Тем не менее, положение дел меняется при использовании кредитной карточки в интернете, или если вы являетесь принимающей стороной транзакции кредитной карты. В этих случаях одна лишь анонимность не обеспечит должного уровня безопасности. Более того, при получении секретного документа вы на сто процентов уверены в том, что его отправил именно тот человек, за которого себя выдает реальный отправитель? Что между отправкой и получением этот документ не был каким-то образом изменен? Что делать для защиты секретных данных на сайте или при передаче пользователю? Как реализовать более надежную аутентификацию пользователя?

О цифровых сертификатах

IIS использует цифровые сертификаты для реализации должного уровня защиты и поддерживает метод SSL-шифрования/аутентификации на веб-сайтах.

Используются три типа сертификатов.

• Сертификаты сервера. Обеспечивают метод шифрования данных, передаваемых через сеть (посредством SSL), и методы идентификации для сервера. Эти методы дают клиенту уверенность в том, что сайт, который он посетил, является именно тем сайтом, за который он себя выдает.
• Сертификаты клиента. Обеспечивают идентификацию клиента на сервере, что позволяет серверу определить, кем на самом деле является клиент. Это более мощная аутентификация по сравнению с базовой. Сертификаты клиентов не поддерживают шифрование данных.
• Сертификаты подписывания кода. Обеспечивают метод цифрового "подписывания" приложения посредством цифрового идентификатора, созданного на основе содержимого приложения. Если в приложении происходят какие-либо изменения, то цифровой идентификатор становится не соответствующим этому приложению, о чем пользователь получает уведомление. Сертификаты подписывания кода не поддерживают шифрование приложения.

Ключи сертификатов

Цифровые сертификаты используют ключи при шифровании данных. Чтобы понять, каким образом работают цифровые сертификаты, необходимо знать, что такое ключи и для чего они предназначены.

Существует два типа шифрования с использованием ключей. Они используются примерно в одинаковой степени.

• Шифрование на симметричном ключе. Для шифрования и расшифровки данных используется один и тот же ключ. Эта форма шифрования более эффективна с точки зрения скорости. При этом обеспечивается некоторый уровень безопасности, поскольку принимающая сторона должна знать ключ для расшифровки информации. Главным недостатком шифрования на симметричном ключе является то, что при вскрытии ключа злоумышленник сможет расшифровать данные. Он даже сможет зашифровать их и отправить принимающей стороне, выдав себя за легитимного отправителя.
• Шифрование на открытом ключе. Более сложный процесс с точки зрения использования ключей. IIS предоставляет на выбор два алгоритма шифрования на открытом ключе – DH (Diffie-Hellman) и RSA (сокр. от имен разработчиков Ron Rivest, Adi Shamir и Leonard Adleman). RSA используется чаще всего, поэтому в данной лекции мы рассмотрим именно этот алгоритм. При шифровании на открытом ключе создается пара ключей – открытый ключ и секретный ключ.

Открытый ключ распространяется свободно. Данные, зашифрованные на открытом ключе, можно расшифровать только при помощи второй, секретной половины ключа. Поскольку владельцем данных являться человек, обладающий секретным ключом, то единственным человеком, который сможет прочитать данные после шифрования, будет тот, для кого они предназначены. Даже зашифровавший данные пользователь не сможет расшифровать их без секретного ключа.

Секретный ключ, разумеется, необходимо содержать в секрете. Его можно использовать для подписывания данных с целью подтверждения подлинности. Открытый ключ используется для проверки подлинности подписи и установления возможных искажений данных. Если данные зашифрованы при помощи секретного ключа, то без открытого ключа их не сможет расшифровать даже тот человек, который их зашифровал. Опять-таки, поскольку секретный ключ находится только у владельца, то данные являются подлинными. В противном случае, только владелец секретного ключа может просмотреть данные.

По сравнению с шифрованием на симметричном ключе шифрование на открытом ключе требует выполнения большего объема работы и является не столь эффективным. При шифровании больших объемов данных использование этого метода отрицательно сказывается на производительности. Тем не менее, можно использовать шифрование на открытом ключе для зашифровки симметричного ключа, после чего применить более эффективное симметричное шифрование для зашифровки остальных данных. Именно этот процесс лежит в основе функционирования SSL.

Мощность шифрования

Мощность шифрования зависит от длины ключа и типа шифра, используемого для шифрования. Сообщения, созданные при помощи 128-битного ключа, взломать в 3х10²⁶ раз сложнее, чем сообщения, созданные при помощи 40-битного ключа. Это в некоторой степени объясняет то, почему правительство США раньше не разрешало экспортировать технологию, поддерживающую ключи длиной более 40 бит. В целях безопасности, правительство США отталкивалось от того факта, что оно сможет дешифровать перехваченные зашифрованные данные. Это гораздо сложнее сделать при использовании 128-битных ключей! Многое зависит и от того, какой именно шифр используется при шифровании данных. Например, данные, зашифрованные при помощи симметричного шифра (например, шифра DES – Data Encryption Standard) с применением 64-битного ключа, сопоставимы по уровню защищенности с сообщением, зашифрованным при помощи RSA на ключе длиной в 512 бит.

Цифровые подписи

Теперь подумаем, как можно подтвердить подлинность отправителя данных и как проверить, что эти данные не были искажены в процессе передачи? Ответом на оба вопроса является использование цифровых подписей. Цифровые подписи состоят из двух компонентов: односторонний хэш и криптосистема с открытым ключом.

Односторонний хэш. Односторонний хэш (иногда называется анализом сообщения) представляет собой набор данных для проверки полученного документа на предмет того, что он не был изменен с момента создания хэша. Алгоритм одностороннего хэша создает для документа набор уникальных данных. Документ отправляется вместе с созданным односторонним хэшем. При получении документ повторно обрабатывается алгоритмом хеширования. Новый хэш сопоставляется с хэшем, полученным вместе с документом. Если выявляются различия, то это означает, что документ был искажен. Добавление в документ одного-единственного символа или пробела основательно изменит результирующий хэш. Не существует способа восстановления документа только из одного хэша, по этой причине хэш и называется односторонним. Наиболее распространенными алгоритмами одностороннего хэширования являются алгоритм обработки сообщений MD5, созданный профессором института MIT Роном Ривестом (соавтором алгоритма шифрования RSA), и алгоритм безопасного хэширования SHA, разработанный Национальным институтом стандартов и технологий США (NIST) и Управлением национальной безопасности США (NSA). Алгоритм MD5 генерирует 128-битное значение, а алгоритм SHA – 160-битное.

Можно использовать секретный ключ для шифрования данных, расшифровать которые вы сможете только при помощи вашего открытого ключа. Мы не рекомендуем использовать этот подход, так как расшифровать этот текст сможет каждый. Исключением является случай, когда вы расшифровываете данные при помощи открытого ключа для подтверждения подлинности отправителя (подразумевается, что ваш секретный ключ никто не узнал). Данные, зашифрованные на вашем секретном ключе, являются шифрованным текстом открытого ключа.

При шифровании одностороннего хэша, уникального для отправляемых данных, на секретном ключе создается цифровая подпись. Ее расшифровывают для подтверждения подлинности вашей личности, а односторонний хэш сопоставляют со своим экземпляром для подтверждения целостности данных. Таким образом, при помощи цифровых подписей, мы "убиваем сразу двух зайцев".

Бюро сертификатов и доверие. Как убедиться в том, что открытый ключ, используемый для шифрования отправляемых данных, заслуживает доверия? Когда пользователь создает пару ключей открытый/секретный для использования на веб-сайте, он, по существу, запрашивает сертификат SSL x.509 (x.509 является стандартом, определенный в RFC 2459) у бюро сертификатов (т.е. у сервера, выпускающего сертификаты). Бюро сертификатов может авторизовать (уполномочить) любое количество подчиненных бюро сертификатов, те, в свою очередь, – другие бюро сертификатов и т.д. Первое бюро сертификатов в этой цепочке называется корневым бюро сертификатов. Возможно наличие только одного корневого бюро сертификатов в цепочке. При выпуске сертификата SSL создающее его бюро сертификатов проверяет корректность информации, отправленной запрашивающей стороной. Подробности этой проверки индивидуальны для каждого бюро сертификатов.

Использование бюро сертификатов на компьютере клиента

Предположим, на компьютере клиента установлен набор сертификатов по умолчанию; выпустившие их бюро сертификатов являются доверенными. Набор установленных сертификатов зависит от используемого программного обеспечения (например, Internet Explorer или Netscape). При представлении клиенту сертификата SSL клиент выяснит, имеется ли в его кэше соответствующий сертификат. При наличии сертификата клиент проверит подпись бюро сертификатов при помощи открытого ключа, находящегося в кэше, осуществив таким образом аутентификацию веб-сервера. Если сертификат в кэше отсутствует, клиент запросит сертификат, после чего повторит проверку сертификата рассматриваемого бюро. Если сертификат не пройдет аутентификацию в корневом бюро сертификатов, будет сгенерировано предупреждение о том, что проверить сертификат SSL не удалось и принимать его не следует. В любом случае, если будет найдено бюро сертификатов, сертификат которого содержится в вашем кэше, сертификат SSL будет принят.

Проверка списка бюро сертификатов браузера. Можно просмотреть список бюро сертификатов, являющихся доверенными для браузера. Рассмотрим на примере Internet Explorer 6. Выполните следующие действия.

1. В Internet Explorer выберите Tools\Internet Options (Сервис\Свойства браузера).
2. Откройте вкладку Content (Содержание).
3. В области Certificates (Сертификаты) нажмите на кнопку Certificates (Сертификаты).
4. В окне Certificates (Сертификаты) (см. рис. 10.1) откройте вкладку Trusted Root Certification Authorities (Доверенные корневые бюро сертификатов); здесь присутствует перечень доверенных корневых бюро сертификатов.

Добавление бюро сертификатов в список доверия браузера. При посещении сайта, использующего сертификат бюро сертификатов, которое не пользуется доверием вашего браузера, отобразится соответствующее сообщение. Можно принять сертификат и продолжить работу через безопасное соединение. Продолжая шифровать данные, вы в этом случае проигнорируете одну из главных функций сертификатов – аутентификацию. При принятии сертификата от бюро сертификатов, не пользующимся доверием, скорее всего, для вас не имеет значения это бюро сертификатов и вы просто хотите выполнить транзакцию. При наличии других методов проверки бюро сертификатов этот подход приемлем. Если вы доверяете бюро сертификатов, отсутствующему в списке доверия браузера (например, бюро сертификатов компании, в которой вы работаете), то доверенный сертификат можно добавить в браузер. В следующий раз предупреждения отображаться уже не будут.

Для добавления доверенного корневого бюро сертификатов в Internet Explorer выполните следующие действия.

1. Запросите сертификат у бюро сертификатов, доверие к которому нужно зафиксировать. Этот процесс индивидуален для каждой компании, имеющей свое бюро сертификатов, поэтому следует обратиться к администратору.
2. Разместите сертификат в доступном месте, например, на локальном диске или в файловом расположении.
3. Откройте окно Internet Options (Свойства браузера) либо из Панели управления, либо из самого браузера с помощью команды Tools\Internet Options (Сервис\Свойства браузера).
4. Откройте вкладку Content (Содержание).
5. Нажмите на кнопку Certificates (Сертификаты) в области Certificates (Сертификаты).
6. Откройте вкладку Trusted Root Certification Authorities (Доверенные корневые бюро сертификатов).
7. Нажмите на кнопку Import (Импорт), после чего откроется мастер импорта сертификатов (Certificate Import Wizard).
8. В окне приветствия нажмите на кнопку Next (Далее).
9. Нажмите на кнопку Browse (Обзор), затем выберите сертификат, полученный от бюро сертификатов.
10. Нажмите на кнопку Next (Далее).
11. Оставьте параметры по умолчанию в окне Certificates Store (Хранилище сертификатов).
12. Нажмите на кнопку Next (Далее).
13. Нажмите на кнопку Finish (Готово). Отобразится сообщение о том, что импортирование успешно завершено.

Что такое бюро сертификатов?

В роли бюро сертификатов может выступать любой сервер Windows 2003. При наличии общего веб-сервера, обеспечивающего безопасную область, сертификаты своего собственного бюро использовать нецелесообразно, поскольку браузеры посетителей не смогут распознавать это бюро сертификатов, и выпущенные вами сертификаты будут отклоняться. Если веб-сервер обслуживает большое количество пользователей, то данный подход приведет к тому, что большинство браузеров будут генерировать сообщение об ошибке. В данной ситуации следует прибегнуть к услугам коммерческого бюро сертификатов.

Ниже приведены некоторые коммерческие бюро сертификатов:

Для создания своего собственного сертификата установите имеющееся в Windows Server 2003 бюро сертификатов. Об этом мы расскажем чуть позже, в разделе "Выбор типа бюро сертификатов".

Работа сертификатов сервера с SSL

"Рукопожатием" SSL называется совокупность процессов аутентификации, шифрования и проверки. При рукопожатии SSL выполняются следующие действия.

1. Клиент отправляет серверу номер версии протокола SSL клиента, параметры шифра, случайно сгенерированный набор данных и другую информацию, необходимую для установки связи посредством SSL.
2. Сервер отправляет клиенту номер своей версии SSL, параметры шифра, случайно сгенерированный набор данных и другую информацию, необходимую клиенту для установки соединения с посредством SSL. Сервер также передает свой собственный сертификат.
3. Клиент аутентифицирует сервер (см. описание этого процесса описан в разделе "Бюро сертификатов и доверие").
4. Используя полученную информацию, клиент создает предварительный секрет для сеанса, шифрует его на открытом ключе сервера и отправляет на сервер.
5. С помощью предварительного секрета сервер выполняет последовательность шагов по созданию основного секрета; это выполняется на клиенте.
6. Клиент и сервер используют главный секрет для создания сеансовых ключей.
7. Клиент передает серверу уведомление о том, что следующее сообщение будет зашифровано на сеансовом ключе.
8. Клиент передает зашифрованное сообщение серверу о том, что процесс "рукопожатия" завершен.
9. Сервер передает сообщение клиенту о том, что следующее сообщение будет зашифровано на сеансовом ключе.
10. Сервер передает зашифрованное сообщение клиенту о том, что процесс "рукопожатия" завершен.
11. Процедура окончена. Клиент и сервер используют сеансовые ключи для шифрования данных на симметричном ключе.

Таким образом, клиент сначала аутентифицирует сервер с применением сертификата. После аутентификации клиент использует шифрование на открытом ключе для передачи информации, необходимой для создания общего (сеансового) ключа. Сеансовый ключ используется для выполнения более эффективного симметричного шифрования оставшихся данных. Общий ключ является специфичным для данного сеанса и никогда повторно не используется.

Как работают сертификаты клиентов

Для аутентификации пользователя, осуществляющего доступ к безопасному сайту, можно использовать сертификаты клиентов. С помощью собственного бюро сертификатов выпускаются сертификаты для любого компьютера клиента или пользователя. После установки сертификатов клиентов на своих компьютерах пользователи будут проходить безопасную аутентификацию на сервере без использования паролей.

Аутентификация клиента с помощью сертификатов добавляет несколько шагов в процедуру SSL-рукопожатия. Рассмотрим рукопожатие SSL еще раз, но теперь уже применительно к сертификатам клиентов. Добавленные шаги выделены курсивом.

1. Клиент отправляет серверу номер версии протокола SSL клиента, параметры шифра, случайно сгенерированный набор данных и другую информацию, необходимую серверу для установки связи посредством SSL.
2. Сервер отправляет клиенту номер своей версии SSL, параметры шифра, случайно сгенерированный набор данных и другую информацию, необходимую клиенту для установки соединения посредством SSL. Сервер также передает свой собственный сертификат.
3. Сервер запрашивает сертификат клиента.
4. Клиент аутентифицирует сервер (см. описание этого процесса описан в разделе "Бюро сертификатов и доверие").
5. Используя полученную информацию, клиент создает предварительный секрет для сеанса, шифрует его на открытом ключе сервера и отправляет на сервер.
6. При помощи собранной информации клиент подписывает фрагмент данных и передает эти данные и свой сертификат вместе с предварительным секретом.
7. Сервер выполняет аутентификацию пользователя с помощью тех же шагов, которые выполнял пользователь для аутентификации сервера.
8. С помощью предварительного секрета сервер выполняет последовательность шагов по созданию основного секрета; это выполняется на клиенте.
9. Клиент и сервер используют главный секрет для создания сеансовых ключей.
10. Клиент передает серверу уведомление о том, что следующее сообщение будет зашифровано на сеансовом ключе.
11. Клиент передает зашифрованное сообщение серверу о том, что процесс "рукопожатия" завершен.
12. Сервер уведомляет клиента о том, что следующее сообщение будет зашифровано на сеансовом ключе.
13. Сервер передает зашифрованное сообщение клиенту о том, что процесс "рукопожатия" завершен.
14. Процедура окончена. Клиент и сервер используют сеансовые ключи для шифрования данных на симметричном ключе.

Создание собственного бюро сертификатов

Теперь рассмотрим процесс создания собственного бюро сертификатов.

Выбор типа бюро сертификатов

В WS03 можно выбрать два типа серверов бюро сертификатов. Между ними существуют определенные различия, и каждый из серверов используется лишь в определенных обстоятельствах.

• Корпоративное бюро сертификатов. Требует наличия Active Directory. Этот вариант является более автоматизированным, но такое бюро сертификатов не пользуется доверием браузеров и, как правило, используется в интрасетях. Его можно установить, например, для работы со смарт-картами.
• Отдельное бюро сертификатов. Менее автоматизированный вариант, не требует наличия Active Directory и поэтому не создает лишних угроз безопасности. Такие бюро сертификатов обычно используются для издания интернет-сертификатов либо при отсутствии Active Directory.

Первое, что нужно сказать о корпоративном бюро сертификатов – для него требуется Active Directory. Польза от корпоративного бюро сертификатов выходит за рамки IIS; например, его можно использовать при входе в домен, а при работе со смарт-картами его установка является обязательной. Отсюда следует вывод, что корпоративное бюро сертификатов не подходит для издания сертификатов в интернете и для других внешних ресурсов, поскольку это связано с потенциальной угрозой безопасности домена Active Directory. С другой стороны, бюро сертификатов корпоративного типа подходят для внутреннего выпуска сертификатов в интрасети. При получении запроса корпоративное бюро сертификатов принимает решение о выпуске или отклонении сертификата, в зависимости от параметров безопасности Active Directory. Пользователи выполняют запрос сертификаты из консоли MMC Certificates (Сертификаты) либо через Certification Authority Web Enrollment (Регистрация бюро сертификатов в интернете). Подробно об этом рассказано в разделе "Отправка запроса в собственное бюро сертификатов". Список отклонения сертификатов содержится в Active Directory, а также в общей папке.

Отдельное бюро сертификатов не требует установки Active Directory. По этой причине с ним удобней работать. Оно не производит автоматический выпуск или отклонение сертификатов, вместо этого помечает запрос как обрабатываемый. Сертификаты, издаваемые в отдельном бюро сертификатов, не используются при входе в домен или при работе со смарт-картами. Пользователи запрашивают сертификаты только в Certification Authority Web Enrollment по умолчанию. Список отклонения сертификатов для отдельного бюро сертификатов публикуется в общей папке.

Корневые и подчиненные бюро сертификатов

Вам необходимо также принять решение о том, какое бюро сертификатов устанавливать – корневое или подчиненное. Корневым бюро сертификатов является наиболее доверенное бюро сертификатов в компании. Вполне возможна установка лишь одного бюро сертификатов. Опасность заключается в том, что при возникновении сбоя в корневом бюро сертификатов или с помощью несанкционированного доступа злоумышленник сможет внедриться во всю инфраструктуру предприятия. Рекомендуется установить корневое бюро сертификатов для издания сертификатов, предназначенных подчиненным бюро сертификатов, которые, в свою очередь, выпустят сертификаты для других пользователей. Решение об установке определенного типа бюро сертификатов принимается при инсталляции служб Certificate Services (Службы сертификатов).

Установка служб сертификатов на сервер

Для установки службы сертификатов на сервер используется мастер Add or Remove Programs (Установка и удаление программ) в Панели управления. Данная процедура индивидуальна для каждого типа бюро сертификатов.

Установка корпоративного корневого бюро сертификатов

Помните, что корпоративное бюро сертификатов устанавливается при наличии Active Directory.

1. В Панели управления дважды щелкните на значке Add or Remove Programs (Установка и удаление программ).
2. Нажмите на кнопку Add/Remove Windows Components (Установка и удаление компонентов Windows).
3. В мастере компонентов Windows (Windows Components Wizard) (см. рис. 10.2) отметьте опцию Certificate Services (Службы сертификатов).
4. Появится предупреждение о том, что при продолжении работы в дальнейшем нельзя будет изменить имя компьютера и домена. В окне сообщения нажмите на кнопку Yes (Да).
5. Нажмите на кнопку Next (Далее).
6. Отметьте Enterprise Root CA (Корпоративное корневое бюро сертификатов), затем нажмите на кнопку Next (Далее).
7. Введите информативный текст в качестве имени.
8. Нажмите на кнопку Next (Далее).
9. Мастер сгенерирует ключ и после этого отобразит информацию о папке. Здесь следует оставить все как есть, если нет определенных причин для изменения данной информации.
10. При наличии на компьютере функционирующей службы IIS ее необходимо остановить. При появлении сообщения с подобной информацией нажмите на кнопку Yes (Да).
11. Мастер выполнит все необходимые действия по установке. Нажмите на кнопку Finish (Готово).

Установка корпоративного подчиненного бюро сертификатов

После установки корневого бюро сертификатов в домене можно установить подчиненное корпоративное бюро сертификатов.

1. В Панели управления дважды щелкните на значке Add or Remove Programs (Установка и удаление программ).
2. Нажмите на кнопку Add/Remove Windows Components (Установка и удаление компонентов Windows).
3. В мастере компонентов Windows (Windows Components Wizard) (см. рис. 10.2) отметьте опцию Certificate Services (Службы сертификатов).
4. Появится предупреждение о том, что при продолжении работы в дальнейшем нельзя будет изменить имя компьютера и домена. В окне сообщения нажмите на кнопку Yes (Да).
5. Нажмите на кнопку Next (Далее).
6. Включите Enterprise Subordinate CA (Корпоративное подчиненное бюро сертификатов).
7. Нажмите на кнопку Next (Далее).
8. Присвойте бюро сертификатов информативное имя, после чего нажмите на кнопку Next (Далее).
9. Мастер сгенерирует ключ и после этого отобразит информацию о папке. Здесь следует оставить все как есть, если нет причин для изменения папки.
10. Выберите Send The Request To An Online CA (Отправить запрос в онлайн-бюро сертификатов).
11. Нажмите на кнопку Browse (Обзор), после чего нажмите на кнопку OK.
12. Нажмите на кнопку Next (Далее).
13. Мастер выполнит все необходимые действия по установке. Нажмите на кнопку Finish (Готово).

Установка отдельного корневого бюро сертификатов

При выборе отдельного бюро сертификатов сначала нужно установить отдельное корневое бюро сертификатов. Для установки службы сертификатов в качестве отдельного корневого бюро сертификатов (Standalone Root CA) выполните следующие действия.

1. Выполните шаги 1-5 предыдущей процедуры.
2. Отметьте Stand-alone Root CA. (Обратите внимание на то, что опция Enterprise [Корпоративное] недоступна, если не установлена Active Directory).
3. Здесь вы также увидите опцию Use Custom Setting To Generate The Key Pair And CA Certificate (Использовать особые параметры для генерации пары ключей и сертификата). Если это не требуется, то оставьте данную опцию отключенной. Особые параметры позволяют выбрать CSP, алгоритм хэширования и длину ключа. В настройках по умолчанию используются параметры Microsoft Strong Cryptographic Provider, SHA-1 и 2048, соответственно.
4. Нажмите на кнопку Next (Далее).
5. Введите в поле Common Name (Общее имя) некоторый информативный текст (например, имя домена или компьютера).
6. Нажмите на кнопку Next (Далее).
7. Ключ будет сгенерирован, и отобразится информация о папке. В этом окне следует оставить все как есть, если нет причин для изменения папки.
8. Нажмите на кнопку Next (Далее).
9. Появится сообщение о том, что службу IIS необходимо остановить. Нажмите на кнопку Yes (Да).
10. Мастер выполнит необходимые действия по установке; это займет несколько минут. Нажмите на кнопку Finish (Готово).

Установка отдельного подчиненного бюро сертификатов

После установки отдельного корневого бюро сертификатов можно установить отдельное подчиненное бюро сертификатов:

1. Выполните шаги 1-5.
2. Отметьте опцию Stand-alone Subordinate CA (Отдельное подчиненное бюро сертификатов), после чего нажмите на кнопку Next (Далее).
3. Введите общее имя бюро сертификатов (например, имя компьютера), после чего нажмите на кнопку Next (Далее).
4. Отобразится окно с параметрами папки по умолчанию; оставьте все как есть, если нет причин для их изменения. Нажмите на кнопку Next (Далее).
5. Отметьте Send The Request Directly to a CA Already On the Network (Отправлять запрос напрямую в бюро сертификатов, уже имеющееся в сети).
6. Отметьте переключатель, соответствующий сохранению запроса в файле, после чего введите имя файла. Затем нажмите на кнопку Next (Далее).
7. Мастер настроит службы сертификатов. Отобразится окно сообщения со следующим текстом: "Установка служб сертификатов не завершена. Чтобы завершить установку, используйте файл запроса "c:\path\to\the\file\you\created.cer" для получения сертификата от родительского бюро сертификатов".
8. Откройте оснастку Certification Authority (Бюро сертификатов) с помощью команды Start\Administrative Tools\Certification Authority (Пуск\Администрирование\Бюро сертификатов).
9. Используйте оснастку Certification Authority для установки сертификата. Щелкните правой кнопкой мыши на узле бюро сертификатов и выберите команду Install CA Certificate (Установить сертификат).
10. Нажмите на кнопку OK в окне сообщения.
11. Нажмите на кнопку Finish (Готово).
12. Необходимо отправить запрос через интернет-систему регистрации (о ней пойдет речь в параграфе "Отправка запроса собственному бюро сертификатов" далее в лекции).
13. Подтвердите запрос на корневом бюро сертификатов.
14. После подтверждения вернитесь на веб-страницу регистрации для получения сертификата.
15. Щелкните на ссылке Download Certificate Chain (Загрузить цепь сертификатов).
16. Сохраните сертификат в нужном месте.
17. Откройте оснастку Certification Authority (Бюро сертификации) с помощью команды Start\Programs\Administrative Tools\Certification Authority (Пуск\Программы\Администрирование\Бюро сертификатов).
18. Щелкните правой кнопкой мыши на значке сервера, после чего выберите All Tasks\Start Service (Все задачи\Запустить службу).
19. Появится окно с предложением установки сертификата. Нажмите на кнопку Yes (Да).
20. Перейдите в соответствующее место расположения и выберите только что загруженный сертификат. Нажмите на кнопку Open (Открыть).
21. Сертификат установится, и служба Certificate Services (Службы сертификатов) будет запущена.

Создание запроса на сертификат в IIS

Для создания запроса на сертификат используйте мастер сертификатов веб-сервера (Web Server Certificate Wizard) в оснастке IIS MMC (см. рис.10.3).

1. Откройте консоль IIS MMC с помощью команды Start\AdministrativeTools\Internet Information Services (IIS) Manager (Пуск\Администрирование\Диспетчер IIS).
2. Щелкните на значке "+" рядом с пунктом Web Sites (Веб-узлы).
3. Щелкните правой кнопкой мыши на веб-сайте, сертификат которого будет запрашиваться, после чего выберите Properties (Свойства).
4. Откройте вкладку Directory Security (Безопасность каталога).
5. В области Secure Communications (Безопасные соединения) нажмите на кнопку Server Certificate (Сертификат сервера).
6. Откроется мастер сертификатов веб-сервера. Нажмите на кнопку Next (Далее) в окне приветствия.
7. Включите опцию Create A New Certificate (Создать новый сертификат).
8. Нажмите на кнопку Next (Далее).
9. Выберите опцию Prepare The Request Now, But Send It Later (Подготовить запрос сейчас, но отправить позже).
10. Введите имя для сертификата; оно должно быть информативным, например, URL рассматриваемого веб-сайта.
11. Если вам не нужно ничего менять, то оставьте без изменения значение длины в битах по умолчанию в опции "Сryptographic service provider" ("Поставщик услуг шифрования").
12. Нажмите на кнопку Next (Далее).
13. Укажите имя компании в поле Company (Компания) и подразделение в поле Department (Подразделение).
14. Нажмите на кнопку Next (Далее).
15. Укажите общее имя сайта в поле Common Name (Общее имя); оно представляет собой полный адрес URL сайта.
16. Нажмите на кнопку Next (Далее).
17. Введите соответствующую информацию о регионе, после чего нажмите на кнопку Next (Далее).
18. Измените место расположения или имя файла, который будет содержать запрос. Нажмите на кнопку Next (Далее).
19. Подтвердите введенную информацию. Нажмите на кнопку Next (Далее).
20. Нажмите на кнопку Finish (Готово).

Отправка запроса в собственное бюро сертификатов

Запросить сертификат у собственного бюро сертификатов можно двумя способами. Интернет-регистрацией бюро сертификатов (см. рис. 10.4) пользуются как для корпоративных бюро, так и при работе с отдельными бюро сертификатов. Отправка запроса через оснастку Certificates (Сертификаты) по умолчанию поддерживается только при работе с корпоративными бюро сертификатов. Для корпоративного бюро сертификатов при выполнении запроса сертификата SSL вы будете работать с мастером, который использовался при создании запроса для коммерческого бюро сертификатов. Отличие в том, что нужно будет выбрать опцию Send The Request Immediately To An Online Certification Authority (Немедленно отправить запрос в интерактивное бюро сертификатов). Консоль MMC Certification Authority (Бюро сертификатов) используется при создании любого запроса на сертификат.

Для использования интернет-регистрации бюро сертификатов выполните следующие действия.

1. В адресной строке браузера введите http://<ваш_сервер>/certsrv, заменив <ваш_сервер> IP-адресом или URL вашего бюро сертификатов.
2. Щелкните на ссылке Request A Certificate (Запросить сертификат).
3. Щелкните на ссылке Advanced Certificate Request (Дополнительный запрос на сертификат).
4. Для нового сертификата выберите опцию Submit A Certificate Request By Using A Base-64-Encoded CMC Or PKCS #10 File. Для обновления имеющегося сертификата выберите опцию Submit A Renewal Request By Using A Base-64-Encoded PKCS #7 File.
5. Вставьте содержимое файла запроса на сертификат в поле Saved Request (Сохраненный запрос).
6. Нажмите на кнопку Submit (Отправить).
7. Для корпоративного бюро сертификатов сертификат отобразится на экране. Для отдельного бюро сертификатов нужно будет вернуться в данное окно после подтверждения запроса.

Отправка запроса на сертификат SSL в коммерческое бюро сертификатов

Действия по отправке запроса на сертификат в коммерческое бюро зависят от самого коммерческого бюро. Как правило, процесс верификации в коммерческом бюро является довольно объемным. Например, для получения сертификата Verisign необходимо выполнить семь шагов.

1. Подтверждение организации.
2. Подтверждение имени домена.
3. Генерация запроса на подпись сертификата (Certificate Signing Request, CSR).
4. Отправка CSR и выбор программного обеспечения сервера.
5. Завершение и подтверждение приложения.
6. Ожидание обработки и окончательной верификации.
7. Установка ID.

Подтверждение организации

При подтверждении организации Verisign сначала использует ваш номер Dun and Bradstreet D-U-N-S (девятизначный номер, идентифицирующий компанию). При отсутствии номера D-U-N-S или невозможности идентификации с помощью номера D-U-N-S (например, продолжается процесс регистрации) отобразится запрос на подтверждение организации посредством следующих документов.

• Регистрационные документы.
• Лицензия на деятельность.
• Сертификат образования.
• Участие в бизнесе.
• Регистрация торговой марки.
• Лицензии.
• Соглашения о сотрудничестве.
• Заключение о вымышленности имен.

Подтверждение доменного имени

Что еще понадобится Verisign для подтверждения того, что вы являетесь действительным владельцем домена, для которого приобретается сертификат. Verisign просто сопоставит информацию, введенную на этапе подтверждения организации, с регистрационными данными домена. Для доменов .com, .net и .org информацию о домене можно получить по адресу http://www.netsol.com/cgi-bin/whois/whois. По каким-либо причинам ваша информация может не подтвердиться, например, вы не являетесь владельцем доменного имени верхнего уровня, либо кто-то еще зарегистрировал домен для вас под другим именем. В этом случае воспользуйтесь одной из следующих рекомендаций.

• Отправьте письмо авторизации домена от владельца домена, посредством которого вы будете авторизованы для работы с данным доменом.
• Измените регистрационные данные и уведомите Verisign по электронной почте.
• Отправьте подтверждение юридических взаимоотношений между вами и владельцем домена.
• Отправьте подтверждение легальной смены зарегистрированного имени.

Генерирование запроса на подпись сертификата (CSR)

Данный этап представляет собой лишь процесс создания запроса на сертификат в IIS, который мы подробно рассматривали выше. Общим именем является полный URL веб-сайта, на котором устанавливается сертификат; в противном случае он будет работать неправильно. Например, если веб-сайт вызывается посредством ввода в адресной строке адреса www.beer-brewers.com, следует указать общее имя www.beer-brewers.com, а не просто beer-brewers.com.

Отправка CSR и выбор программного обеспечения сервера

При отправке запроса в Verisign нужно будет открыть файл, созданный во время работы мастера сертификатов веб-сервера в текстовом редакторе типа Notepad (Блокнот), и скопировать его содержимое в форму интернет-регистрации Verisign. После этого следует выбрать программное обеспечение сервера (в нашем примере – IIS).

Завершение и подтверждение приложения

На данном этапе снова происходит проверка общего имени (общие имена играют важную роль), а также получение контактной информации и данных об оплате.

Ожидание обработки и окончательная проверка

Verisign обрабатывает введенные данные и проверяет информацию о платеже. Этот процесс занимает от трех до пяти минут. Контактная информация организации, определенная на предыдущем этапе, используется для окончательной проверки.

Установка ID

После верификации и проверки всей информации Verisign отправит сертификат по указанному вами техническому адресу электронной почты. Теперь нужно установить сертификат (об этом пойдет речь чуть позже в разделе "Установка сертификата SSL").

Отправка запроса на сертификат клиента из оснастки MMC Certification Authority

Запрос на сертификат можно отправить с помощью консоли MMC Certification Authority (Бюро сертификатов) (см. рис. 10.5).

1. Откройте консоль MMC Certification Authority (Бюро сертификатов) с помощью команды Start\Administative Tools\Certificates (Пуск\Администрирование\Certificates).
2. Щелкните правой кнопкой мыши на имени бюро сертификатов (на рисунке 10.5 это имя Mine) и выберите команду All Tasks\Request New Certificate (Все задачи\Запросить новый сертификат).
3. Нажмите на кнопку Next (Далее) в приветственном окне.
4. Выберите тип запрашиваемого сертификата, после чего нажмите на кнопку Next (Далее).
5. Присвойте сертификату информативное имя и нажмите на кнопку Next (Далее).
6. Нажмите на кнопку Finish (Готово).

Отправка запроса на сертификат клиента из Интернет

Для отправки запроса на сертификат клиента из интернета выполните следующие шаги.

1. В браузере введите адрес http://<ваш_сервер>/certsrv, заменив <ваш_сервер> IP-адресом или URL вашего бюро сертификатов.
2. Щелкните на ссылке Request A Certificate (Запросить сертификат).
3. Щелкните на ссылке Web Browser Certificate (Сертификат веб-браузера).
4. Введите всю необходимую информацию, после чего нажмите на кнопку Next (Далее).
5. Для отдельного бюро сертификатов вам необходимо дождаться подтверждения запроса администратором. Для корпоративного бюро сертификат будет отображен немедленно.

Выпуск и отклонение сертификатов на отдельном бюро сертификатов

После выполнения запроса сертификат будет находиться в папке ожидающих запросов Pending Requests. Выполните для сертификата команду Issue (Выпустить) или Deny (Отклонить). После выпуска сертификат можно будет использовать. Ниже приведена последовательность действий по выпуску сертификата.

1. Откройте консоль MMC Certification Authority (Бюро сертификатов).
2. Щелкните на папке Pending Requests (см. рис. 10.6).
3. Щелкните правой кнопкой мыши на сертификате и выберите команду All Tasks\Issue (Все задачи\Выпустить).

Загрузка сертификата браузера из интернета

После выпуска сертификата запросившее его лицо выполнит его установку и начнет использование сертификата. Для установки выпущенного сертификата выполните следующие действия.

1. Вернитесь на страницу http://<ваш_сервер>/certsrv, заменив <ваш_сервер> на IP-адрес или URL вашего бюро сертификатов.
2. Щелкните на ссылке View The Status Of A Pending Certificate Request (Просмотреть состояние запроса на сертификат в ожидании).
3. Щелкните на ссылке Web Browser Certificate (Сертификат веб-браузера).
4. Щелкните на ссылке Install This Certificate (Установить этот сертификат).

Установка сертификата SSL

После получения сертификата от бюро сертификатов его нужно установить.

1. Откройте консоль IIS MMC с помощью команды Start\Administrative Tools\Internet Information Services (IIS) Manager (Пуск\Администрирование\Диспетчер IIS)
2. Щелкните правой кнопкой мыши на соответствующем виртуальном сервере и выберите Properties (Свойства).
3. В консоли MMC откройте вкладку Directory Security (Безопасность каталога).
4. В области Secure Communication (Безопасное соединение) нажмите на кнопку Server Certificate (Сертификат сервера).
5. В окне приветствия нажмите на кнопку Next (Далее).
6. Выберите переключатель Process The Pending Request And Install The Certificate (Обработать запрос в ожидании и установить сертификат).
7. Нажмите на кнопку Browse (Обзор) и выберите полученный сертификат.
8. Нажмите на кнопку Next (Далее).
9. Мастер предложит изменить номер порта SSL. Значением по умолчанию является 443, и изменять его без нужды не следует, поскольку клиенты по умолчанию устанавливают SSL-соединение через порт 443.
10. Отобразятся детальные сведения о сертификате. Нажмите на кнопку Next (Далее).
11. Если выпустившая сертификат сторона не является доверенное, появится предупреждение о том, что этой стороне доверять не следует. Помните, при создании собственного сертификата он выпускается бюро, не имеющим доверия со стороны браузера, поскольку бюро отсутствует в списке доверенных бюро сертификатов браузера.
12. Нажмите на кнопку Finish (Готово).

Поздравляем! Сертификат установлен!

Настройка параметров SSL

После установки сертификата пользователи могут работать через безопасное соединение. По умолчанию веб-сайт не требует безопасных соединений. Примите решение о применении такого соединения ко всему сайту или только к конкретному каталогу. Шифрование снижает производительность сайта, поэтому безопасное соединение требуется для работы с теми каталогами, которым это необходимо.

Выберите любую из следующих опций.

• Enable encryption on the entire site or individual directories (Включить шифрование для всего сайта или для отдельных каталогов).
• Require 128-bit encryption (Требовать 128-битное шифрование) (если оставить эту опцию отключенной, то будет разрешено 40-битное шифрование).
• Ignore, accept if offered, or require client certificates (Игнорировать, принимать, если предлагаются, или требовать сертификаты клиентов).
• Enact certificate mapping (Требовать связывание сертификатов).
• Use client trust lists (Использовать перечни доверия клиентов).

Сертификат для веб-сайта настраивается в окне Secure Communications (Безопасные соединения).

1. Откройте оснастку IIS MMC.
2. Щелкните на виртуальном сайте, где установлен сертификат.
3. Щелкните правой кнопкой мыши на виртуальном узле при настройке сертификатов для всего сайта целиком либо щелкните правой кнопкой мыши на папке при настройке сертификатов только для определенного каталога. Выберите Properties (Свойства).
4. В окне свойств откройте вкладку Directory Security (Безопасность каталога).
5. В окне Secure Communications (Безопасные соединения) (см. рис. 10.7) отметьте опцию Enable Client Certification (Включить сертификаты клиентов) и нажмите на кнопку Edit (Изменить). В появившемся окне настраиваются параметры сертификатов.

В окне Secure Communications включите опцию Require Secure Channel (SSL) (Требовать безопасный канал (SSL)) для выполнения обязательного шифрования. Можно затребовать 128-битное шифрование, отметив соответствующую опцию. В этом случае веб-сервер будет устанавливать соединение только с теми браузерами, которые поддерживают 128-битное шифрование. Если выбрать опцию Require Client Certificates (Требовать сертификаты клиентов) в области Client Certificates (Сертификаты клиентов), то всем посетителям, не имеющим сертификата клиента, будет отказано в доступе. С помощью сертификатов клиентов нельзя будет осуществлять какой-либо контроль доступа до тех пор, пока вы не настроите связывание сертификатов или перечни доверия сертификатов.

Связывание сертификатов клиентов с учетными записями пользователей

Настроив в IIS связывание сертификатов, можно связать сертификат клиента с определенной учетной записью пользователя, либо связать с одной учетной записью пользователя группу сертификатов, соответствующую определенному критерию.

Связь "один ко многим"

Связь "один ко многим" сравнивает сертификат, передаваемый пользователем, с сертификатом, сохраненным на сервере. В случае их совпадения аутентификация завершается успешно. С помощью сертификатов клиентов сервер осуществляет аутентификацию клиентов, поэтому данный вариант целесообразен при отсутствии анонимного доступа к сайту. При создании клиентом нового сертификата с такой же информацией он не сможет пройти аутентификацию через ту же самую связь "один к одному" поскольку новый сертификат не будет соответствовать сертификату на сервере. Связь "один к одному" следует создать заново из нового сертификата.

Для применения связи "один к одному" нужно экспортировать сертификаты клиентов из бюро сертификатов. Это делается в консоли Certification Authority (Бюро сертификатов).

1. Выберите команду Start\Administrative Tools\Certification Authority (Пуск\Администрирование\Бюро сертификатов).
2. В оснастке Certification Authority (Бюро сертификатов) выберите Issued Certificates (Выпущенные сертификаты).
3. Щелкните правой кнопкой мыши на сертификате, который требуется экспортировать, и выберите All Tasks\Export Binary Data (Все задачи\Экспорт двоичных данных).
4. В диалоговом окне Export Binary Data (Экспорт двоичных данных) выберите в ниспадающем списке пункт Binary Certificate (Двоичный сертификат) (он включен по умолчанию).
5. Выберите переключатель Save Binary Data To A File (Сохранить двоичные данные в файл).
6. Присвойте файлу информативное имя, например, имя пользователя.
7. Сохраните файл в доступном для веб-сервера месте либо на гибком диске.
8. Нажмите на кнопку Save (Сохранить).

После экспортирования сертификата настройте в IIS связь "один к одному".

1. Откройте консоль IIS MMC с помощью выбрав Start\Administrative Tools\Internet Information Services (IIS) Manager (Пуск\Администрирование\Диспетчер IIS).
2. Откройте окно свойств веб-сайта, для которого настраивается связь сертификата клиента, щелкнув правой кнопкой мыши на сайте и выбрав Properties (Свойства).
3. В окне свойств откройте вкладку Directory Security (Безопасность каталога).
4. В области Secure Communications (Безопасные соединения) нажмите на кнопку Edit (Изменить).
5. В окне Secure Communications (Безопасные соединения) отметьте опцию Enable Client Certificate Mapping (Включить связи сертификатов клиентов), после чего нажмите на кнопку Edit (Изменить).
6. В окне Account Mappings (Связи учетной записи) откройте вкладку "1-to-1" (Один к одному) (она открывается по умолчанию).
7. Нажмите на кнопку Add (Добавить).
8. В окне Open (Открыть) перейдите к каталогу с сохраненным экспортированным сертификатом и выделите его.
9. Нажмите на кнопку Open (Открыть).
10. В окне Map To Account (Связать с учетной записью) присвойте связи информативное имя.
11. Нажмите на кнопку Browse (Обзор) для выбора учетной записи, с которой нужно установить связь.
12. Выберите учетную запись, нажмите на кнопку OK, и эта запись появится в окне Map To Account (Связать с учетной записью).
13. Введите пароль учетной записи.
14. Нажмите на кнопку OK.
15. Подтвердите пароль.
16. Нажмите на кнопку OK.

Связь "один ко многим"

Посредством связи "много к одному" сопоставляется набор критериев с сертификатами пользователей. При соответствии этой информации клиент проходит аутентификацию. При связи "много к одному" осуществляется аутентификация нескольких пользователей посредством одного правила. Например, можно связать все сертификаты, выпущенные определенным бюро сертификатов, с одной учетной записью пользователя. Это может целесообразно для аутентификации пользователей из компании-партнера, использующей другое бюро сертификатов. Поскольку связи "много к одному" сопоставляют информацию, а не сертификаты, то при создании пользователем нового сертификата с той же самой информацией он по-прежнему будет успешно проходить аутентификацию. В этом случае не нужно извлекать сертификаты, как при работе со связями "один к одному". Правила "много к одному" обрабатываются по порядку; первое правило, соответствие которому обнаруживается, аутентифицирует пользователя. Следовательно, последнее правило откажет в доступе всем пользователям.

Перед созданием набора правил узнайте, какие поля должны присутствовать в сертификате, используемом при работе с этими правилами.

1. В Windows Explorer дважды щелкните на файле сертификата (.cer).
2. Нажмите на кнопку Details (Детали).
3. На вкладке Details (Детали) окна Certificate (Сертификат) (см. рис. 10.8) в записях Issuer и Subject расположена полезная информация.

С учетом этой информации создайте правило отказа в доступе по умолчанию.

1. Откройте консоль IIS MMC.
2. Откройте окно Properties (Свойства) веб-сайта, для которого настраивается связь сертификата клиента, после чего откройте вкладку Directory Security (Безопасность каталога).
3. Убедитесь, что в области Secure Communications (Безопасные соединения) отмечена опция Enable Client Certificate Mapping (Включить связывание сертификатов клиентов), после чего нажмите на кнопку Edit (Изменить).
4. Откройте вкладку Many-to-1 (Много к одному) в окне Account Mapping (Связи с учетными записями).
5. Нажмите на кнопку Add (Добавить).
6. В окне General (Общие) присвойте правилу Wilcard Matching Rule (Правило соответствия по групповому символу) информативное имя, например, "Отказ всем". Опция Enable This Wildcard Rule (Включить это правило группового символа) должна быть отмечена по умолчанию.
7. Нажмите на кнопку Next (Далее), затем – на кнопку New (Создать).
8. В окне Rules (Правила) выберите критерий, которому будет удовлетворять каждый сертификат, например:
   • поле Certificate: Issuer;
   • поле Sub: CN;
   • критерий: * (Символ "*" соответствует любой возможной записи).
    
9. Оставьте отмеченной опцию Match Capitalization (Сопоставлять регистр).
10. Нажмите на кнопку OK, после чего нажмите на кнопку Next (Далее).
11. В окне Mapping (Связывание) выберите переключатель Refuse Access (Отклонить доступ).
12. Нажмите на кнопку Finish (Готово).

Теперь всем посетителям будет отказано в доступе, независимо от их сертификатов. Следующим шагом, разумеется, будет определение правил, разрешающих доступ.

1. В окне Account Mappings (Связи с учетными записями) (см. шаги 3 и 4 предыдущей процедуры) нажмите на кнопку Add (Добавить).
2. В окне General (Общие) присвойте правилу некоторое информативное имя, например, "Инженерный отдел".
3. Оставьте отмеченной опцию Enable This Wildcard Rule (Включить это правило группового символа).
4. Нажмите на кнопку Next (Далее), затем – на кнопку New (Создать).
5. В окне Rules (Правила) выберите соответствующий параметр, например:
   • поле Certificate: Subject;
   • поле Sub: OU;
   • критерий: Инженерный.
    
6. Не забудьте включить или отключить опцию Match Capitalization (Сопоставлять регистр) (при необходимости). Данная опция включена по умолчанию.
7. Если этой информации достаточно для определения аутентифицируемой группы, то нажмите на кнопку Next (Далее). В противном случае нажмите на кнопку New (Создать) еще раз для добавления нужного количества правил.
8. В окне Mapping (Связывание) выберите имя и укажите пароль учетной записи, с которой следует установить связь.
9. Нажмите на кнопку Finish (Готово).
10. Введите пароль еще раз в появившемся окне Confirm Password (Подтвердите пароль).
11. Нажмите на кнопку OK.
12. Убедитесь, что правила расположены в нужном порядке (см. рис. 10.9). Все, что расположено ниже правила отклонения, будет игнорироваться. С помощью кнопок Move Up (Вверх) и Move Down (Вниз) выполните упорядочивание списка.
13. Нажмите на кнопку OK для закрытия окна Account Mappings (Связи с учетными записями).

Архивация и восстановление сертификата

При архивации сертификата SSL необходимо вместе с сертификатом заархивировать секретный ключ.

Для архивирования сертификата и секретного ключа выполните следующие действия.

1. Откройте консоль Certification Authority (Бюро сертификатов) с помощью команды Start\Administrative Tools\Certification Authority (Пуск\Администрирование\Бюро сертификатов).
2. Щелкните на значке "+" рядом с пунктом Personal (Личное).
3. Щелкните на папке Certificates (Сертификаты).
4. Щелкните правой кнопкой мыши на сертификате и выберите Export (Экспорт).
5. Нажмите на кнопку Next (Далее).
6. Выберите опцию Yes, Export The Private Key (Да, экспортировать секретный ключ).
7. Выберите опцию Personal Information Exchange (Обмен личной информацией).
8. Отметьте опцию Include All Certificates In The Certification Path, If Possible (Если возможно, включить все сертификаты в папку сертификатов). Отключите все остальные опции.
9. Нажмите на кнопку Next (Далее).
10. Укажите пароль, после чего нажмите на кнопку Next (Далее).
11. Нажмите на кнопку Browse (Обзор).
12. Присвойте файлу информативное имя и выберите каталог для сохранения.
13. Нажмите на кнопку Save (Сохранить), затем – на кнопку Next (Далее), далее – на кнопку Finish (Готово).

Для восстановления сертификата выполните следующие действия.

1. Откройте консоль IIS MMC.
2. Щелкните правой кнопкой мыши на виртуальном сервере, для которого нужно восстановить сертификат, и выберите Propeties (Свойства).
3. В области Secure Communications (Безопасные соединения) вкладки Directory Security (Безопасность каталога) окна свойств нажмите на кнопку Server Certificate (Сертификат сервера).
4. Откроется окно Welcome To The Web Server Certificate Wizard (Добро пожаловать в мастер сертификатов веб-сервера). Нажмите на кнопку Next (Далее).
5. Выберите опцию Import Certificate From A .pfx File (Импортировать сертификат из файла .pfx). Нажмите на кнопку Next (Далее).
6. Нажмите на кнопку Browse (Обзор) и выберите нужный файл .pfx. Нажмите на кнопку Next (Далее).
7. Введите пароль. Нажмите на кнопку Next (Далее).
8. Мастер предложит указать номер порта SSL. По умолчанию указан порт 443, и его номер не следует менять без веских оснований, поскольку клиенты будут по умолчанию устанавливать SSL-соединение через порт 443.
9. Нажмите на кнопку Next (Далее).
10. Отобразятся сведения о сертификате. Нажмите на кнопку Next (Далее), затем – на кнопку Finish (Готово).