Занятие 3. Secure Sockets Layer 3.0

(Продолжительность занятия 20 минут)

Internet Information Server позволяет пользователям подключаться по защищенному коммуникационному каналу благодаря поддержке протокола Secure Sockets Layer (SSL) и шифрования по алгоритму компании RSA Data Security как на сервере, так и на клиенте. На этом занятии описан уровень протокола SSL.

Изучив материал этого занятия, Вы сможете:

• описать архетиктуру SSL и процесс аутентификации клиентов и серверов средствами SSL.

Пользователи, посещающие коммерческие Web-узлы, как правило, весьма неохотно предоставляют конфиденциальные сведения о себе (например, номера кредитных карт и банковских счетов), опасаясь, что кто-нибудь может перехватить эту информацию. Чтобы развеять их тревоги. Вам нужно защитить конфиденциальную информацию, которая передается по сети, от любых форм перехвата и постороннего вмешательства.

Протокол SSL 3.0 — одно из средств защиты Web-сервера — обеспечивает надежный защищенный канал связи с пользователем

узла. SSL гарантирует аутентификацию Вашего Web-узла клиентам и, с другой стороны, надежно идентифицирует их.

Помимо SSL, Ваш Web-сервер поддерживает протокол РСТ 1.0. Подобно SSL, РСТ 1.0 предоставляет в Ваше распоряжение устойчивые и надежные средства шифрования для обеспечения защиты соединения.

Архитектура SSL

В рамках Internet Information Server SSL функционирует между транспортным и прикладным уровнями модели OSI.

Протокол SSL обеспечивает аутентификацию сервера, шифрование информации и проверку целостности данных.

• Аутентификация гарантирует, что данные передаются именно тому серверу, которому они адресованы, и что сервер обеспечивает защиту данных.
• Шифрование служит гарантией того, что данные не сможет прочесть никто, кроме сервера-адресата.
• Проверка целостности позволяет убедиться, что при передаче данные не были изменены.

Для использования средств протокола SSL на клиенте или сервере необходим цифровой сертификат SSL.

Примечание Основное различие между версиями 2.0 и 3.0 протокола SSL в том, что в версию SSL 3.0 включены средства поддержки клиентских сертификатов.

Цифровые сертификаты SSL

Аутентификация в SSL выполняется с использованием цифрового сертификата, который состоит из следующих полей:

• Version — версия;
• Serial number — идентификатор сертификата;
• Signature algorithm ID — идентификатор алгоритма подписи;
• Issuer name — название организации, выдавшей сертификат;
• Validity period — срок действия;
• Subject user name — имя владельца;
• Subject public key information — информация об открытом ключе владельца;
• Issuer unique ID — уникальный идентификатор того, кто выдал сертификат;
• Subject unique identifier — уникальный идентификатор владельца;
• Extensions — расширения;
• Signature on the above fields — подпись для перечисленных выше полей. Далее вы узнаете о применении сертификатов SSL для аутентификации.

Аутентификация по сертификатам клиентов

В Internet Information Server Вы не только можете применять SSL для защиты доступа к конкретному виртуальному серверу или папке, но и решить, нужно ли при доступе к этому серверу или папке требовать от клиента предъявления сертификата.

Аутентификация клиента на базе сертификата выполняется при обращении клиента к серверу, использующему протокол SSL и требующему от клиента предоставления сертификата. В этом случае сервер запрашивает у клиента сертификат стандарта Х.509, чтобы удостовериться в подлинности пользователя. Только после того, как сервер идентифицирует пользователя, он предоставляет клиенту доступ к ресурсу, заданному соответствующим универсальным идентификатором (Uniform Resource Locator, URL). Аутентификация с применением сертификата клиента позволяет серверу идентифицировать индивидуальных пользователей и предоставлять им заданные администратором права доступа. Internet Information Server поддерживает аутентификацию клиентов в сеансе защищенного канала посредством сертификатов с открытым ключом. Для использования защищенного канала и сертификата необходимо выполнение перечисленных ниже условий.

• Протокол должен поддерживать сертификацию — то есть обработку соответствующих запросов и ответов — как на клиенте, так и на сервере.
• Клиент обязан уметь проверять сертификаты серверов, запрашивать сертификаты и позволять пользователям предоставлять сертификаты в ответ на запрос. Для этого нужно, чтобы клиент поддерживал хранение сертификатов и управление ими.
• Сервер должен уметь запрашивать сертификаты клиентов, проверять их и связывать со средствами контроля доступа на сервере.

Создание сеанса SSL

Сеанс SSL, шифрующий все данные, которыми обмениваются клиент и сервер, создается таким образом.

1. Web-обозреватель устанавливает защищенное соединение с Web-сервером.
2. Web-сервер передает обозревателю копию своего сертификата вместе со своим открытым ключом. Сертификат сервера позволяет обозревателю убедиться в подлинности сервера и целостности содержимого узла.
3. Web-обозреватель и сервер начинают обмениваться информацией; при этом определяется длина ключа шифрования, используемого для защиты передаваемой информации (обычно 40 или 128 бит). Действующие в настоящее время ограничения на экспорт технологий шифрования, наложенные правительством США, допускают использование более надежного 128-битного шифрования только в США и Канаде.
4. Web-обозреватель генерирует ключ сеанса и шифрует его открытым ключом сервера. Затем обозреватель передает зашифрованный ключ сеанса Web-серверу.
5. Используя свой личный ключ, сервер дешифрует ключ сеанса и создает защищенный канал.
6. Web-сервер и обозреватель используют ключ сеанса для шифрования и расшифровки передаваемых данных.

Примечание Дополнительную информацию об SSL Вы найдете на Web-узле компании RSA Data Security, Inc. по адресу: http://www.rsa.com/.

Резюме

Протокол SSL позволяет серверу и клиенту безопасно обмениваться конфиденциальными данными по Интернету. SSL обеспечивает защиту передаваемых данных с помощью аутентификации сервера, шифрования данных и проверки их целостности. Аутентификация в SSL основана на использовании цифровых сертификатов. Аутентификация с помощью сертификата клиента позволяет серверу идентифицировать и авторизовать индивидуальных пользователей.