Безопасность IIS

с рабочего стола Windows информация


При установке каталога с зашифрованными свойствами в Windows Explorer или с рабочего стола Windows информация будет шифроваться на диске. В IIS SSL/TLS шифруют информацию при непосредственной передаче по сети браузеру клиента.




с рабочего стола Windows информация

Рис. 8.9.  На вкладке Web Site (Веб-узел) установите порт SSL

  • Откройте вкладку Directory Security (Безопасность каталога). В области Secure Communications (Безопасные соединения) станут доступными кнопки View Certificate (Просмотр) и Edit (Изменить) (см. рис. 8.10). Для каталога кнопка изменения сертификата будет недоступна, так как эта операция осуществляется на уровне веб-узла, а не на уровне каталога. Нажмите на кнопку Edit (Изменить) для настройки параметров SSL/TLS.
  • В окне Secure Communications (Безопасные соединения) (см. рис. 8.11) отметьте опцию Require Secure Channel (SSL) (Требовать безопасное соединение [SSL]). Станет доступной опция Require 128-Bit Encryption (Требовать 128-битное шифрование); ее также следует отметить. Важно. Для обеспечения безопасности сайта не используйте шифрование на ключе длиной меньше, чем 128 бит. 56-битный алгоритм DES довольно легко взломать, но стоит сменить длину ключа на 128 бит – и шифрование станет на несколько порядков мощнее.
  • На данном этапе выполнены все требования, необходимые для включения SSL/TLS. Нажмите на OK, чтобы применить настройки и выйти из окна Web Site Properties.

    с рабочего стола Windows информация

    Рис. 8.10.  Во вкладке Directory Security (Безопасность каталога) нажмите на кнопку Edit (Изменить) для настройки безопасных соединений на сайте, поддерживающем сертификаты

    с рабочего стола Windows информация

    Рис. 8.11.  Выберите нужные настройки SSL в окне Secure Communications (Безопасные соединения)



    • Обратите внимание на рисунок 8.11: окно Secure Communications (Безопасные соединения) позволяет указать способ поддержки сертификатов на клиентах, посещающих веб-сервер. Можно выбрать следующие опции.

    • Игнорировать сертификаты клиентов. Отключает использование на сервере клиентских сертификатов для аутентификации независимо от того, установил ли клиент сертификат.
    • Принимать сертификаты клиентов.Позволяет серверу принимать сертификаты клиентов в качестве одного из методов аутентификации.
    • Требовать сертификаты клиентов. Предотвращает доступ клиентов, не имеющих сертификаты на своих системах, к защищенному содержимому сайта.


    Можно связать сертификаты клиентов с учетными записями пользователей на веб-сервере. После установки этой связи каждый раз при входе пользователя с использованием сертификата клиента сервер автоматически свяжет этого пользователя с соответствующей учетной записью Windows. Так осуществляется автоматическая аутентификация пользователей, входящих в систему с помощью клиентских сертификатов, без применения аутентификации Basic (Базовая), Messaging Digest (Обработка сообщений) или встроенной аутентификации Windows.


    Содержание раздела