IIS - Использование стандарта безопасности Fortezza в IIS
Исходные данные по Fortezza
IIS 5.0 поддерживает правительственный стандарт США, обычно называемый Fortezza. Этот стандарт удовлетворяет требованиям архитектуры безопасности оборонной системы сообщений (Defense Messages System) с криптографическим механизмом, обеспечивающим конфиденциальность сообщений, целостность, проверку подлинности и управление доступом к сообщениям, компонентам и системам. Эти возможности могут быть реализованы в программном обеспечении сервера и обозревателя и с помощью оборудования в стандарте PCMCIA. Технология Fortezza широко используется правительством США. Дополнительные сведения см. в Fortezza Developer's Guide (распространяется Агентством национальной безопасности и Департаментом обороны США) по адресу http://www.armadillo.huntsville.al.us/.
Использование Fortezza
Чтобы внедрить систему защиты Fortezza в IIS, выполните приведенную ниже последовательность действий. Эти действия полностью встроят схему Fortezza в IIS, так что можно будет действовать в соответствии со стандартами, описывающими систему безопасности Fortezza.
Чтобы использовать сертификаты Fortezza
Карта Fortezza (разновидность карт в стандарте PCMCIA, аналогичных используемым в ноутбуках) содержит сертификат пользователя для проверки подлинности владельца карты; этот сертификат используется аналогично сертификатам сервера и клиента в IIS. Чтобы сертификаты Fortezza стали доступны IIS, необходимо скопировать их в надежное месте на компьютере.
- Получите неэкспортный вариант файла Schannel.dll с веб-узла Microsoft по адресу http://www.microsoft.com/security/.
- Установите устройство для считывания карт и его драйверы. Необходимые сведения см. в документации устройства считывания карт.
- Установите поставщика службы криптографии (CSP), предоставленного поставщиком оборудования. Необходимые сведения см. в документации устройства считывания карт.
- Запустите с командной строки служебную программу Fortutil.exe.
Эта служебная программа предоставляет функции, которые позволяют установить, подтвердить и удалить сертификат карты и другую сопутствующую информацию. Чтобы включить эту возможность, введите соответствующие команды в командную строку:
| Действие | Команда | Параметры |
| Добавить сертификат | fortutil.exe /a |
Имя веб-узла; серийный номер карты; личный код идентификации; владелец карты |
| Подтвердить сертификат | fortutil.exe /q |
Имя веб-сервера |
| Удалить сертификат | fortutil.exe /r |
Имя веб-узла |
| Справка | fortutil.exe /? |
Отсутствуют |
Примечание. Любой сертификат Fortezza, скопированный на сервер, может быть использован как сертификат в мастере сертификатов веб-сервера, мастере списка доверенных сертификатов или в другом компоненте Windows, связанном с сертификатами.
Важно! Если карта была удалена из устройства считывания карт при работе веб-службы, а затем вставлена повторно, это может вызвать ошибки соединения SSL. Если возникли ошибки, веб-служба должна быть перезапущена с картой, помещенной в устройство считывания.