Активизация IIS

Компонент IIS по умолчанию в ОС Windows Server 2003 не установлен, целью данного этапа является его установка и проверка его функционирова- ния с автоматически генерируемой web-страницей.

ВЫПОЛНИТЬ!

1. Установить компонент Internet Information Services (Control Panel ? Ad- ministrative Tools ? Manage Your Server).

В открывшемся диалоговом окне необходимо выбрать пункт «Add or remove a role», после чего ОС автоматически определит текущие сетевые на- стройки и отобразит диалоговое окно со списком возможных задач, выпол- няемых сервером (рис. 5.39). В этом списке необходимо выбрать пункт

«Application servers (IIS, ASP.NET)». Установка дополнительных компонентов сервера FrontPage Extensions и ASP.NET не является обязательной, поэтому

может быть пропущена. В результате указанных действий будут установлены компоненты, необходимые, в том числе для запуска web-сервера. Процесс ус-

тановки может занять несколько минут, и для его успешного завершения по-

надобится дистрибутив Windows Server 2003.

Рис. 5.39. Выбор пункта «Application servers (IIS, ASP.NET)»

Рис. 5.40. Отображение web-страницы при обращении к серверу

После установки и перезагрузки web-сервер IIS автоматически запуска- ется, в качестве стартовой используется автоматически генерируемая web- страница (рис. 5.40). Отображение этой страницы при обращении к серверу по его IP-адресу с указанием протокола HTTP говорит о том, что сервер отве- чает на HTTP-запросы клиента (программы Internet Explorer). В результате выполнения данного этапа мы получили функционирующий web-сервер под управлением IIS.

ВЫПОЛНИТЬ!

2. Запустить анализатор сетевого трафика и просмотреть содержимое переда- ваемой между клиентом и сервером информации. Убедиться, что HTTP- запрос и HTTP-ответ передаются в открытом виде.

5.11.2. Генерация сертификата открытого ключа для web-сервера

Как указывалось выше, для шифрования передаваемой информации клиент и сервер должны получить общий ключ симметричного шифрования. В протоколе транспортного уровня данный ключ генерирует клиент и отправ- ляет серверу. Однако для отправки ключа клиент применяет его зашифрова- ние с использованием открытого ключа сервера, который должен быть извес- тен клиенту. Для передачи открытого ключа применяется механизм сертифи- катов, цель которого обеспечить подлинность передаваемого открытого клю- ча. Таким образом, сервер должен иметь сертификат своего открытого ключа, который в общем случае должен быть подписан одним из доверенных центров сертификации.

В связи с тем, что мы организуем VPN-соединение в локальной сети учебного компьютерного класса, то в процессе работы самостоятельно сгене- рируем сертификат открытого ключа и создадим его ЭЦП. Для этой цели нам

понадобится Центр сертификации, для работы с которым необходимо доба- вить компонент Certificate Services (Службы сертификации). В процессе уста- новки необходимо будет указать имя Центра сертификации (например,

«Mycompany»), остальные настройки можно оставить по умолчанию.

После установки Центра сертификации необходимо от имени web-

сервера выполнить запрос на получение нового сертификата.

ВЫПОЛНИТЬ!

3. Установить компонент Certificate Services (Control Panel ? Add or Remove

Programs ? Add/Remove Windows Components, рис. 5.41).

4. Запустить оснастку Internet Information Services (IIS) Manager (Control

Panel ? Administrative Tools ? Internet Information Services (IIS) Man-

ager).

5. В разделе «Web Sites» (рис. 5.42) выбрать компонент «Default Web Site», щелкнуть на нем правой кнопкой и выбрать пункт «Properties» в контекст- ном меню. Далее выбрать вкладку «Directory Security» и нажать кнопку

«Server Certificate…» в открывшемся окне (рис. 5.43).

Рис. 5.41. Выбор компонента Certificate Services

Рис. 5.42. Оснастка Internet Information Services (IIS) Manager

Будет запущен «мастер», позволяющий сформировать запрос на выдачу сертификата открытого ключа к Центру сертификации (Certification Authority). Необходимо выбрать опцию «Create a new certificate» (создать новый серти- фикат), а затем «Prepare the request, but send it later» (подготовить запрос, но отправить его позже). Будет предложено заполнить исходные данные, на ос- новании которых будет выдан сертификат, в том числе наименования органи- зации (Organization) и организационного подразделения (Organizational unit). Кроме того, необходимо указать доменное имя web-сайта (например,

«www.mycompany.com») и его географическое местонахождение. Затем будет предложено сохранить текст запроса в виде текстового файла (рис. 5.44), со-

держимое которого необходимо отправить в Центр сертификации. Данный файл содержит открытый ключ web-сервера и заполненные сведения.

Так как Центром сертификации также является наш узел, то процесс от- правки полученного текстового файла упрощается и заключается лишь в об- работке данного файла с использованием оснастки Certification Authority (рис.

5.45). Результатом обработки будет создание файла-сертификата открытого ключа в формате X.509.

Рис. 5.43. Вкладка «Directory Security» окна свойств web-сайта

Рис. 5.44. Сохранение запроса сертификата

ВЫПОЛНИТЬ!

6. Запустить оснастку Certification Authority (Control Panel ? Administrative

Tools ? Certification Authority).

Рис. 5.45. Оснастка Certification Authority

Для добавления запроса необходимо из контекстного меню компонента

«Mycompany» (в рассматриваемом примере) выбрать пункт All Tasks ?

Submit new request… Будет предложено выбрать файл с текстом запроса (он

был создан ранее). Запрос добавляется в каталог «Pending Requests», чтобы обработать его, нужно из контекстного меню его записи выбрать пункт

All Tasks ? Issue. Обработанный сертификат помещается в каталог «Issued

Certificates». Чтобы сохранить сертификат в виде файла на жесткий диск, не-

обходимо дважды щелкнуть на нем, перейти на вкладку «Details» и нажать кнопку «Copy to File…». Будет запущен «Мастер экспорта сертификатов», в

котором нужно выбрать формат экспортируемого файла (выбрать «DER

encoded binary X.509»), а также указать его имя (например, «c:\certnew.cer»).

ВЫПОЛНИТЬ!

7. Создать файл-сертификат открытого ключа.

Таким образом, сгенерирован файл-сертификат открытого ключа, кото-

рый теперь может быть использован для организации VPN-соединения.

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс