinize fayda sağlayacak bir fiyat politikası geliştirin. Yasal ve muhasebe çerçevesini öğrenin. Ancak bundan sonra planın teknik uygulamasına geçin.

Başlamak için neye ihtiyacınız var?

Alan adı ve SSL sertifikası satıcısı olmak için şunlara ihtiyacınız olacak:

sanal sunucu (VPS/VDS),
alan adı ve SSL sertifikası satıcılarıyla anlaşma,
ödeme sistemi ile anlaşma,
ödeme almak için faturalandırma platformu,
hizmet satış sitesi.

Yazılımı yükleme ve yapılandırma

Alan adlarını ve SSL sertifikalarını yeniden satmak için BILLmanager'ı kiralık bir sanal sunucuya yüklemeniz gerekir.

Etki alanı ve SSL satıcılarıyla entegrasyon

Entegrasyonu ayarlamak için, anlaşmanız olan alan adı ve SSL sağlayıcılarından alınan verileri kullanın. Tipik olarak, entegrasyon bir API erişim URL'si, bir satıcı kodu ve bir API yetkilendirme anahtarı gerektirir. Veriler şirkete bağlı olarak değişebilir.

Bundan sonra, menüde BILLmanager'da Entegrasyon - Hizmet İşlemcileri bir yeniden satış ayarlayabileceksiniz.

Ayrıca ISPsystem üzerinden SSL sertifikaları satmaya da başlayabilirsiniz. Doğrudan kayıt şirketiyle görüşmeniz gerekmez. Bunu yapmak için "Hizmet İşlemcileri" bölümünde BILLmanager 5'i seçin ve kişisel hesap ayrıntılarınızı girin my.ispsystem.com.

Ödeme sistemlerinin bağlantısı

Müşterilerin hizmetler için ödeme yapmasına izin vermek için ödeme yöntemlerini ayarlayın. BILLmanager birden fazla içerir 30 modülödeme: Yandex.Money, WebMoney, PayMaster, Qiwi, PayPal, Banka havalesi ve diğerleri.

Belirli bir ödeme sistemi ile çalışabilmeniz için sizin ve müşterilerinizin bu sistemde bir hesabı veya hesabı olması gerekir. Yani en çok seç popüler Hizmetler. Entegrasyonu ayarlamak için ödeme sisteminden şu verilere ihtiyacınız olacak: cüzdan numarası ve gizli anahtar.

Müşteriler kendi hesaplarından sizin hesabınıza para aktaracaktır. Paranın alınması, hesabınıza ve BILLmanager'daki müşteri hesabınıza yansıtılacaktır.

Bireysel ödemeleri kabul etmek için Yandex.Checkout veya WebMoney gibi basit elektronik sistemleri bağlayabilirsiniz. Tüzel kişiler hizmetler için faturaya göre banka havalesi ile ödeme yaparlar, bu nedenle onlarla çalışmak için ödeme yöntemini Banka havalesi (Rus bankası) ile bağlayın. Kuruluşunuzun bankacılık bilgilerini girin. Ödeme sistemlerine bağlantı.

Belge şablonlarını ayarlama

BILLmanager önceden yüklenmiş belge şablonlarına sahiptir: faturalar, iş bitirme sertifikaları, mutabakat sertifikaları, hizmet sözleşmeleri, sözleşme ekleri. Bunları hizmet şartlarınıza göre düzenleyin.

Yasal gerekliliklere uymak için sitenizi oluşturun ve sitenizde yayınlayın Gizlilik Politikası Ve Kullanım Şartları. Menüdeki bu belgelere bir bağlantı ekleyin Ayarlar - marka ayarları - telif hakkı. Bir kişisel veri işleme politikası hazırlarken, Roskomnadzor'un tavsiyelerine uyun. Belge ve mesaj şablonlarını ayarlama

Posta ve mesaj şablonlarını ayarlama

BILLmanager, 60'tan fazla e-posta şablonu içerir. Müşteriler kayıt olurken, hizmet siparişi verirken, faturalandırırken mektuplar alacaklardır. Faturalandırma, hizmetin süresi dolduğunda sizi bilgilendirecektir. Ayrıca SMS mesajları ve toplu postalar için şablonlar ayarlayabilirsiniz. Panelde mesajların türünü değiştirebilirsiniz.

Site ile entegrasyon kurulumu

Web sitesi entegrasyonu

Hizmetlerin satılabilmesi için, bunlarla ilgili bilgilerin kamuya açık hale getirilmesi gerekir. Bir web siteniz varsa, üzerinde hizmetlerin görüntülenmesini ayarlayın. BILLmanager'da tarife görselleri ve açıklamaları hazırlayın ve istenen ödeme süresine sahip belirli bir tarife planına bağlantı oluşturun. Bağlantıya tıklandığında, kullanıcı hemen seçilen ürünün satın alma sayfasına yönlendirilecektir. BILLmanager entegrasyonunu site ile yapılandırma

Mal ve hizmet kartları

Vitrin aracını kullanarak siteye hızlı bir şekilde tarife yerleştirebilirsiniz. Araç, kullanıcının birini seçip sipariş verebilmesi için siteye bir veya daha fazla hizmet kartı eklemenize olanak tanır. Kartlardaki fiyatlar otomatik olarak güncellenir.

Bir kart eklemek için, onu görüntülemek istediğiniz yere özel bir komut dosyası yerleştirmeniz gerekir. Komut dosyasını şu belgelerde bulabilirsiniz: Mevcut bir siteye vitrin entegre etme.

Markalaşma

Müşteriler, sitenizden BILLmanager'daki kişisel hesaplarına geçerken bir tutarsızlık hissedebilir: site ve faturalandırma farklı şekilde tasarlanmıştır, fatura adresi sunucunun IP adresini içerir ve site adresinden farklıdır.

Stilleri "düzeylendirmek" için marka ayarlarını tamamlayın: logonuzu faturalandırmaya ekleyin, arayüzün rengini değiştirin, siteye bağlantılar yayınlayın. Fatura URL'sinin web sitesinden farklı olmamasını sağlamak için BILLmanager adresini yapılandırın. Örneğin, CloudLite'ın bir web sitesi adresi vardır. bulutlite.com, Fatura Adresi - myvdc.cloudlite.ru.

CloudLite şirket web sitesiAihor vitrini" veya "FirstVDS" kurulumu için belgeler. Bundan sonra, kendi sanal barındırma ve VDS barındırma işleminizi başlatabilirsiniz.

GÜVENLİ SSL BAĞLANTISININ DİJİTAL SERTİFİKASI

Tarayıcı ve web sunucusu arasında güvenli veri aktarımı için, güvenli bir SSL bağlantısına dayanan https veri aktarım protokolü kullanılır.

Bu makale, ortak anahtar şifreleme, dijital sertifikalar, ortak anahtar altyapısı (PKI - Genel Anahtar Altyapısı), sertifika yetkilisi oluşturma, tek yönlü ve iki yönlü güvenli iletişim kurmak için Apache Tomcat ve JBoss servlet kapsayıcılarını yapılandırma, bir sertifika deposu ve keytool yardımcı programı kullanılarak bir SSL sertifikasının nasıl oluşturulacağı. Ayrıca, Java'da iptal edilen sertifikaları (CRL listeleri, OCSP protokolü) kontrol etmenin ve tarayıcıyı sertifikalarla çalışacak şekilde yapılandırmanın yollarını öğreneceksiniz.

Mesajları bir ağ üzerinden güvenli bir şekilde iletmenin modern bir yolu, ortak anahtar şifreleme yöntemidir. Yöntemin özü, bir çift anahtarın varlığıdır: genel ve özel. Genel ve özel anahtarlar, orijinal mesajı şifreli mesaja ve şifreli mesajı orijinal mesaja dönüştürmek için kullanılan algoritmalardır.

Ortak anahtar, ücretsiz olarak kullanılabilir ve şifreli bir mesaj göndermek isteyen herkes tarafından kullanılabilir. Mesajı şifreleyen gönderici, güvenli olmayan bir iletişim kanalı üzerinden güvenle iletebilir ve bu mesajı yalnızca alıcının okuyabileceğinden emin olabilir.

Özel anahtar, anahtar çiftinin sahibi tarafından kesinlikle gizli tutulur. Açık anahtarla şifrelenmiş bir mesajı aldıktan sonra alıcı, şifresini çözmek için özel anahtarı kullanır. Özel anahtar yalnızca mesajın alıcısı tarafından bilindiği için başka kimse okuyamaz, bu da mesajın gizliliğini garanti eder.

Özel anahtarla şifrelenen bir mesajın şifresi, genel anahtara sahip olan herkes tarafından çözülebilir.

Bu şifreleme algoritmasına dayanarak, güvenli bir SSL bağlantısı oluşturulur.

Dijital sertifika

Dijital sertifika, sahibini tanımlayan elektronik bir belgedir. Sahip hakkında temel bilgileri, sahibinin açık anahtarını, son kullanma tarihlerini, verenin (yayıncının) dijital imzasını ve diğer gerekli bilgileri içerir. Dijital sertifikanın, iptal listesi dağıtım noktalarını, yayıncı bilgilerini ve daha fazlasını içeren bir uzantı bölümü (isteğe bağlı) vardır.Dijital sertifika, güvenli bir SSL bağlantısı kurmanıza olanak tanır. SSL sertifikasının nasıl oluşturulacağı bu makalenin ilerleyen kısımlarında anlatılmaktadır.

Yukarıdaki sertifikaların ana özellikleri şunlardır:

Sertifika yetkilisinin SSL sertifikası, TRUE olarak ayarlanmış CA alanını içermelidir; bu, diğer sertifikaların verilmesine izin verir; bu sertifika zincirde nihai değildir.

CN (ortak ad) alanındaki sunucu SSL sertifikaları, sunucuya erişilen alan adını veya ip adresini içermelidir, aksi takdirde sertifika geçersiz olacaktır;

İstemci SSL sertifikaları, istemcinin e-posta adresini, adını ve soyadını içerir. Sunucu sertifikasının aksine, CN alanı içerik açısından kritik değildir ve bir e-posta adresinin yanı sıra hem bir ad hem de soyadı içerebilir.

Dijital SSL sertifikası, alanlarında belirtilen geçerlilik süresi içinde geçerli kabul edilir. Bu nedenle, sertifika başlangıç tarihinden önce ve son kullanma tarihinden sonra kullanılamaz, çünkü. onunla temasa geçen sistemler ona güvensizlik bildirecek.

Bir sertifikanın kullanıcısının veya verenin sertifikayı askıya alması veya tamamen durdurması gereken durumlar vardır. Güvenli bir şekilde saklanması gereken özel anahtarın kaybolduğunu veya izinsiz giriş yapanların ona erişim sağladığını varsayalım. Böyle bir durumda, kullanıcının sertifikanın geçerliliğini iptal etmesi için sertifikayı veren (yayıncı) ile iletişime geçmesi gerekir. Ayrıca, müşterinin kendisi hakkında yanlış bilgi verdiği anlaşılırsa yayıncı sertifikayı iptal edebilir. Bu amaçlar için, sertifika iptal listesi (CRL) adı verilen özel bir liste oluşturulur. Bu liste, sertifikanın seri numarasını, son kullanma tarihini ve iptal nedenini içerir. Sertifika SİL'e girdiği andan itibaren geçersiz sayılır ve böyle bir sertifikanın içeriğinden yayıncı sorumlu değildir. CRL listesini kontrol etme yöntemlerinden biri OCSP protokolüdür, ancak bu, sertifika yetkilisine sahip bir OCSP yanıtlayıcısının varlığını gerektirir.

Açık Anahtar Altyapısı (PKI)

Açık Anahtar Altyapısının (PKI) ana görevi, dijital sertifikaların verilmesine yönelik politikayı tanımlamaktır.

SSL sertifikaları vermek ve iptal etmek, iptal listeleri (CRL'ler) oluşturmak için özel bir yazılıma (yazılım) ihtiyacınız vardır. Bu tür yazılımlara örnek olarak Microsoft CA (MS Windows Server 2000/2003/2008'in bir parçası), OpenSSL (unix benzeri işletim sistemlerine dağıtılır) gösterilebilir. Bu yazılım, sertifika merkezinin ekipmanında barındırılmaktadır.

Sertifika yetkilisi (CA), müşteri tarafından sağlanan verilere dayalı olarak dijital SSL sertifikaları veren bir kuruluştur. SSL sertifikasında sunulan verilerin gerçekliğinden yalnızca sertifika yetkilisi sorumludur, bu da sertifikanın sahibinin tam olarak iddia ettiği kişi olduğu anlamına gelir.

Dünyadaki en yaygın CA'lar Verisign ve Comodo'dur. Bu CA sertifikalarına tarayıcıların %99'u ve çoğu sunucu yazılımı güvenmektedir. Bir sertifika yetkilisinin oluşturulması aşağıda açıklanmıştır.

İki yönlü kimlik doğrulama ile güvenli SSL bağlantısı

Güvenli SSL bağlantısı en çok e-ticarette kullanılır. Örnek olarak, bir elektronik mağaza aracılığıyla mal satın almayı düşünün. Kredi kartlarının numaralarını ve kodlarını belirten alıcı, yanlış ellere geçmeyeceklerinden emin olmak istiyor. Bu nedenle sunucu, istemciye bir sertifika sağlayarak kendi kimliğini doğrular. Sertifika yetkilisi, bu özgünlüğün garantörüdür. İstemci verileri, sunucunun genel anahtarı ile şifrelenecektir. Bu verilerin şifresi yalnızca sunucuda bulunan özel anahtarla çözülebilir. Bu nedenle müşteri, bir saldırganın verilerini ele geçireceğinden korkmayabilir, yine de şifresini çözemez.

Sunucunun, müşterinin iddia ettiği kişi olduğuna dair onaya ihtiyaç duyduğu durumlarda bir istemci SSL sertifikası kullanılır. Örneğin, bir banka, kişisel bir hesabı yönetmek için ağ erişimi sağlar. Kendini korumak ve bir oturum açma adı ve parolayı ele geçiren bir saldırgan tarafından değil, bu hesabın sahibi tarafından kendisiyle iletişime geçildiğinden emin olmak istiyor. Bu durumda, istemci, genel anahtarını sunucuya sağlar ve sunucudan alınan tüm verilerin şifresi yalnızca istemci tarafından çözülebilir, başka kimse tarafından çözülemez çünkü. özel anahtarın sahibidir.

Şekil, güvenli bir SSL bağlantısı oluşturma adımlarını gösteren bir diyagramdır.

Şekil 1 - İki yönlü kimlik doğrulama ile güvenli bir SSL bağlantısı oluşturma şeması

Bir istemci korumalı bir kaynağa erişmeye çalıştığında, sunucu dijital sertifikasını gönderir. Sertifikayı alan müşteri, sertifikayı kontrol eder. Doğrulama şu şekildedir: Geçerlilik başlangıç ve bitiş tarihleri geçmemiş olmalı, sertifikayı verene güvenilmeli, sertifika SİL'de yer almamalıdır. Kontrol başarısız olursa, bağlantı kurma işlemi iptal edilir. Doğrulama koşulları karşılanırsa, istemci sertifikasını sunucuya gönderir. Sunucu benzer bir kontrol gerçekleştirir. Kontrol başarısız olursa, sunucu kaynaklarına erişimi reddeder. Başarılı bir doğrulamanın ardından güvenli bir bağlantı kurulur ve veriler şifreli biçimde iletilir.

Bu şemada, iletilen veriler çift şifrelidir. İstemci, mesajı sunucunun genel anahtarıyla ve ardından kendi özel anahtarıyla şifreler. Mesajı aldıktan sonra sunucu, mesajı istemcinin genel anahtarıyla ve ardından kendi özel anahtarıyla çözer. Böylece, sunucu ve istemci birbirinin kimliğini doğrular, çünkü yalnızca alınan verilerin şifresini çözebilirler.

Bu tekniğin kullanımının veri alışverişinin hızını azalttığına dikkat edilmelidir, çünkü şifreleme/şifre çözme işlemleri ek süre gerektirir ve bunların yürütülme hızı bilgi işlem kaynaklarının gücüne bağlıdır.

Bir sertifika yetkilisinin oluşturulması

Test amacıyla veya dijital sertifika satın almanın pratik olmadığı durumlarda kendi CA'nızı oluşturmalısınız.

Kök CA, herkesin güvendiği bir CA'dır. Kendi özel anahtarı ile imzalanan bir SSL sertifikasına sahiptir. Bu tür SSL sertifikalarına kendinden imzalı denir.

Kök CA'nın özel anahtarı çok güvenli tutulmalıdır, çünkü kaybolur veya çalınırsa, tüm bağımlı SSL sertifikalarına olan güven kaybolur.

Alt CA, istemcilere SSL sertifikaları veren bir CA'dır. Alt sertifika yetkilisinin sertifikası, üst sertifika yetkilisinin özel anahtarı ile imzalanır. Gerekli türde sertifikaların oluşturulduğu sertifika merkezleri, web sunucuları, web tarayıcıları, posta istemcileri, bir alt sertifika merkezinin istemcileri olarak hareket edebilir. Sertifika türleri, sertifika yetkilisinin politikası tarafından belirlenir.

Yukarıdakilerden, kök CA'dan nihai müşteri sertifikasına kadar bir sertifika zinciri oluşturulduğu sonucu çıkar.

Şekil 2 - Sertifika zinciri

Bir sertifika yetkilisi oluşturmak için Şekil 3'te gösterilen iki seviyeli bir şema kullanacağız. Bu şemanın bir kök sertifika yetkilisi (Kök CA) ve bir alt sertifika yetkilisi (Veren CA) vardır. Kök CA, kendi SSL sertifikasını ve bağımlı CA'ların SSL sertifikalarını imzalar. Ne kadar çok seviye kullanılırsa, planın o kadar güvenli olduğu unutulmamalıdır.

Kök ve alt sertifika yetkilisinin sertifikalarında, SİL dağıtım noktaları uzantıda kayıtlıdır. CRL dağıtım noktası bir ağ adresidir. Bu adrese özel yazılımlar tarafından oluşturulmuş bir CRL dosyasının belirli bir sıklıkta yüklenmesi gerekmektedir.

Şekil 3 - Sertifikasyon merkezinin iki seviyeli şeması

Microsoft CA'ya dayalı bir sertifika yetkilisi düzenlemeye ilişkin bir örnek, Microsoft CA'ya dayalı bir sertifika yetkilileri zincirini dağıtma makalesinde bulunabilir.

Bir CA'dan Sunucu SSL Sertifikası Alma ve Bir Servlet Container Yapılandırma

Dijital bir SSL sunucu sertifikası, verileri şifreli biçimde aktarmanıza izin verecek güvenli bir SSL bağlantısı oluşturmanıza olanak tanır.

Sunucu uygulaması kapsayıcısı tarafından kullanılacak bir sertifika almak için CA'ya bir Sertifika imzalama isteği (CSR) oluşturmanız gerekir. İstek, kuruluş ve genel anahtar hakkında temel bilgileri içerir.

Doğru doldurulması gereken ana alana Ortak Ad (CN) adı verilir. Bu alanda servlet container'ın bulunduğu hostun domain adını veya IP adresini belirtmeniz gerekmektedir.

Özel ve genel bir anahtar oluşturmak ve bir SSL sertifikası istemek için JDK'da (Java geliştirme kiti) bulunan keytool yardımcı programını kullanabilirsiniz.

Komut satırında aşağıdaki komutu girin:

$JAVA_HOME\bin> keytool -genkey -alias -keyalg -anahtar deposu

Şekil 4 - Keytool yardımcı programıyla bir SSL sertifika deposu oluşturma

Bu keytool komutu, adlı bir sertifika deposu oluşturur. RSA algoritması kullanılarak şifrelenmiş, özel anahtarı ve kendinden imzalı SSL sertifikasını saklayan. SSL sertifikasına isimle erişebilirsiniz .

Deponun oluşturulması sırasında, keytool yardımcı programı depoya erişmek için bir parola, kuruluşla ilgili bilgiler ve gizli (özel) anahtar için bir parola girmenizi isteyecektir. Keytool sorusuna cevap verirken "Adınız ve soyadınız nedir?" ana bilgisayarın alan adını veya ip adresini girmelisiniz, çünkü yanıt değeri, SSL sertifikasının CN alanı olarak kullanılacaktır.

Keytool yardımcı programı tarafından anahtar deposu oluşturulduktan sonra, sertifika yetkilisine bir SSL sertifikası imzalaması için bir talepte bulunulmalıdır. Bu şu komutla yapılır:

$JAVA_HOME\bin> keytool -certreq -keyalg RSA -takma ad -dosya -anahtar deposu

Dosyada sertifika isteği kaydedilir. Ardından sertifika merkezinin web sitesinde özel bir form doldurulur ve bu dosyanın içeriği alanlardan birine kopyalanır.

Bir kuruluşa SSL sertifikası vermek için sertifika merkezi, kurucu belgeler, kayıt sertifikası vb. isteyebilir. SSL sertifikası için bir başvuru alındığında, sertifika merkezi, sertifika talebindeki verileri ve gönderilen belgeleri karşılaştırarak doğrulama gerçekleştirir. ve ardından isteği imzalar. İmzalanan istek bir sertifikadır.

Şekil 5 - Sunucu sertifikası alma şeması

Bir sertifika yetkilisinden sertifika aldıktan sonra, kök ve ara sertifika yetkililerinin SSL sertifikaları eklendikten sonra mağazaya yerleştirilmelidir. Depolamaya SSL sertifikaları eklemek için keytool yardımcı programının aşağıdaki komutlarını kullanın:

1) keytool yardımcı programıyla kök CA sertifikasının eklenmesi: $JAVA_HOME\bin> keytool -import -trustcacerts -alias rootca -file -anahtar deposu

2) keytool yardımcı programıyla bir ara CA sertifikası eklemek: $JAVA_HOME\bin> keytool -import -trustcacerts -alias subca -file -anahtar deposu

3) kendinden imzalı bir sertifikanın bir sertifika yetkilisinde imzalanmış bir sertifikayla değiştirilmesi (depo oluşturulurken kullanılan alias parametresinin değeri belirtilir): $JAVA_HOME\bin> keytool -import -trustcacerts -alias -dosya -anahtar deposu

Uygulamaların güvenli bir SSL bağlantısı kullanabilmesi için sunucu uygulaması kabının yapılandırılması gerekir. Apache Tomcat ve JBoss için server.xml dosyasına aşağıdaki içeriği ekleyin:

clientAuth="yanlış" sslProtocol="TLS"

keystoreFile=" "

keystorePass=" "

keystoreType="JKS"

keyAlias=" "

Bu giriş, servlet kapsayıcısının, mağazada bulunan bir dijital SSL sertifikası kullanarak güvenli bir bağlantı kurmasını sağlar. şifre ile takma adla .

Yukarıdaki yapılandırma, tek yönlü kimlik doğrulama kullanır, örn. yalnızca sunucudan dijital bir SSL sertifikası sağlanması gerekir. İki yönlü bir kimlik doğrulama oluşturmak için, örn. istemci ayrıca bir dijital SSL sertifikası sağladığında, servlet konteyner yapılandırmasını aşağıdaki gibi değiştirmeniz gerekir:

maxThreads="150" şema="https" secure="true"

clientAuth="true" sslProtocol="TLS"

keystoreFile="

keystorePass=" "

keystoreType="JKS"

keyAlias=" "

truststoreFile="

truststorePass=" "truststoreType="JKS"

Bu yapılandırmada clientAuth=”true” parametresi ayarlanır ve güven deposu bağlanır. Güvenilir SSL sertifikaları deposunun oluşturulması, keytool yardımcı programı tarafından normal bir depoyla aynı şekilde yapılır. Servlet kapsayıcısının güvenmesi gereken dijital sertifikalar veren sertifika yetkililerinin sertifikalarını ona eklemeniz gerekir. Aksi takdirde, SSL tarafından sağlanan sertifikalar, kimlik doğrulama sırasında servlet kapsayıcısı tarafından reddedilecektir. onlara güvenilmeyecek.

Sunucuda iptal edilen sertifikaları kontrol etme

Bir sertifikayı iptal için doğrulamanın 3 yolu vardır: statik CRL doğrulaması, dinamik CRL doğrulaması ve OCSP doğrulaması. Bu yöntemleri daha ayrıntılı olarak ele alalım.

1) Statik CRL kontrolü

Bu tür bir doğrulama kullanılırken, sunucu yöneticisinin yapılandırmada, iptal edilen sertifikalar listesinin bulunduğu yerel sürücüdeki dosyanın adını belirtmesi gerekir. Bu liste, sertifika yetkilisinin ağ kaynağından indirilir.

Apache Tomcat ve Jboss servlet kapsayıcılarında CRL'yi bağlamak için, ssl bağlayıcısına aşağıdaki özniteliği ekleyin:

crlDosya=”

Bu yöntemin dezavantajı, yöneticinin CRL dosyasının güncellenmesini sürekli olarak izleme ihtiyacıdır.

2) Dinamik CRL kontrolü

Bu yöntem, otomatik olarak CRL denetimi yapmanızı sağlar. Bu, istemci tarafından sağlanan SSL sertifikasının uzantı bölümünde, sertifika iptal listesinin (CRL) bulunduğu URL'yi belirten CRLDistributionPoint özniteliğinin belirtilmesini gerektirir.

İstemci SSL sertifikasının CRL'de doğrulanması için, Java Sanal Makinesi için iki parametrenin yapılandırılması gerekir. Bu seçenekler, servlet kapsayıcısı başlangıç betiğinde belirtilebilir. Windows'ta Apache Tomcat ve Jboss için şöyle görünür:

JAVA_OPTS=%JAVA_OPTS% -Dcom.sun.net.ssl.checkRevocation=true olarak ayarla

Dcom.sun.security.enableCRLDP=true -Djava.security.debug=certpath

Java.security.debug=certpath seçeneği, çalışan kapsayıcının konsolunda sertifika kimlik doğrulamasını gözlemlemenizi sağlar.

Bu yöntemin dezavantajları, büyük bir CRL dosyasının indirilmesiyle ilişkili korumalı bir kaynağa erişimdeki gecikmeyi içerir.

3) OCSP protokolünü kullanarak doğrulama

OCSP (Çevrimiçi sertifika durumu protokolü), CRL'ye alternatif olarak geliştirilmiştir. Bu kontrol, JDK 5'ten bu yana JSSE (Java Secure Socket Extension) teknolojisi tarafından desteklenmektedir. OCSP, CRL ile birlikte çalışır. OCSP iletişimi sırasında bir hata oluştuğunda CRL'ye erişilir. OCSP, SSL sertifikasının durumunu belirlediyse, CRL kontrolü yapılmaz. Bir sertifika şu üç durumdan birine sahip olabilir: iptal edildi, normal, bilinmiyor.

OCSP doğrulaması için, sertifikanın uzantı bölümünde OCSP Yanıtlayıcısının URL değeriyle birlikte bir AuthorityInfoAccess özniteliği içermesi gerekir.

OCSP Responder, bir sertifikanın durumunu belirlemek için istekleri işleyen ve doğrulama sonuçlarını yayınlayan bir sertifika yetkilisinin ağ kaynağında bulunan bir yazılımdır.

Java sanal makinesinin OCSP'ye karşı kontrol yapabilmesi için ocsp.enable=true özelliğini ayarlamanız gerekir. Bu özellik, Java_HOME\jre\lib\security\java.security dosyasında yapılandırılır. Bu dosyada, ocsp.responderURL özelliğinde OCSP yanıtlayıcısının adresini belirtebilirsiniz. Bu özellik, SSL sertifikasında yanıt veren URL yoksa kullanılacaktır.

Bir sertifika yetkilisinden istemci SSL sertifikası alma ve bir web tarayıcısı yapılandırma

Sunucunun yalnızca iddia ettiği kişi olduğunu kanıtlaması gerekmediği, aynı zamanda sunucunun istemciden kimliğini bir dijital sertifika ile kanıtlamasını istediği durumlar vardır.

Bunu bir sertifika yetkilisi kullanarak yaparak, kendiniz bir istek oluşturmadan bir istemci SSL sertifikası alabilirsiniz. Bunu yapmak için CA'nın web sitesinde adınızı, soyadınızı, e-posta adresinizi vb. Bu durumda, gizli anahtarın oluşturulması sertifika yetkilisine atanır. Verileri doğruladıktan ve isteği imzaladıktan sonra, müşteriye gizli anahtar ve sertifikanın yanı sıra kök ve ara sertifika yetkililerinin dosyalarını içeren bir dosya gönderilir.

Sertifika dosyalarını aldıktan sonra, güvenli bağlantılar kuracak yazılımı yapılandırmanız gerekir.

Şekil 6 - Bir SSL istemci sertifikası alma şeması

Örnek olarak, bir Microsoft Internet Explorer web tarayıcısına bir istemci SSL sertifikası yükleyelim. Bunun için menüden Araçlar > İnternet Seçenekleri'ni seçin. "İçerik" sekmesinde "Sertifikalar ..." seçeneğini seçin.

Şekil 7 - MS Internet Explorer'da SSL sertifikalarını yönetme

"İçe Aktar..." düğmesine tıklayarak Sertifika Alma Sihirbazını başlatın. Bu sihirbazda, kök CA sertifikasının yolunu belirtin. Ardından, sertifikayı eklemek için Güvenilir Kök Sertifika Yetkilileri deposunu seçin.

Benzer şekilde, ara CA'ların sertifikaları "Ara CA'lar" deposuna ve bir istemci sertifikası "Kişisel" deposuna eklenir.

Şekil 8 - Sertifikasyon zinciri

Sertifikanın içeriğini görüntülemek için, istediğiniz SSL sertifikasını seçin ve "Görüntüle" düğmesini tıklayın.

Tanınmış bir sertifika yetkilisinden bir müşteri sertifikası alınırsa, kural olarak, SSL sertifikaları zaten web tarayıcı mağazalarında bulunur ve bunların eklenmesine gerek yoktur. Yalnızca istemci sertifikasını eklemeniz gerekir.

Etkileşimin gerçekleştirileceği sunucu, ortak bir sertifika yetkilisinden olmayan bir sertifika aldıysa, web tarayıcısının böyle bir sertifikaya güvensizlik mesajı göstermemesi için sunucu sertifikası güvenilir sertifikalara eklenmelidir.

İstemcide iptal edilen sertifikaları kontrol etme

İstemci MS Internet Explorer web tarayıcısını kullanıyorsa, gönderilen sertifikaları CRL'de kontrol edecek şekilde yapılandırılabilir. Bunu yapmak için, İnternet Seçeneklerinde "Gelişmiş" sekmesine gidin ve "Yayıncı sertifikalarının iptalini kontrol et" ve "Sunucu sertifikalarının iptalini kontrol et" özelliklerini kontrol edin.

Web erişimini ayarlama

Ek Web Erişim Sunucusu Ayarları

Güvenli bir bağlantı kurma (Güvenli Yuva Katmanlarına dayalı, SSL)

Gerekirse, bağlantı korumasını yapılandırabilirsinizbir web erişim sunucusu ile DİREKTUM : İletişim kanalları üzerinden iletilen bilgiler şifrelenecektir. Güvenli bağlantılarla çalışabilmek için aşağıdakileri yapın:

1. Web erişim sunucusunun yapılandırma dosyasında değişiklikler yapın:

· 1. Adım: Web Erişimi Sunucusu Yapılandırma Yardımcı Programını çalıştırın C:\Program Files\DIRECTUM Company\WebAccessConfig\DirWebConfigurator.exe.

· Adım 2. "Web Erişim Sunucusunun Web Sitesini Seçin" penceresi DİREKTUM":

A) açılır listeden web erişim sunucusunun web sitesini seçin DİREKTUM . Varsayılan olarak, "Web Erişim Sunucusu" olarak adlandırılır. DİREKTUM";

B) butona tıklayın TAMAM ;

· 3. Adım. "Web Erişim Sunucusu Ayarları" penceresi DİREKTUM ”, “Genel” sekmesi:

A) "Güvenli bağlantı" açılır listesinde "Uzak için" değerini seçin. Yerel ağ kullanıcıları için güvenli bir bağlantı kurulması gerekiyorsa, "Uzak ve yerel için" değerini seçin;

B) butona tıklayın TAMAM .

2. IIS'yi SSL ile çalışacak şekilde yapılandırın -bir sunucu kimlik doğrulama sertifikası yükleyerek bağlantılar. Bunu yapmak için, "Uzak bir bilgisayardan kimlik almayı sağlar" amacıyla, kurumsal sertifika hizmetine dışa aktarma yeteneği ile bir sertifika oluşturulur ve bunun sonucunda *. pfx -özel anahtar dosyası.

3. Sertifika Web Hizmeti kullanıyorsanız pencereler ardından aşağıdakileri yapın:

A) Bir sertifika oluştururken, sertifikanın olası bir dışa aktarımı seçeneğini belirtin. Sertifika yerel sisteme yüklendikten sonra kullanılarak görüntülenebilir. internet gezgini – “İnternet Seçenekleri” menü öğesi, “İçerikler” sekmesi, düğmesi Sertifikalar . Dışa aktarmak için düğmesini kullanın İhracat , belirtin Evet, özel anahtarı dışa aktar ve bir parola girin.

B) Sertifikayı içe aktarın. Bunu yapmak için, web sitesi özellikleri kartının "Dizin güvenliği" sekmesindeki düğmeyi tıklayın. Sertifikalar ve bir önceki adımda ayarlanan parolayı kullanarak sertifikayı içe aktarmak için ekrandaki yönergeleri izleyin. Sertifikayı aldıktan sonra 443 numaralı port üzerinden güvenli bağlantı kurulacak ve çalışacaktır. SSL mümkün hale gelecektir.

4. Açık (güvenli olmayan) bağlantıları desteklemek için seçeneği ayarlamanız gerekir. Açık HTTP bağlantıları için desteğe izin ver Web sitesi özelliklerinin Web Sitesi sekmesinde.

5. Giriş sayfasındaki bağlantıyı kullanarak bir sertifika yetkilisi sertifikası kurabilmek için uygulama grubunu çalıştıran kullanıcıya ihtiyacınız var " DİREKTUM ”, “Güvenlik” sekmesinde istenen sertifika yetkilisinin özelliklerinde “Sertifika Yetkilisi” ek bileşeninde “Oku” ve “Sertifika İste” izin verin.

Ayrıca bakınız:

Tablo 10.1. OSI modelinde SSL'nin yeri

Seviye numarası	Seviye adı
7	Uygulamalı
6	temsil
5	oturum
SSL
4	Ulaşım
3	ağ
2	kanallı
1	Fiziksel

SSL sürüm 3.0, küçük ayrıntılarda SSL'den farklı olan Aktarım Katmanı Güvenliği (TLS) protokolünün temeliydi. Aşağıda, SSL terimi her iki protokolü de ifade edecektir.

10.1. SSL'de veri alışverişi

SSL protokolünü kullanarak veri alışverişi süreci, Şek. 10.1.

Bir istemci bir sunucuya her bağlandığında, bir SSL oturumu başlatılır. Her oturumda birden çok bağlantı mümkündür. İstemci başka bir sunucuya bağlanırsa mevcut oturumu bozmadan yeni bir oturum başlatılır. Kullanıcı ilk sunucuya dönerken, önceden ayarlanan parametreleri kullanarak bağlantıyı devam ettirebilir veya yeni bir bağlantı oluşturabilir. Saldırıları önlemek için SSL, bir oturum süresi sınırı (genellikle 24 saat) içerir, ardından oturum sonlandırılır ve sunucuyla iletişimin devam etmesi için yeni bir oturum oluşturulması gerekir.

Bir SSL oturumu aşağıdaki değerlerle karakterize edilir.

Oturum Kimliği (Session_ID) - önceden kurulmuş bir oturuma geri dönmenizi sağlayan, istemci tarafında oluşturulan rastgele bir sayı.
Ana bilgisayar sertifikaları (Client_Certificate ve Server_Certificate) - ISO/IEC 9594-8 standardına göre bilgi alışverişi katılımcısının sertifikası.
Sıkıştırma yöntemi - iletilen verileri sıkıştırmak için bir algoritma. Desteklenen algoritmalar RFC 3749'da belirtilmiştir.
Şifre belirtimi - kripto algoritmalarının parametrelerini tanımlar:
- anahtar değişimi ve kimlik doğrulama için: RSA genel anahtar şifreleme sistemi, Diffie-Hellman paylaşımlı gizli anahtar oluşturma protokolü, DSA (Digital Signature Algorithm), Fortezza.
- simetrik şifreleme için: RC2, RC4, DES, 3DES, IDEA, AES;
- karma için: SHA, MD5.
Oturum gizli anahtarı (Master_Secret), istemci ile sunucu arasında paylaşılan gizli anahtardır.
Sürdür bayrağı - seçilen parametrelerin mevcut oturumda yeni bir bağlantı için kaydedilip kaydedilemeyeceğini belirleyen bir parametre.
Bir SSL bağlantısı aşağıdaki değerlerle karakterize edilir.
Paylaşılan sırrı oluşturmak için kullanılan rastgele sayılar (Client_Random ve Server_Random).
Bilgileri şifrelemek/şifresini çözmek için anahtarlar (Client_Write_Secret = Server_Read_Secret ve Server_Write_Secret = Client_Read_Secret).
Mesajları imzalamak için anahtarlar (gizli Server_MAC_Write_Secret ve Client_MAC_Write_Secret).
Başlatma vektörleri (Server_IV ve Client_IV) - blok şifreleme algoritmaları için mesajları senkronize edin.
Durdurma ve yeniden oynatma saldırılarını önlemek için sunucu ve istemci için ardışık iki sayı.

10.2. SSL protokolleri

SSL, Şekil 1'de gösterilen dört protokol içerir. 10.2 :

tokalaşma;
kayıt;
uyarı;
CCS (Şifre Spesifikasyonunu Değiştir).

Pirinç. 10.2.

tokalaşma. Bu protokol, bir oturum veya bağlantı kurarak bir istemcinin ve bir sunucunun karşılıklı kimlik doğrulaması için tasarlanmıştır.

Oturum kurulumu, Şekil 1'de şematik olarak gösterilmiştir. 10.3 tipik olarak müşteri tarafından bir ClientHello mesajı ile başlatılır (bazen sunucu, istemcinin aşağıdaki parametreleri ilettiği bir El Sıkışma için hazır olduğunu belirten bir HelloRequest mesajı göndererek başlatır):

istemci tarafından desteklenen SSL sürümü;
oturum tanımlayıcı - oturumun daha sonra devam ettirilebileceği bir değer;
rasgele sayı Client_Random;
istemci tarafından desteklenen bilgilerin sıkıştırılması, şifrelenmesi ve özetlenmesi için algoritmaların listesi.

Pirinç. 10.3.

Bu mesaja yanıt olarak, sunucu aşağıdaki parametreleri içeren bir ServerHello mesajı gönderir:

sunucu tarafından desteklenen SSL sürümü;
rasgele sayı Server_Random;
bir oturumu veya bağlantıları uygularken kullanılacak bilgileri sıkıştırmak, şifrelemek ve karma oluşturmak için kullanılan algoritmaların bir listesi.

Bu mesaja ek olarak sunucu kendi sertifikasını gönderir. Kullanılan algoritmaların bir istemci sertifikası gerektirmesi durumunda, sunucu istemciye bir sertifika isteği - CertificateRequest - gönderir. Sunucu daha sonra istemciye ServerHello mesajının sonunu belirten bir ServerHelloDone mesajı gönderir.

İstemci, sunucu tarafından önerilen algoritmaları desteklemiyorsa veya uygun isteğe yanıt olarak sertifikasını göndermediyse, oturum oluşturma iptal edilir. Aksi takdirde, istemci sunucunun sertifikasını doğrular, bir Pre_Master_Secret oluşturur, bunu sunucunun sertifikasından türetilen sunucunun ortak anahtarıyla şifreler ve elde edilen değeri bir ClientKeyExchange mesajında gönderir. Sunucu, özel anahtarıyla alınan mesajın şifresini çözer ve Pre_Master_Secret'i çıkarır. Böylece, her iki taraf (istemci ve sunucu) üç değere sahiptir - Server_Random, Client_Random ve Pre_Master_Secret ve Şekil 2'de gösterilen şemaya göre Master_Secret'i çalıştırabilir. 10.4.

Pirinç. 10.4.

Bundan sonra, her iki taraf da Master_Secret gizli anahtarında şifrelenmiş oturum parametreleri olan ve yeni bir oturum oluşturma sürecinin tamamlandığını simgeleyen bir Bitti mesajı gönderir.

Bağlantı, istemciye ve sunucuya, bilgileri sıkıştırma, şifreleme ve karma oluşturma için algoritmaların her iki tarafça kabul edildiğini onaylayan ChangeCipherSpec mesajları ve yeni bir bağlantı kurma sürecinin tamamlandığını simgeleyen Bitti mesajları gönderilerek tamamlanır.

kayıt. Bu protokol, oturum katmanı tarafından iletilen verileri taşıma katmanına ve tersi yönde dönüştürmek için tasarlanmıştır. Veri dönüşümüŞekil l'de gösterilen şemaya göre gerçekleşir. 10.7.

Gönderen tarafından iletilen bilgiler, her biri 2^14 + 2048 bayttan büyük olmayan bloklara bölünür. Her blok daha sonra seçilen sıkıştırma algoritması kullanılarak sıkıştırılır. Bundan sonra, her bloğun MAC'si hesaplanır ve sonuncusuna eklenir. Alınan parçalar, saldırıları önlemek için sıralı olarak numaralandırılır, seçilen algoritma kullanılarak şifrelenir ve alıcıya iletilir. taşıma katmanı. Alıcı, alınan parçaların şifresini çözer, numaralarının sırasını ve mesajların bütünlüğünü kontrol eder. Parçalar daha sonra paketten çıkarılır ve tek bir mesajda birleştirilir.

CSS. CSS protokolü, Record protokolünün performans göstermesine izin veren tek bir mesajdan oluşur. veri dönüşümü seçilen algoritmalar kullanılarak

Uyarı. Bu protokol, veri aktarımı veya bir oturum veya bağlantı kurulması sırasında oluşan hata mesajlarını üretir. Hataların niteliğine göre uyarı verilir veya bağlantı/oturum sonlandırılır. Hata örnekleri Tablo'da verilmiştir. 10.2.

Tablo 10.2. Uyarı protokolü tarafından oluşturulan hatalar

İsim	Tanım
erişim engellendi	oturum/bağlantı geçerliliği sırasında iptal edilen sertifika
kötü_sertifika	Sertifika hatası
bad_record_mac	yanlış MAC
sertifika_süresi dolmuş	süresi dolmuş sertifika
sertifika_iptal edildi	iptal edilmiş sertifika
sertifika_bilinmeyen	bilinmeyen sertifika
kapat_bildir	oturumun gönderen tarafından gönüllü olarak sonlandırılması
decode_error	blok bölme/blok birleştirme hatası
dekompresyon hatası	sıkıştırılmış blok açma hatası
decrypt_error	imza doğrulama hatasıyla ilgili şifre çözme hatası
şifre çözme_başarısız	Bir mesajı şifrelerken parametrelerin yanlış ayarlanmasından kaynaklanan şifre çözme hatası
ihracat kısıtlaması	ihracat kısıtlamalarından kaynaklanan hata
el sıkışma_başarısızlığı	genel bağlantı parametreleri ayarlanamıyor
illegal_parameter	yanlış oturum/bağlantı parametreleri
yetersiz_güvenlik	istemci tarafında algoritmaların gizliliğinin yetersiz düzeyi
iç hata	İç hata
no_renegotiation	Handshake protokolünün tamamlanamamasından kaynaklanan hata
protokol_versiyonu	sunucu tarafından desteklenmeyen istemci protokolü sürümü
kayıt_taşması	mesaj bloğu uzunluğu 2^14+2048 baytı aşıyor
beklenmedik_mesaj	zamansız gelen mesaj
bilinmeyen_ca	hatalı sertifika yetkilisi imzası
desteklenmeyen_sertifika	desteklenmeyen sertifika
kullanıcı_iptal edildi	Handshake protokolünün müşteri tarafından kesilmesi

10.3. Ödeme sistemlerinde SSL kullanımı

Çoğu elektronik ödeme sistemi, özellikle çevrimiçi mağazalar, çalışmalarında web tarayıcılarını kullanır. SSL'nin neredeyse tüm bilinen web tarayıcılarında yerleşik olduğu düşünüldüğünde, iletilen verilerin güvenliği vakaların %99'unda [ 3GPP TR 21.905: Vocabulary for 3GPP Spesifikasyonları.] buna dayanmaktadır. Bununla birlikte, elektronik ödeme işlemlerinde katılımcılar arasındaki etkileşim için güvenli bir kanal düzenlerken bu protokolün kullanılıp kullanılmayacağına karar verilirken dikkate alınması gereken SSL'nin aşağıdaki olumsuz yönlerine dikkat edilmelidir.

Alıcı kimlik doğrulaması eksikliği. SSL protokolünün bir alıcının sertifikasını talep etme yeteneğine sahip olmasına rağmen, alıcının kimlik doğrulaması isteğe bağlıdır ve kural olarak gerçekleştirilmez, bu da bir banka hesabıyla yapılan işlemlerde SSL kullanılmasını imkansız kılar.
Satıcının URL ile kimlik doğrulaması. Satıcı tarafından sağlanan sertifika, yalnızca ikincisinin belirtilen URL ile bağlantısını gösterirken, satıcı ile belirtilen ödeme sistemine hizmet veren banka arasındaki etkileşim hakkında bilgi yoktur.
Alıcının detaylarının açıklığı. SSL altında iletilen tüm bilgiler şifreli olmasına rağmen alıcının banka bilgileri açık bir şekilde satıcıya iletilir.
Protokolün ihracat kısıtlamaları. 1999'da ABD Dışişleri Bakanlığı'nın ihracat kısıtlamalarını kaldırmaya karar vermesine rağmen, bazı tarayıcılar, iletilen verilerin güvenliğini önemli ölçüde azaltan bilgi şifreleme algoritmaları için anahtarların uzunluğu üzerinde ihracat kısıtlamaları olan SSL protokolünü desteklemektedir.

"Sosyal Medya İçerik Pazarlaması: Abonelerin aklına nasıl girilir ve markanıza aşık olmaları nasıl sağlanır?" adlı yeni bir kitap yayınladık.

Dünya internet güvenliğine takıntılı durumda. Trenddeyseniz ve yalnızca Telegram'da yazışıyorsanız, sitede nasıl güvenli bir bağlantı kurulacağını okuyun. Her durumda kullanışlı olacaktır ve eğer bir çevrimiçi mağazaysanız, o zaman onsuz yapamazsınız. Yol boyunca, sertifikalar hakkında konuşalım: ne oldukları ve neden gerekli oldukları.

HTTPS nedir?

Bu güvenli bir bağlantı protokolüdür. Sunucu ile kullanıcının tarayıcısı arasında değiş tokuş edilen bilgileri şifreler - bu, parolaların, kredi kartı numaralarının ve e-posta adreslerinin korunmasına yardımcı olur. HTTPS kullanımı güçlüdür ve onu arama motorlarının gözünde biraz daha çekici kılar - Google, güvenli siteleri güvenli olmayan sitelere göre daha üst sıralarda yer alır. Sitenizde HTTPS'yi etkinleştirmek için önce sunucuya bir SSL sertifikası yüklemeniz gerekir.

Neden bir SSL sertifikasına ihtiyacınız var?

Bağlantının güvenliğini sağlamaya yardımcı olan sitenin benzersiz bir dijital imzasını oluşturur. SSL sertifikası olmadan, ne kadar uğraşırsanız uğraşın HTTPS protokolünü alamazsınız. Bu içerir:

site etki alanı;
sahibi şirketin tam yasal adı;
şirketin fiziksel adresi;
sertifikanın geçerlilik süresi;
SSL geliştirici ayrıntıları.

Yandex.Money gibi herhangi bir ödeme sistemine bağlanmak için de bir sertifikaya ihtiyacınız olacak. Mantık basit - kimse başkalarının parasını riske atmanıza izin vermez.

SSL sertifikası nasıl seçilir

Koruma derecesine bağlı olarak iki türe ayrılırlar ve.

Etki Alanı Doğrulama SSL'si

En kolay seçenek. Alanın size ait olduğunu doğruladıktan sonra çalışacaktır. Bunu üç şekilde yapabilirsiniz:

E-posta yoluyla. Doğrulama talimatlarını içeren bir e-posta alacaksınız. Gönderim adresi olarak Whois domaininden gelen mailler veya admin veya webmaster'ın mail kutuları seçilir.

Bir DNS girişi aracılığıyla. Ayarlanmış bir e-posta sunucunuz varsa, özel bir DNS girişi oluşturun. Buna göre sistem, sitenin gerçekten sahibi olduğunuzu onaylayacaktır. Yöntem otomatiktir ve ayarlarda gizli Whois postası olanlar için uygundur.

Hash dosyası aracılığıyla. Sertifika yetkilisinin varlığını belirleyebilmesi için sunucunuza özel bir .txt dosyası yerleştirin.

Bu tür bir doğrulama, kişisel bir blogunuz veya küçük bir çevrimdışı işletmeniz varsa uygundur, çünkü alt alan adlarını korumanıza ve finansal işlemler yapmanıza izin vermez. Artı, alan adının ve düşüncelerinizin saflığını doğrulamak için karmaşık bir şey yapmanıza gerek yoktur ve sertifikanın tamamlanması hızlı bir şekilde yapılır.

İş Doğrulaması

Bu tür bir SSL sertifikası, şirketin siteye bağlı olduğunu onayladığınız için daha güvenlidir. Bunu yapmak için, doğrulama merkezine birkaç belge göndermeniz ve şirket numarasına bir çağrı almanız gerekir. İş Doğrulama sertifikaları 3 türe ayrılır:

Genişletilmiş Doğrulama SSL'si. Bunlar genişletilmiş doğrulama sertifikalarıdır. Büyük miktarda parayla çalışan herkes bunlara ihtiyaç duyar: bankalar, büyük çevrimiçi mağazalar, finans şirketleri, ödeme sistemleri.

Joker karakterli SSL. Böyle bir sertifika hem sitenin kendisini hem de alt alanlarını korur. Ayrıca, herhangi bir sayıda olabilir ve farklı sunucularda bulunabilirler. Farklı bölgesel bağlamalara veya farklı projelere sahip alt alanlar kullanıyorsanız gereklidir.

SAN SSL. Bu tür bir sertifikanın ana avantajı, alternatif alan adlarını desteklemesidir: hem harici hem de dahili.

Kod İmzalama SSL'si. Siteden kod ve yazılım ürünlerini onaylar. Herhangi bir uygulamanın geliştiricileri için uygundur.

Web siteme ücretsiz bir SSL sertifikası yükleyebilir miyim?

Evet. Bu ürünlerin çoğu ücretlidir, ancak para ödemeniz gerekmeyen seçenekler de vardır. Bunlar, etki alanı tarafından doğrulanmış temel sertifikalardır. Kaynağa bir çevrimiçi kasa bağlamanıza izin vermeyecekler, ancak kullanıcının sunucuyla bağlantısını koruyabilecekler. Bu tür SSL'ler, küçük bilgi siteleri veya çevrimdışı işletmeler için uygundur. Bir örnek, temel StartSSL sertifikasıdır.

SSL Sertifikası Kurulumu

Öncelikle bir sertifika için bir CSR isteği oluşturmanız gerekir. Alan sahibi ve genel anahtar ile ilgili tüm bilgileri içerir. Çoğu SSL sağlayıcı, bunu sertifika sipariş sürecinin bir parçası olarak yapmanıza izin verir, ancak web sunucusu tarafında da bir istek oluşturabilirsiniz.

Bir CSR anahtarı oluştururken şunları belirtmeniz gerekir:

Sunucu adı: "site.com" veya "*.site.com", eğer bir Wildcard sertifikası alıyorsanız. Yıldız işareti, noktadan önceki herhangi bir karakter sayısı anlamına gelir.
Ülke kodu: RU, UA, KZ vb.
Bölge, örneğin, Saratov Bölgesi.
Şehir.
Kuruluşun tam adı veya site sahibinin adı.

CSR talebi doğrulama merkezine gönderilir. Sonuç olarak, bir SSL sertifikası ve kaybolamayan ve kamu malı olarak gönderilemeyen özel anahtarlı bir dosya alırsınız.

Bundan sonra, sertifikayı web sunucusuna yüklemeniz gerekir. Apache ve nginx ile ilgili durumları düşünün.

Apaçi

Bunu yapmak için, tüm sertifikaları sunucuya yüklemeniz gerekir: hem birincil hem de ara. Her şeyden önce, ikincisine /usr/local/ssl/crt dizininde ihtiyacınız var (varsayılan olarak kullanılır, sizin durumunuzda farklı olabilir). Tüm sertifikalar içinde saklanacaktır.

Bundan sonra, ana sertifikayı indirin, herhangi bir metin düzenleyicide açın ve "BEGIN" ve "END" satırlarıyla birlikte tüm içeriği kopyalayın.

/ssl/crt/ dizininde vashsite.crt adlı bir dosya oluşturun ve sertifikanın içeriğini içine yapıştırın.

Özel anahtar dosyasını /usr/local/ssl/private/ dizinine taşıyın

VirtualHost dosyasında şu satırları ekleyin:

SSL Motoru açık

SSLCertificateKeyFile /usr/local/ssl/private/private.key

SSLCertificateFile /usr/local/ssl/crt/siteniz.crt

SSLCertificateChainFile /usr/local/ssl/crt/intermediate.crt

Dosyalara giden geçerli yolları belirtmelisiniz. Değişikliklerinizi kaydedin ve sunucuyu yeniden başlatın.

nginx

Burada, bir SSL sertifikası yükleme işlemi biraz farklıdır. Öncelikle kök, ara ve SSL sertifikalarını tek bir sertifikada birleştirmeniz gerekir. Bunu yapmak için vashsite.crt adlı bir dosya oluşturun ve sertifikaların içeriğini "BEGIN" ve "END" satırlarıyla birlikte buraya yapıştırın (sıra: SSL, ara, kök). Boş satır olmamalıdır.

Özel anahtarla hemen hemen aynı şeyin yapılması gerekir - bir vashsite.key dosyası oluşturun ve sağlayıcının web sitesinden indirilen anahtarın içeriğini aktarın.

Her iki dosyayı da (siteniz.crt ve siteniz.key) /etc/ssl/ dizinine yerleştirin (bu varsayılandır ancak değişebilir).

Yapılandırma dosyasında VirtualHost'u düzenleyin. Eklemek:

sunucu(
dinle 443;
ssl açık;

ssl_certificate /etc/ssl/siteniz.crt
ssl_certificate_key /etc/ssl/siteniz.key;
sunucu_adı siteniz.com;

Sertifika ve anahtarın bulunduğu dizin varsayılandan farklıysa değiştirin.

Şimdi değişikliklerinizi kaydedin ve nginx'i yeniden başlatın.

Çalışan bir HTTPS bağlantısı nasıl elde edilir

SSL sertifikalarını yükledikten sonra site iki adreste kullanılabilir olacaktır: http://yoursite.com ve https://yoursite.com. Sadece sonuncusunu saklamanız gerekiyor. Bunu yapmak için bir robots.txt dosyası oluşturun ve eski siteden 301 yönlendirmesi yapın.

"Robotlarda" ana bilgisayarı güncellemeniz gerekir. Örnek: Barındırıcı: https://yoursite.com. Yönlendirme ayarlamak için .htacsess dosyasına şu satırları eklemeniz gerekir:

RewriteCond %(SERVER_PORT) !^443$

RewriteRule ^(.*)$ https://siteniz.com/$1 .

Şimdi arama motorlarını değişiklikler hakkında bilgilendirmeye devam ediyor. "Yandex"in "Webmaster" bölümüne https ile bir sayfa ekleyin ve bunu eski site için ana sayfa olarak belirtin.

Sonuçlar

https'nin ne olduğunu, sitenize nasıl kuracağınızı ve her şeyi doğru şekilde nasıl kuracağınızı anladık. Bu protokol zaten bağlantı standardı haline geldi ve zamanla tüm canlı siteler buna geçecek. Bu süreç, arama motorları tarafından teşvik edilmektedir - yerleşik bir HTTPS güvenli bağlantı protokolünün varlığı, sıralama faktörlerinden biri haline gelmiştir. Bu nedenle, zirveye çıkmak istiyorsanız, yüklemeniz gerekir.