Справочник функций

Ваш аккаунт

Войти через: 
Забыли пароль?
Регистрация
Информацию о новых материалах можно получать и без регистрации:

Почтовая рассылка

Подписчиков: 6324
Последний выпуск: 19.06.2015

IIS - Использование новых мастеров безопасности

Internet Information Services теперь включают трех новых мастеров безопасности, которые упрощают выполнение большинства задач, необходимых для обеспечения безопасности веб-узла. Мастер сертификатов веб-сервера служит для управления функциями Secure Sockets Layer (SSL) в IIS и серверными сертификатами. Сертификаты используются для установления безопасной связи между сервером и обозревателем пользователя. Мастер списков доверенных сертификатов (CTL) предназначен для управления соответствующими списками. Списки доверенных сертификатов — это списки сертификационных органов, которым доверяет конкретный веб-узел или виртуальный каталог. Назначать разрешения NTFS или Интернета на доступ к веб-узлам, виртуальным каталогам или файлам на сервере можно с помощью мастера разрешений.

Общие сведения о мастерах

Мастера сертификатов, списков доверенных сертификатов и разрешений выполняют большинство задач, которые раньше выполнялись в оснастке IIS. Функции этих мастеров (кроме мастера разрешений) более недоступны из оснастки IIS консоли.

Мастер сертификатов веб-сервера

Операции получения, настройки и обновления серверных сертификатов теперь осуществляются с помощью единого интерфейса мастера сертификатов веб-сервера. Мастер способен обнаружить установленный на сервере сертификат и узнать, не истекает ли срок его действия в ближайшее время. С помощью этого мастера можно заменить серверный сертификат новым, полученным от службы сертификации (CA) или от интерактивной службы сертификации, например Microsoft Certificate Services, либо взятым из файла, ранее созданного в программе Key Manager. Можно также переназначить сертификат с одного веб-узла на другой. Этим мастером можно также пользоваться и для просмотра сертификатов.

Примечание.   Интерактивные запросы на серверные сертификаты можно выполнять только к службе сертификации организации. Мастер сертификатов веб-сервера IIS не распознает изолированную службу сертификации, работающую на том же компьютере. Используйте автономный запрос на сертификат, чтобы сохранить сертификат в файле и автономно обработать его (см. документацию по службе сертификации). Интерактивные запросы с использованием локальной службы сертификации организации при этом не затрагиваются.

Примечание.   Если ваша служба сертификации не поддерживает интерактивные запросы, вам нужно будет сохранить созданный мастером сертификатов веб-сервера файл запроса на дискете и отправить службе эту дискету. Когда будет получен ответ от службы, снова запустите мастер и он продолжит свою работу с того места, на котором он остановился в прошлый раз. Если заменяется текущий сертификат сервера, IIS будет продолжать использовать его до тех пор, пока новый запрос не будет полностью обработан. Список служб сертификации, поддерживающих Internet Information Services, см. в разделе Получение сертификата сервера.

Мастер списков доверенных сертификатов

Мастер списков доверенных сертификатов (CTL) предназначен для создания и конфигурирования списков доверенных сертификатов. CTL представляет собой список доверенных служб сертификации для определенного веб-узла. Настройка CTL позволяет разрешить использование сертификатов, выданных одной службой сертификации, и запретить применение сертификатов другой службы. Списки доверенных сертификатов особенно полезны для поставщиков услуг Интернета, если на их серверах имеется несколько веб-узлов, для каждого из которых должен быть отдельный список доверенных служб сертификации. Списки CTL доступны только на уровне веб-узла и недоступны для FTP-узлов.

Мастер разрешений

Мастер разрешений использует сценарно-управляемую настройку веб- и FTP-разрешений, разрешений NTFS и схем проверки подлинности. Вместо того, чтобы настраивать каждую из этих областей с помощью отдельного пользовательского интерфейса, вы можете просто выбрать сценарий, наиболее точно отражающий потребности узла, и мастер установит за вас все разрешения на доступ и схемы проверки подлинности. Одним из главных достоинств такого подхода является гарантированная синхронизация веб- или FTP-разрешений с разрешениями NTFS, а также использование подходящей схемы проверки подлинности. Все настройки по-прежнему можно изменить в оснастке IIS. Имеются следующие сценарии.

  1. Public Web Site (Общий веб-узел). Это - наиболее общая конфигурация, в которой находящаяся на узле информация предназначена для просмотра всеми желающими пользователями Интернета. Она разрешает анонимные входы и позволяет пользователям просматривать все файлы и использовать все приложения активных серверных страниц, расположенные на веб-узле. Кроме того, она предоставляет администраторам полный контроль над узлом.
  2. Secure Web Site (Защищенный веб-узел). Эта конфигурация используется для корпоративных экстрасетей, то есть для интрасетей, к которым можно обращаться по Интернету. Информация на таком узле не предназначена для массового просмотра. Этот сценарий использует основную, краткую или встроенную в Windows проверку подлинности. Он разрешает просматривать все файлы и использовать приложения активных серверных страниц, расположенные на веб-сервере, только лишь отдельным пользователям. Кроме того, она предоставляет администраторам полный контроль над узлом.

Вызов мастеров

Чтобы вызвать мастер сертификатов веб-сервера и мастер списков доверенных сертификатов из оснастки IIS

  1. На вкладке Безопасность каталога в группе Безопасные подключения нажмите кнопку Сертификат, чтобы вызвать мастер сертификатов веб-сервера и изменить параметры, связанные с вашими сертификатами.
  2. На вкладке Безопасность каталога или Безопасность файла в группе Безопасные подключения нажмите кнопку Изменить. В группе Включить список доверенных сертификатов нажмите кнопку Создать или Изменить, чтобы вызвать мастер списков доверенных сертификатов и изменить параметры, связанные со списками доверенных сертификатов.

Примечание

  • Чтобы мастера сертификатов веб-сервера и списков доверенных сертификатов были доступны, на компьютере должен быть установлен сертификат сервера.
  • Чтобы кнопки Создать и Изменить были доступны, необходимо включить использование списков доверенных сертификатов.

Чтобы вызвать мастер разрешений из оснастки IIS

  1. Выделите веб- или FTP-узел и откройте меню Действие.
  2. Выберите команду Все задачи и подкоманду Мастер разрешений.

Примечание.   При назначении IP-адресов, веб-узлов и портов SSL сертификатам сервера имейте в виду следующее.

  • Нельзя назначить несколько сертификатов сервера одному веб-узлу.
  • Можно назначить один сертификат нескольким веб-узлам.
  • Можно назначить несколько IP-адресов одному веб-узлу.
  • Можно назначить несколько портов SSL одному веб-узлу.

Оставить комментарий

Комментарий:
можно использовать BB-коды
Максимальная длина комментария - 4000 символов.
 
Реклама на сайте | Обмен ссылками | Ссылки | Экспорт (RSS) | Контакты
Добавить статью | Добавить исходник | Добавить хостинг-провайдера | Добавить сайт в каталог