"RBS BS-İstemcisi. Özel İstemci" v.2.5

Erişim kanalı kurulumu. TLS/SSL protokolleri

Sürüm 2.5.0.0

1. Özet

Bu belge, derlendiği tarihte geçerli olan bilgileri içerir. bu belge için afların geçerliliğini garanti etmez. önceden haber vermeksizin belgede değişiklik yapma hakkını saklı tutar.

Bu belge sistem yöneticilerine yöneliktir.

Belge, istemci/sunucu arasındaki geleneksel bilgi koruma görevlerinin üstesinden gelmek için kullanılan TLS/SSL protokolleriyle sistemdeki çalışma hakkında bilgi içerir.

1. Özet. 2

2. TLS/SSL protokollerinin çalışma prensipleri. 4

3. Güvenli Yuva Katmanı (SSL). 6

3.1. SSL Sertifikası Oluşturma 7

3.2. SSL Sertifika Kurulumu 14

3.3. Bir web sitesinde SSL kurma. 17

4. Aktarım Katmanı Güvenliği (TLS). on sekiz

4.1. İki yönlü SSL (TLS) kurulum sırası 18

4.2. Web sunucusunun bir sertifikasını ve gizli anahtarlarını oluşturma. on dokuz

4.3. Sunucu sertifikası yükleme (web sunucusu bilgisayarında imzalanmış) 22

4.4. Bir Web sitesine sertifika vermek. 31

4.5. Bir web sitesinde iki yönlü SSL kurma. 35

4.6. BSI - 2 yönlü SSL 36 için RTS bağlantı kurulumu

4.7. İstemcinin bir sertifika ve gizli anahtarlarının oluşturulması. 38

4.8. İstemci sertifikası yükleme (istemcinin bilgisayarında imzalanmış) 39

2. TLS/SSL protokollerinin çalışma prensipleri

Müşteri hesabının ve Banka'nın "Özel Müşteri" sisteminde kurulması için bilgilerin korunması için gerekli olabilecek iki kanal aktarılmıştır:

SSL - Güvenli Yuva Katmanı

TLS - Aktarım Katmanı Güvenliği

TLS/SSL protokolleri, istemci/sunucu ortamında aşağıdaki gibi yorumlanan geleneksel bilgi alışverişini güvence altına alma görevlerinin üstesinden gelmek için tanınır:

· Sunucuya bağlanan Koristuvach, bilgilerin bir yedek sunucu ile değil, kullanmanız gereken (ve ayrıca merak uyandıran, özet olmayan, miras). Zengin eklentiler için, sunucunun şifreye müdahale etmeden istemciyi anında tanımlayabilmesi de gereklidir;

· Sunucu ve istemci arasındaki verilerin yüklenmesinden sonra, aralarındaki tüm bilgi akışı yetkisiz erişim hırsızlığından kaynaklanmaktadır;

· Bilgi alışverişinde bulunurken, taraflar iletim saatinde vipadkovyh chi dikkatli zamanlarının varlığından sorumludur.

TLS/SSL protokolleri aşağıdaki sırayla ihlal edilir:

· Ortakların kimlikleri, asimetrik kriptografi varyantına (örneğin, RSA, GOST (CryptoPro TLS varyantı ile) de bağlanabilir). Bu kimlik doğrulama isteğe bağlı olabilir veya ortaklardan biri için gerekli olabilir.

· Gizlilik Politikası. Simetrik şifreleme, verileri şifrelemek için kullanılır (örneğin, DES, RC4, GOST (eğer CryptoPro TLS galip gelirse)). Şifreleme anahtarları, dış görünüm şifrelemesi için bağımsız olarak oluşturulur ve başka bir protokolün (TLS diyalog protokolü gibi) desteklenmesi için gerekli olan gizli bir koda dayanır.

· Z'ednannya є nadіynim. Bildirim aktarım prosedürü, ek MAC hesaplaması için numaranın yeniden kontrol edilmesini içerir. MAC'i çözümlemek için karma işlevleri (örn. SHA, MD5 vb.) kullanılır.

Taşıma protokolü, kurulu mantıksal devrelerden (örneğin, TCP) gelen protokol tarafından yenildiğinden ve iki toptan oluştuğundan, bu protokoller sınırda olabilir. İlk top, uygulama protokolünü ve üç sözde el sıkışma protokolünü içerir: SSL oturum protokolü (Handshake Protokolü), Change Cipher Spec Protocol ve Alert Protocol. Diğer top tse t.z. kayıt protokolü.

Şifreli oturumların kurulması veya yenilenmesi için el sıkışma protokolleri gereklidir.

Kayıt protokolü aşağıdaki işlevlere sahiptir:

· Uygulanan seviyedeki verileri, emirleri bloklara bölün ve uygulanan seviyeye iletimin girdi bloklarını seçin.

· Çıktı verilerini sıkıştırın ve girdi verilerini açın.

· Girdilerin bütünlüğünü kontrol etmek için verilerin çıkış bloklarına ve MAC eklerine bir MAC veya karma ekleyin.

· Çıktıyı şifreleyin ve veri giriş bloklarının şifresini çözün.

Aktarılan verileri şifrelemek için simetrik şifreleme kullanılır, böylece tek ve aynı anahtar şifrelenmiş verileri hem şifreleyebilir hem de şifresini çözebilir.

Dış görünüm tarafında, veri şifreleme için galip gelen, alınan / iletilen iki anahtar seti (her iki taraf için aynı) ve MAC (HMAC) oluşturmak için galip gelen iki anahtar seti vardır.

İletim sırasında, veriler bloklara bölünür, cilt bloğu için MAC hesaplanır (veya TLS durumunda HMAC), iletilen bloğa hiçbir değer eklenmez, ardından cilt bloğu seri anahtarla şifrelenir ve alıcı tarafa iletilir.

Alındıktan sonra bloğun şifresi çözülür, MAC yenisine (veya TLS'de HMAC) göre hesaplanır, değerler bloktan sonra aktarılan değerlere eşittir (veri bütünlüğü kontrolü).

CryptoPro TLS yazılımı dışında, GOST'a kadar geçerli kriptografik şifreleme algoritmalarını zastosovuvat, Diff-Hellman algoritması için anahtar alışverişi ve GOST R 34.11-94'e kadar geçerli hashing yapmak mümkün hale gelir.

Windows için SSL/TLS protokollerinin standart uygulaması, RSA algoritmasıyla doğru şekilde çalışacak şekilde tasarlanmıştır.

TLS'nin Özellikleri

TLS, Netscape tarafından yayınlanan SSL 3.0 protokol belirtiminin dışındadır. Bu protokol ile SSL 3.0 arasındaki detaylar önemsizdir ancak oldukça yeterlidir, yani TLS 1.0 ve SSL 3.0 herhangi bir yardım almadan kullanılabilir (TLS 1.0 bir mekanizma olabilirse, böyle bir program yardımı için destekleyebilirler. SSL 3.0).

SSL bağlantı noktaları için TLS'de Polypshennya:

· TLS, güncellemenin karmasını hesaplamak için SSL'de değiştirilmiş MAC (Mesaj Kimlik Doğrulama Kodu) algoritmasına sahiptir ve daha kararlı HMAC (Mesaj Kimlik Doğrulama Kodu için anahtarlı-Hashing) algoritmasının yerini almıştır.

· RFC 2246'da TLS protokolü standardizasyonları

· Bazı sinyal mesajları eklendi

· TLS, uyumlu (rootsuz) CA tarafından verilen sertifikaların doğrulanmasına izin verir.

· TLS, blok şifreleme algoritmalarıyla eşleşen özel dolgu blok değerlerine sahiptir.

· Fortezza algoritmaları TLS RFC'den önce dahil edilmez, pis koku parçaları genel incelemeye tabi değildir (İnternet Mühendisliği Görev Gücü (IETF) politikası)

· Farklı alanlardaki yetki ilkeleri iyileştirildi.

SSL zaferleri ile artılar ve eksiler

Artıları:

İstemcinin bilgisayarına ek yazılım yüklenmesini gerektirmez.

En az sistem kaynağı miktarı, trafiğin en az kaynak tüketen simetrik kriptografik algoritmalar tarafından korunduğu anlamına gelir.

Eksileri:

Taraflar arasında Іsnuє anahtar bilgi alışverişi.

TLS zaferleriyle artılar ve eksiler

Artıları:

Trafiğin şifrelenmesi, paketlerin imzalanması ve anahtar bilgilerin değiş tokuşu için, SSL durumunda daha düşük olmak üzere daha gelişmiş algoritmalar kullanılır.

Eksileri:

Bu varyantın seçimi yalnızca CryptoPro CSP/TLS'nin kriptografisini anlamak adına anlaşılabilir.

İstemcinin (CryptoPro) çalışma alanına ek bir ürün yazılımı yüklemek gerekir.

3. Güvenli Yuva Katmanı (SSL)

Secure Socket Layer (SSL), 1996 yılında Netscape tarafından yayınlanan ve bir istemci web tarayıcısı ve bir web sunucusu tarafından güvenli bir şekilde korunan bir güvenlik protokolüdür. SSL, web tarayıcılarının ve web sunucularının çoğunun entegre bir parçasıdır ve RSA algoritmasının arkasındaki muzaffer şifrelemedir. SSL protokolü, iki ana ambarın yardımıyla veri iletimini güvence altına alır:

· Kimlik doğrulama;

· Şifreleme.

SSL protokolünü kullanarak şifreli bir saldırı oluşturmak için web sunucusuna dijital bir SSL sertifikası eklemek gerekir. Dijital SSL sertifikası, herhangi bir yere bağlanana kadar sunucuyu benzersiz şekilde tanımlayan bir dosyadır. Dijital sertifikaya bazen dijital pasaport veya dijital kimlik "dijital kimlik" denir.

SSL sertifikası aşağıdaki rapor bilgilerini içerir:

· Sertifikanın verildiği alan;

Vlasnik sertifikası;

· Bir WWW sunucusu kurmak ve iki yönlü SSL (TLS) ile çalışan bir İnternet istemcisi için yeni bir web sitesi oluşturmak.

· BSI modülünün ayarlanması.

· RTS modülünün ayarlanması.

· Anahtar oluşturma ve Web sunucusu sertifikası talebi.

· İstemci sertifikasının oluşturulması.

· Bilgisayarda sertifikaların kurulumu.

· Kurtarma Web Sunucusuna bir sertifika atama.

· Web sitesinde iki yönlü SSL (TLS) kurun.

4.2. Bir Web sunucusunun sertifikasını ve gizli anahtarlarını oluşturma

Anahtar üretimi ve bir Web sunucusu sertifikası talebi, standart RBS yöntemleri kullanılarak yapılabilir.

Bunun için Güvenlik -> Kriptozakhist -> El ile sertifika oluşturma menü öğesini seçin.

ð Bir diyalog görüntülenir Sertifika ve gizli anahtar için istek oluşturma(Mal. 4-1).

Pirinç. 4-1 Sertifika ve gizli anahtar için istek oluşturma

https://pandia.ru/text/78/460/images/image023_1.jpg" width="411" height="466 src=">

Pirinç. 4‑3 CryptoPro CSP Özellikleri İletişim Kutusu

· Yer işaretine git "Hizmet" ve düğmeye basın « Düzenlemek Kişisel Sertifika" .

"Özel sertifika kurulum sihirbazı"(Mal. 4-4).

Pirinç. 4‑4 Diyalog penceresi « Özel sertifika kurulum sihirbazı

· İleri düğmesine basın.

Sertifika alma (Mad. 4-5).

Pirinç. 4‑5 Sertifika yüklemek için iletişim kutusu

· Gerekli sertifika dosyasını seçin ve "İleri" düğmesine basın.

ð Sertifikanın kurulum zamanı gelecek (Mal. 4-6).

Pirinç. 4‑6 Sertifika yüklemek için iletişim penceresi

· İleri düğmesine basın.

ð Sertifikayı yüklemek için diyalog penceresini göreceksiniz (Mal. 4-7).

Pirinç. 4-7 Bir sertifika yüklemek için iletişim penceresi

· Bir anahtar kapsayıcı seçerken, "Bilgisayar" girin, ardından gerekli kapsayıcıyı seçin. "İleri" düğmesine basın.

ð Sertifikayı yüklemek için bir iletişim penceresi göreceksiniz (Mal. 4‑8).

Pirinç. 4-8 Bir sertifika yüklemek için iletişim penceresi

· Gözat düğmesini tıklayın.

ð Bir diyalog penceresi gördüğünüzde « Seçmesertifikamağaza"(Mal. 4-9).

https://pandia.ru/text/78/460/images/image030.jpg" width="502" height="385 src=">

Pirinç. 4-10 Bir sertifika yüklemek için iletişim penceresi

· Bitir düğmesine basın.

ð Bu şekilde, gizli anahtarların konteyneri ile aynı işletim sistemi seviyesinde kurulu bağlantıdan yerel bilgisayarı kişiselleştirmek için sunucu sertifikasını kullanın.

Bir sertifika yüklemek için ana Windows menü öğelerini kullanabilirsiniz. « Başlat- > koş" .

ð Pencereyi gördüğünüzde « Çalıştırmak"(Mal. 4-11).

Microsoft" href="/text/category/microsoft/" rel="bookmark">Microsoft yönetmekkonsol".

· mmc "Konsol -> Yeni" ana menü öğesini seçin veya "Ctrl+N" tuşuna basın.

ð Bir diyalog penceresi gördüğünüzde « Konsol kök"(Mal. 4-12).

https://pandia.ru/text/78/460/images/image033_0.jpg" width="415" height="309 src=">

Pirinç. 4-13 Ek Bileşen Ekle/Kaldır İletişim Kutusu

· "Ekle" düğmesine basın.

ð Bir diyalog penceresi gördüğünüzde « EklebağımsızPatlatmak-içinde"(Mal. 4-14).

https://pandia.ru/text/78/460/images/image035_0.jpg" width="523" height="195 src=">

Pirinç. 4‑15 "Sertifikalar Ek Bileşeni" İletişim Kutusu

· "Bilgisayar hesabı" simgesini yerleştirin ve "İleri" düğmesini tıklayın.

ð Ekranda bir iletişim kutusu belirecektir. « SeçmeBilgisayar"(Mal. 4-16).

https://pandia.ru/text/78/460/images/image037.jpg" width="415" height="292 src=">

Pirinç. 4-17 Ek Bileşen Ekle/Kaldır İletişim Kutusu

· OK düğmesine basın.

ð Pencereyi gördüğünüzde Konsol kök(Mal. 4-18), sertifika listesi nerede YerelBilgisayar.

https://pandia.ru/text/78/460/images/image039.jpg" width="474" height="345 src=">

ð Gördüğünüzde master penceresi sabittir. « sertifikaiçe aktarmaksihirbaz".

· İleri düğmesine basın.

ð Bir sonraki diyalog penceresini gördüğünüzde « sertifikaiçe aktarmaksihirbaz"(Mal. 4-20).

Pirinç. 4‑20 Diyalog penceresi "Sertifika Alma Sihirbazı»

· Yetkilendirme Merkezine giden sertifika dosyasının yolunu belirtin ve “İleri” düğmesine basın.

ð Bir sonraki diyalog penceresini gördüğünüzde « sertifikaiçe aktarmaksihirbaz".

· “Sertifika dağıtımının konumunu otomatik olarak ata veya hedef dizine yerleştir” onay kutusunu ayarlayın ve “İleri” düğmesine basın.

ð Bir sonraki diyalog penceresini gördüğünüzde « sertifikaiçe aktarmaksihirbaz".

· Maistra'yı kapatan prosedürü tamamlamak için “Bitir” düğmesine basın.

· Kapatıldığında Microsoft yönetmek Konsol ( MMC) düğmesine tıklayın « Evet" nashtuvan'ı kurtarmak için.

4.4. Bir Web sitesine sertifika vermek

İki yönlü SSL kurmak için:

· İnternet Hizmetleri Yöneticisi'ni başlatın (Başlat -> Ayarlar -> Denetim Masası -> Yönetimsel Araçlar -> İnternet Hizmetleri Yöneticisi).

· Vіknі'de, scho z' göründü, zlіva vіdkryte ağacı «İnternet Bilgi Servisleri».

ð Bir ağaç görünür *<сетевое имя Вашего компьютера>.

· Siteler listesinde, iki yönlü SSL'nin etkinleştirilmesi gereken bir site seçin ve ardından parametreleri ("Özellikler") girin.

Saygı duymak!

Burada sadece siteyi bir yöntemle geliştirmek, böylece robot kanalını bir tür çift taraflı SSL koruması ile doğru şekilde destekleyeceği anlatılmaktadır. Dodatkove nalashtuvannya pіdlyagaє sadece parametreleri daha düşük ayarlayalım. Diğer parametreler değiştirilmeden bırakılır.

· "Dizin Güvenliği" sekmesine gidin (Mal. 4-21).

https://pandia.ru/text/78/460/images/image003_23.jpg" width="503" height="386 src=">

· İleri düğmesine basın.

ð Bir diyalog penceresi gördüğünüzde « IISsertifikasihirbaz"(Mal. 4-22).

https://pandia.ru/text/78/460/images/image043.jpg" width="503" height="248 src=">

Pirinç. 4‑23 Diyalog penceresi IIS Sertifika Sihirbazı

· Kurulum listesinden bir sertifika seçin ve “İleri” düğmesine basın.

ð Bir sonraki diyalog penceresini gördüğünüzde « IISsertifikasihirbaz"(Mal. 4-24).

Pirinç. 4-24 Diyalog penceresi IIS Sertifika Sihirbazı

· İleri düğmesine basın.

ð Bir sonraki diyalog penceresini gördüğünüzde « IISsertifikasihirbaz"(Mal. 4-25).

DIV_ADBLOCK427">

Saygı duymak!

Site, "Sistemin kurulumu ve iyileştirilmesi için yardım" belgesi için yaratım ve iyileştirmelerden suçludur.

Burada sadece sitenin aynı yöntemle iyileştirilmesi anlatılmaktadır, böylece robot kanalını iki yönlü SSL koruma türü ile doğru şekilde destekleyebilirsiniz. Dodatkove nalashtuvannya pіdlyagaє sadece parametreleri daha düşük ayarlayalım. Diğer parametreler değiştirilmeden bırakılır.

· "Dizin Güvenliği" sekmesine gidin.

· “Güvenli İletişim” dalında “Düzenle” butonuna basınız.

· Diyalog penceresinde, ortaya çıktığı gibi, aşağıdaki simgeleri ayarlayın:

▼ Güvenli Kanal Gerektir

▼ İstemci Sertifikaları Gerektirin.

4.6. İki yönlü SSL için BSI - RTS iletişimini kurun

Zaferler oluşturmak için bir yardımcı program kullanılır BSISET. EXE . Ayarlar şu sırayla listelenir:

· bsiset yardımcı programını çalıştırın. exe (yardımcı program "%BSSRoot%\EXE" dizininde bulunur).

ð Bir diyalog penceresi gördüğünüzde « SeçmekBSI. DLLyer» .

· "Kütüphane" alanına bsi dosyasının yolunu girin. DLL. BSI modülü daha önce yükseltildiyse, yollar aşağıda listelenen listeden seçilebilir. Chob vibrati bsi yolu. dll düğmesini manuel olarak kullanın.

· "Düzenle" düğmesine basın.

ð Bir iletişim kutusu gördüğünüzde BSIyapılandırmaurasyon".

Müşterilerin zahistu kanallarının muzaffer türü için - iki taraflı. SSL ( TLS) yapılandırmak gerekiyor RTS .

· RTS için yeni bir yapılandırma gerektirir. Yapılandırmalar sekmesinde pencerenin sağ tarafında yeni bir ayar oluşturmak için Yeni düğmesine basın.

ğ Kimin için yeni bir konfigürasyon oluşturulacak? Yeni öğe, Yaku değiştirilebilir.

ð Varsayılan konfigürasyonu kopyalamak için bsiset yardımcı programını çalıştırın. exe. Düzenle düğmesine basın. Yapılandırmayı seçin ve "Yeni Kopya" düğmesine basın.

· İmleci NewItem satırına getirin ve ConfigID alanına özelleştirme adını girin.

· Ardından, imleç yeni kurulumun adı üzerindeyken "Yapılandırma" düğmesine basın.

ð Ekranda pencere belirecektir. « BSIAyarlamak".

· "Seçenekler" bölümünü açın ve "Kimlik Doğrulama" sekmesine gidin.

· Müşteri tanımlama türünü ayarlamak gereklidir. Kimin için, Müşteriye göre tanımla sertifikasına (TLS) bir rozet ekleyin.

RTS parametrelerini ayarlamak için sistem tepsisinde sunucu simgesini bulun, üzerine sağ tıklayın:

ð Bu olduğunda, içerik menüsü etkinleştirilir.

Bağlam menüsünden "Ayarlanıyor ..." komutunu seçin.

ð Bir diyalog penceresi gördüğünüzde "Nalaştuvannya".

· "Seçenekler" bölümünü açın ve "Müşteri Tanımlama" sekmesine gidin (Mal. 4-26).

https://pandia.ru/text/78/460/images/image049_0.jpg" width="510" height="368">

Pirinç. 4‑27 İstemci için bir sertifika ve gizli anahtar isteği oluşturma

Abonenin adını girin, kripto kitaplığı türünü seçin - Ms Crypto Api 2.0 ve İleri düğmesine basın.

ð Sertifikanın parametrelerini girmek için ekranda bir açılır pencere belirecektir.

Bir istemci sertifikası oluştururken bu pencere için aşağıdaki parametreleri belirtin:

Bir sertifika için kayıt kapsamı 1.3.6.1.5.5.7.3.2;

DigitalSignature gizli anahtarının durgunluk alanı; inkar etmeme; anahtar şifreleme; Veri Şifreleme. Tipi.

4.8. İstemci sertifikası yükleme (istemcinin bilgisayarında imzalanmış)

İstemcinin sertifikasını kurmak için CryptoPro kimlik doğrulama panelini (Mal. 4-28) hızlandırmak gerekir.

Windows Başlat -> Ayarlar -> Denetim Masası -> CryptoPro CSP ana menü öğesini seçin.

Pirinç. 4‑28 CryptoPro CSP kulak

· Vіdkryєtsya vіkno Özellikler: CryptoPro CSP.

· Bir taraf aç Hizmet ve düğmeye basın Düzenlemek Kişisel sertifika.

· Vіdkryєtsya vіkno Özel sertifika kurulum sihirbazı.

· Düğmesine basın Sonraki.

Gerekli sertifika dosyasını seçin ve düğmesine basın Sonraki..

· Sertifikanın yüklenmesini beklemeniz gerekecek.

· Düğmesine basın Sonraki.

Sertifikanın yüklenmesini beklemenin zamanı geldi.

Pirinç. 4‑29 Sertifika ayarlarını seçin

Bir anahtar kapsayıcı seçerken şunu girin " kullanıcı”, ardından gerekli kapsayıcıyı seçin. butona basın Sonraki(Mal. 4-29).

· Sertifikanın yüklenmesini beklemeniz gerekecek.

· Düğmesine basın Araştır.

· Vіdkryєtsya vіkno Sertifika Deposu Seçin.

· Bir tarih belirtin kişisel sertifikayı yüklemek için düğmeye basın Tamam.

Sertifikayı yüklemek için penceredeki butona basalım Sonraki.

· Bir dahaki sefere sertifika kurulum parametreleri sorulacak.

· Düğmesine basın Bitiş.

Bu şekilde, sunucu sertifikası bir akış koristuvach kişisel koleksiyonuna kadar kullanılabilir.

SSL DİJİTAL SERTİFİKASYONU

Bir web tarayıcısı ile bir web sunucusu arasında güvenli veri aktarımı için, SSL şifrelemesine dayalı https veri aktarım protokolü kullanılır.

Bu yazıda ortak anahtarla şifreleme, dijital sertifikalar, açık anahtar altyapısı (PKI - Public Key Infrastructure), doğrulama merkezi oluşturulması, Apache Tomcat ve JBoss konteyner sunucu uygulamalarının kurulumu için konfigürasyon hakkında genel bilgiler yer almaktadır. tek yönlü çift taraflı koruma. Keytool yardımcı programı yardımıyla bir SSL sertifikası nasıl oluşturulur Ayrıca, tıklanan sertifikaları Java'da (CRL listeleri, OCSP protokolü) yeniden doğrulamanın ve tarayıcıyı sertifikalarla çalışacak şekilde yapılandırmanın yollarını öğreneceksiniz.

Mevcut güvenli iletim yönteminde, verilen anahtarla merezhі є şifreleme yöntemi. Yöntemin özü, bir çift anahtarın varlığına dayanır: açık ve kapalı. Vіdkritiy ve zakritiy anahtarı - çıktıdaki şifreli ve şifreli bildirimde çıktı bildirimini dönüştürmek için tse algoritmaları.

Açık anahtar, ücretsiz erişimle bilinir ve şifreli bildirimler gönderen herkes tarafından umulur. Memur, bildirimi şifreleyerek, güvenli olmayan bir kanaldan gönderebilir ve yalnızca muhatabın bildirimi okuyabildiğinden emin olabilir.

Kapanış anahtarı, anahtar bahsinin efendisinden mutlak bir gizlilik içinde tutulur. Kritik anahtarla şifrelenen Otrimavshi mesajları, muhatap şifre çözme için kapanış anahtarını kazanır. Oskіlki zakritiy key vіdomy sadece muhatabı bilgilendirir, başka hiç kimse okuyamaz, bu da bildirimin gizliliğini garanti eder.

Özel bir anahtarla şifrelenen bildirimin şifresi, özel anahtarın tüm yöneticileri tarafından çözülebilir.

Bu şifreleme algoritması ile bir SSL saldırısı oluşturulur.

Dijital sertifika

Dijital sertifika, memuru tanımlayan bütün bir elektronik belgedir. Spymaster, spymaster anahtarı, terminoloji, verenin dijital imzası (görünür) ve diğer gerekli bilgiler hakkında temel bilgileri alın. Dijital sertifika, vodguk listesinin dağıtım noktalarının genişletildiği bir genişlemeye (yedekleme için gerekli) sahiptir, bunu görmeyle ilgili bilgiler. Dijital sertifika, SSL bağlantısının korumasını düzenlemenizi sağlar. Bunlar hakkında, bir SSL sertifikasının nasıl oluşturulacağı, bu makalede aşağıda tartışılmaktadır.

Daha fazla sertifikaya rehberlik etmenin ana özellikleri:

Sertifika veren merkeze verilen SSL sertifikası, CA alanının diğer sertifikaların görülmesini sağlayan TRUE değerleri ile değiştirilmesinden sorumludur. Bu sertifika bir lancer için geçerli değildir.

CN (ortak ad) alanındaki sunucu SSL sertifikaları, bağlantının sunucuya gönderildiği alan adı veya ip adresinin obov'yazykovo mіstiti'sinden sorumludur, aksi takdirde sertifika geçersiz olacaktır;

Müşterinin SSL sertifikaları, müşterinin e-posta adresine gönderilebilir, adı bu isimdir. Sunucu sertifikası görünümünde, CN alanı bu nokta için kritik değildir ve hem ad hem de e-posta adresi ile değiştirilebilir.

Dijital bir SSL sertifikası, alanlarına atanan “dії” terimiyle saygı görür. Otzhe, işin koçanını vermeden önce ve işin bitim tarihinden sonra sertifika almak mümkün değildir, çünkü onunla temasa geçen sistemler, ona birisine olan güven eksikliğini anlatır.

Іsnuyut durumu, gerekli ise coristuvachev'i veya sertifikayı veren kişiyi tanımak veya yoga pratiğini yenilemek. Nadіyno zberіgatisya'dan suçlu olan anahtarın kapalı olması kabul edilebilir, ancak vtracheny, aksi takdirde kötülük yapanlar yenisine erişimi reddetti. Böyle bir durumda, kişinin geri kalanının evet demesi için sertifikayı verene (görüntülenen) başvurmak gerekir. Ayrıca, müşterinin kendisi hakkında yanlış bilgi verdiğine dair onay anında sertifikayı kontrol edebilirsiniz. Kimler için özel liste oluşturulur, sertifikaların iptal (iptal) listesine göre başlıklar (Sertifika iptal listesi, SİL). Bu liste, sertifikanın seri numarasını, ek tarihini ve arama nedenini içermelidir. Sertifikanın CRL'ye dahil edildiği andan itibaren, şarap geçersiz sayılır ve böyle bir sertifikanın geçerliliğini taşımaz. CRL listesini yeniden kontrol etme yöntemlerinden biri, merkeze gönderilen bir OCSP yanıtlayıcısının varlığını da gerektiren OCSP protokolüdür.

Açık Anahtar Altyapısı (PKI)

Açık anahtar altyapısının (Public Key Infrastructure, PKI) ana görevi, dijital sertifikalar vermek için bir politika oluşturmaktır.

SSL sertifikalarının verilmesi ve işlenmesi için kılavuz çizgi listelerinin (CRL'ler) oluşturulması özel yazılım güvenliği (PS) gerektirir. Bu tür bir yazılıma örnek olarak, Microsoft CA'yı (MS Windows Server 2000/2003/2008'de bulunur), OpenSSL'yi (unix benzeri işletim sistemlerinde genişletilmiş) getirebilirsiniz. Dane PZ, dikkat çekici olan sahibinin merkezinde yer almaktadır.

Sertifika yetkilisi (CA), verilerin bir vekil tarafından sunulması konusunda dijital SSL sertifikaları sağlayan bir kuruluştur. Kefil olan Merkez, SSL sertifikasının bu temsillerinin doğruluğundan aynı sorumluluğu taşır, yani sertifika sahibi, kendini gördüğü kişiyle aynıdır.

Dünyanın en büyük genişleme merkezleri Verisign ve Comodo'dur. Sertifikalı olan bu merkezlerin sertifikalarına tarayıcıların %99'u ve sunucu yazılımlarının çoğu güvenmektedir. Aşağıda, dikkat çekici olan merkezin yaratılışının bir açıklaması bulunmaktadır.

2 yönlü kimlik doğrulamasından şifrelenmiş SSL

SSL güvenliği en çok e-ticarette görülür. Örnek olarak, elektronik mağaza aracılığıyla mal alımına bakabilirsiniz. Alıcı, kredi kartlarının numaralarını ve kodlarını belirterek, aynı sırada olmak istiyorsanız, kokunun davetsiz misafire gitmesine izin vermeyin. Bu nedenle sunucu, istemciye bir sertifika vererek orijinalliğini onaylar. Hakkın garantörü, layık olan merkezdir. İstemcinin verilerinin şifrelenmesi, sunucunun anahtarı tarafından verilir. Verilerin şifresi, sunucudaki özel bir anahtarla çözülebilir. Bu nedenle, istemci, saldırganın bu verilerin üzerine yazacağından korkmayabilir, ancak yine de onu deşifre etmek imkansızdır.

Müşterinin SSL sertifikası, vipadka'da zastosovuetsya'dır, sunucunun onaylanması gerekiyorsa, müşterinin kendisini gördüğü kişidir. Örneğin, banka keruvati'ye özel bir hesapla erişim sağlar. Kendinizi güvenceye almak ve bir dahaki sefere kadar bu rahunka'nın efendisi olacağınızdan emin olmak istiyorsanız, giriş ve şifreyi bulan kötü niyetli kişi değil. Bu durumda istemci sunucuya kendi anahtarını gönderir ve sunucudan verileri kaldırır çünkü sadece istemci tarafından şifresi çözülebilir ve başka kimse tarafından çözülemez. vіn є vlasnik özel anahtarı.

Küçük resim, şifreli bir SSL saldırısı oluşturmayla ilgili adımları gösteren bir diyagramı göstermektedir.

Şekil 1 - İki yönlü kimlik doğrulama ile şifreli bir SSL saldırısı oluşturma şeması

İstemci çalınan kaynağa erişmeye çalışırsa, sunucu dijital sertifikayı geçersiz kılar. Sertifikayı reddettikten sonra müşterinin doğrulaması gerekir. Saldırıda Pereverka polygaє: koçanına sonun suçlu olmadığını ama prostochennymi'yi verin, sertifikanın tanığına güvenilebilir, sertifika CRL'den yeniden satın almaktan suçlu değildir. En son yeniden doğrulama sırasında, z'ednanny'yi yükleme işlemi yeniden doğrulanır. Kodun doğrulandığını anladığınız anda, istemci sertifikasını sunucuya gönderir. Sunucu, benzer bir yeniden doğrulama gerçekleştirecektir. Yakın zamanda yeniden doğrulama yapıldığında, sunucu kaynaklarına erişimi engelleyecektir. Dönüştürme başarılı olursa, veriler güvenli bir şekilde şifreli monitöre aktarılacaktır.

Bu şema, iletilen verilerin bir alt şifrelemesine sahiptir. İstemci, sunucunun sabit anahtarının yardımı için bildirimi şifreler ve ardından özel anahtarı kullanırız. Onaydan sonra sunucu, bildirimin şifresini müşterinin kritik anahtarıyla ve ardından kendi özel anahtarımızla çözecektir. Bundan böyle, sunucu ve alıcı yalnızca kendilerine kimlik doğrulaması yaparlar, çünkü sadece koku alınan verileri deşifre edebilir.

Zastosuvannya tsієї yöntemlerinin kot değişiminin hızını değiştirdiğine dikkat edilmelidir, tk. şifreleme/şifre çözme işlemleri, hesaplama kaynaklarının darlığı nedeniyle ek süre ve mevduat güvenliği gerektirir.

Merkeze bir haraç oluşturulması

Test amaçlı veya dijital sertifika almak yeterli değilse hak ettiğiniz yetki merkezini oluşturun.

Gördüğünüz kök merkez - herkesin güvendiği merkez. Kendi özel anahtarımızın yardımıyla imzalayan maє SSL sertifikası. Bu tür SSL sertifikalarına kendinden imzalı denir.

Kök merkezin kapanış anahtarı, gördüğünüz gibi, onu daha da iyi korumaktan suçludur, çünkü Aynı zamanda, tüm geçerli SSL sertifikalarına ulaşana kadar para harcar veya çalınan para kaybolur.

Gördüğünüz sipariş merkezi, istemciler için SSL sertifikalarını gören merkezdir. Doğrulanan sipariş edilen merkezin sertifikası, üst merkezin kapatma anahtarı ile imzalanır. Size söyleyecek bir destek merkezinin müşterisi olarak, gerekli türde sertifikaların oluşturulduğu sertifikalar, web sunucuları, web tarayıcıları, posta istemcileri gibi davranabilirsiniz. Sertifika türleri, layık olan bir kuruş politikası ile verilir.

Yukarıdakilerden, kök merkezden nihai istemci sertifikasına kadar bir dizi sertifika vardır.

Şekil 2 - Sertifika Lancer

Bir kur merkezinin oluşturulması için, küçük 3'te sunulan bir saray planı ile hızlandırılır. Bu planın köklü bir evlilik merkezi (Kök CA) ve bir alt evlilik merkezi (Veren CA) vardır. Düğünün kök merkezi, otoritenin SSL sertifikasını ve ilgili sertifika sahibinin SSL sertifikasını imzalıyor. Muzaffer ne kadar eşitse, planın o kadar güvenli olduğu gerçeğini düşünün.

Kök ve alt hukuk merkezinin sertifikalarında, gördüğünüz gibi, CRL uzantı noktasının genişletilmiş yazımında. CRL uzantı noktası, bağlı adrestir. Özel bir yazılım tarafından oluşturulan CRL dosyası belirtilen adresten sorumludur.

Şekil 3 - Merkezin Dvohrivneva şeması

Microsoft CA'ya dayalı bir sertifika merkezinin organizasyonuna bir örnek, "Microsoft CA'ya dayalı bir sertifika merkezinin dilini kullanıma sunma" makalesinde bulunabilir.

Sunucu uygulaması kapsayıcısının yapılandırmasını kontrol eden merkezdeki sunucu SSL sertifikasını alın

Sunucunun dijital SSL sertifikası, bir SSL şifreli saldırı oluşturmanın yanı sıra verileri şifreli bir şekilde iletme yeteneği sağlar.

Servlet kapsayıcı olan bir sertifikayı almak için sertifika yetkilisine bir dijital sertifika talebi (CSR) oluşturmak gerekir. Kuruluş ve anahtar hakkında ana verileri toplama isteği.

Doğru adlandırılabilen ana alan Ortak Ad'dır (CN). Bu alan için, sunucu uygulaması kapsayıcısının barındırıldığı ana bilgisayarın etki alanı adını veya IP adresini belirtmelisiniz.

Gizli ve açık anahtar oluşturmak ve bir SSL sertifikası istemek için JDK (Java geliştirme kiti) deposuna giren keytool yardımcı programını kullanabilirsiniz.

Komut satırında aşağıdaki komutu girmeniz gerekir:

$Java_HOME\bin> tuş takımı -genkey -alias -keyalg -anahtar deposu

Şekil 4 - Keytool yardımcı programını kullanarak SSL sertifikası koleksiyonunun oluşturulması

Keytool yardımcı programının bu komutu, adları olan bir sertifika koleksiyonu oluşturur. , Özel anahtarın ve kendinden imzalı SSL sertifikasının kaydedildiği, RSA algoritması ile şifrelenmiş. SSL sertifikasına im'ya dönebilirsiniz .

Koleksiyonun oluşturulmasının başlangıcında, keytool yardımcı programı koleksiyona erişim için bir parola girmenizi isteyecek ve bu parolanın gizli (özel) anahtarın organizasyonu hakkında bilgi isteyeceksiniz. Keytool yardımcı programının güç kaynağı "Adınız ve soyadınız nedir?" ana bilgisayarın etki alanı adını veya IP adresini girmek gereklidir, çünkü Şifrenin değeri SSL sertifikasının CN alanı olarak değiştirilecektir.

Bundan sonra, keytool yardımcı programı bir anahtar koleksiyonu oluşturduğundan, merkeze SSL sertifikasının imzalandığını onaylayan bir sonraki form istenir. Takımla Tse mücadelesi:

$Java_HOME\bin> tuş aracı -certreq -keyalg RSA -diğer ad -dosya -anahtar deposu

dosyada sertifika isteğini kaydedin. Bundan sonra, gördüğünüz merkezin web sitesinde özel bir form saklanacak, bir alanda aynı dosyaya kopyalanacak.

Bir kuruluşa bir SSL sertifikası vermek için, onay merkezi kurulum belgeleri, bir kayıt sertifikası ve giriş isteyebilir. Bir SSL sertifikası başvurusunu iptal ederken, onay merkezi yeniden doğrular, sertifika talebindeki verileri doğrular ve belgeleri gönderir, ardından talep imzalanır. İmzalar bir sertifika ile doldurulacaktır.

Şekil 5 - Bir sunucu sertifikasını geri çekme şeması

Sertifikayı yogo merkezinden çıkardıktan sonra, önce kök ve ara merkezin SSL sertifikasını ekleyerek koleksiyona yerleştirmek gerekir. Depoya SSL sertifikaları eklemek için keytool yardımcı programının sonraki komutlarını izleyin:

1) keytool yardımcı programını kullanarak kök güven merkezinin sertifikasını ekleme: $Java_HOME\bin> keytool -import -trustcacerts -alias rootca -file -anahtar deposu

2) keytool yardımcı programını kullanarak ara hizmet merkezinin sertifikasını ekleme: $Java_HOME\bin> keytool -import -trustcacerts -alias subca -file -anahtar deposu

3) kendinden imzalı sertifikanın, merkezde imzalanmış, geçerli bir sertifika ile değiştirilmesi (takma ad parametresinin değeri, klasör oluşturulurken kontrol edildiği için belirtilir): $JAVA_HOME\bin> keytool -import - trustcacerts -takma ad -dosya -anahtar deposu

SSL saldırısını durdurmak için sunucu uygulaması kapsayıcısını yapılandırmanız gerekir. Apache Tomcat ve JBoss için server.xml dosyasına aşağıdakileri eklemek gerekir:

clientAuth="yanlış" sslProtocol="TLS"

anahtar deposuDosya=" "

anahtar deposuPass=" "

keystoreType="JKS"

anahtarAlias=" "

Bu girdi, sunucu uygulaması kapsayıcısının, depodaki dijital SSL sertifikasını koruyan güvenli bir şifreleme yüklemesine olanak tanır. 3 şifre takma adla .

Konfigürasyonun üzerine gelindiğinde, tek yönlü kimlik doğrulama kazanır, yani. Dijital bir SSL sertifikasının sağlanması yalnızca sunucu türü için gereklidir. İki yönlü kimlik doğrulamanın kurulmasına kadar yani. İstemcinin bir dijital SSL sertifikasına ihtiyacı varsa, sunucu uygulaması kapsayıcı yapılandırmasını aşağıdaki şekilde değiştirmek gerekir:

maxThreads = "150" şema = "https" güvenli = "doğru"

clientAuth="true" sslProtocol="TLS"

anahtar deposuDosya="

anahtar deposuPass=" "

keystoreType="JKS"

anahtarAlias=" "

güvenilir mağazaDosya="

güvenilir mağazaPass=" "truststoreType="JKS"

Bu yapılandırmada, clientAuth=”true” parametresi ayarlanır ve bir güvenilen sertifikalar koleksiyonu bağlanır. Güvenilir SSL sertifikaları koleksiyonunun oluşturulması, tıpkı harika bir koleksiyon gibi keytool yardımcı programı tarafından gerçekleştirilir. O zamana kadar servlet kapsayıcısına güvenme sorumluluğu olan, dijital sertifika olarak görülecek merkezlerin sertifikalarını eklemek gerekiyor. Aksi takdirde, kimlik doğrulaması sırasında SSL'ye dayanan sertifikalar sunucu uygulaması kapsayıcısı tarafından kabul edilecektir, çünkü onlara güvenmeyeceksin.

Sunucuda tıklanan sertifikaların yeniden doğrulanması

Bir konuşma için sertifikayı yeniden doğrulamanın 3 yolu vardır: statik CRL yeniden doğrulama, dinamik CRL yeniden doğrulama, OCSP protokolüyle yeniden doğrulama. Gelin hep birlikte bu yöntemlere ve raporlara bir göz atalım.

1) Statik CRL yeniden kontrolü

Yeniden doğrulama türünü seçerseniz, sunucu yöneticisinin yapılandırmada yerel diskteki dosyanın adını belirtmesi gerekir ve tıklanan sertifikaların listesi görüntülenecektir. Bu liste zavantazhuetsya'nın merezhnogo kaynak merkezidir, scho svіdchuє.

Apache Tomcat sunucu uygulaması kapsayıcılarındaki CRL bağlantısı ve ssl konektöründe Jboss kızağı için şu özelliği ekleyin:

crlDosya=”

Kısaca CRL dosyasının güncellenmesi konusunda yöneticiyi sürekli kontrol etmek gerekir.

2) Dinamik CRL yeniden denetimi

Bu yöntem, CRL'yi otomatik olarak yeniden kontrol etmenizi sağlar. Bunun için, SSL istemcisi tarafından güvenilen sertifikanın, tıklanan sertifikalar (CRL) listesinin atandığı URL'lerin belirtildiği CRLDistributionPoint öznitelik uzantısına sahip olması gerekir.

Bir istemcinin SSL sertifikasını revize etmek için, CRL'nin Java sanal makinesi için iki parametre ayarlaması gerekir. Qi parametreleri, sunucu uygulaması kapsayıcısını başlatırken komut dosyasında belirtilebilir. Windows altında Apache Tomcat ve Jboss için şöyle görünür:

Java_OPTS=%JAVA_OPTS% olarak ayarla -Dcom.sun.net.ssl.checkRevocation=true

Dcom.sun.security.enableCRLDP=true -Djava.security.debug=certpath

Java.security.debug=certpath parametresi, çalışan kapsayıcının konsolunda sertifikanın gerçekliğini kontrol etmenize olanak tanır.

Kısa bir süreye kadar bu yöntem, CRL dosyasına büyük bağlılık nedeniyle çalınan kaynağa erişimi engelleyebilir.

3) Ek OCSP protokolü için doğrulama

OCSP protokolü (Çevrimiçi sertifika durumu protokolü), CRL'ye alternatif olarak genişletildi. Bu yeniden doğrulama, JDK 5 sürümü ile JSSE (Java Secure Socket Extension) teknolojisi tarafından desteklenir.OCSP, CRL'ler ile çalışır. CRL'ye dönüş, OCSP ile etkileşim halindeyken af ​​zamanında yapılır. Örneğin, OCSP bir SSL sertifikasının durumunu atadıysa, CRL yeniden doğrulaması mümkün değildir. Sertifika üç durumdan biri olabilir: iptal edilmiş, normal, ev dışı.

OCSP yeniden doğrulaması için, AuthorityInfoAccess öznitelik uzantısının OCSP yanıtlayıcı URL'sinin değerlerine genişletilmesinden sertifika sorumludur.

OCSP yanıtlayıcısı - yazılım güvenliği, merezhnoy kaynak merkezinde roztashovana, scho svіdchuє, osoblyaє sertifikanın atanmış durumu için istek olarak ve doğrulama sonuçlarını görün.

Java sanal makinesinin OCSP yeniden doğrulamasını etkinleştirmesi için ocsp.enable=true yetkisinin ayarlanması gerekir. Yetki, JAVA_HOME\jre\lib\security\java.security dosyasındadır. Bu dosya için OCSP yanıtlayıcısının adresini ocsp.responderURL olarak belirtebilirsiniz. Bu güç, yanıtlayanın URL'sinin SSL sertifikasında bulunma sayısı ile değerlendirilecektir.

Web tarayıcısını kontrol eden ve yapılandıran merkezde istemcinin SSL sertifikasını alın

Іsnuyatsiї, sadece sunucunun onaylaması gerekmiyorsa, suçunuz nedir, kendinizi kimin için görüyorsunuz, ancak sunucu istemciyi görebiliyorsa, kimliğinizi dijital bir sertifika ile onaylayın.

Görmeye değer, yardım merkezinde çalışmış, bağımsız bir talep oluşturmadan bir istemci SSL sertifikası almak mümkündür. CA'nın web sitesinde kimler için atanan ad, takma ad, e-posta adresi ve kimlik ile formu doldurmanız gerekir. Bu verilere dayanarak, bir talep oluşturulacaktır. Bu durumda, merkeze layık olan bir gizli anahtarın oluşturulması atanır. Verilerin ve imzanın yeniden doğrulanmasından sonra, müşteri gizli anahtarı ve sertifikayı ve ayrıca onaylanacak olan kök ve ara merkezlerin dosyalarını almak için bir dosya sunmaya zorlanır.

Sertifika dosyalarını kaldırdıktan sonra, güvenlik korumasını yüklemek için yazılım güvenliğini ayarlamak gerekir.

Şekil 6 - İstemcinin SSL sertifikasını geri çekme planı

Örnek olarak, Microsoft Internet Explorer web tarayıcısına bir istemci SSL sertifikası yükledik. Bunun için menüden Hizmetler > Tarayıcı gücü'nü seçmeniz gerekir. “Zmist” sekmesinde “Sertifikalar…” öğesini seçin.

Şekil 7 - MS Internet Explorer'da SSL sertifikalarını yönetme

“İçe Aktar…” düğmesine basarak ana sertifika içe aktarma işlemini başlatın. Hangi ustanın, kök merkezinin sertifikasına layık bir yolu vardır. Yeni sertifikaya eklemek için "Kök Merkezine Güvenin Sertifikalandırma" seçeneği sunduk.

Benzer şekilde, ara sertifika merkezlerinin sertifikaları “Endüstriyel Sertifikasyon Merkezleri”nde, müşteri sertifikası ise “Osobistist” galerisinde verilmektedir.

Şekil 8 - Sertifikasyon sertifikası

Sertifikanın bulunduğu yere bakmak için gerekli SSL sertifikası seçilir ve "İncele" butonuna basılır.

İstemci sertifikası akredite merkezden alınmışsa, kural olarak bu SSL sertifikası zaten web tarayıcısının klasörlerinde bulunur ve eklenmesine gerek yoktur. Bir sonraki adım, bir istemci sertifikası eklemektir.

Sunucu, birbirleriyle iletişim kurmak için, genişletilmiş merkezden değil sertifikayı kabul etmişse, web tarayıcısının bu tür erişim eksikliğine ilişkin bildirimi görmemesi için sunucu sertifikası güvene eklenmelidir. sertifika.

İstemci için tıklanan sertifikaların yeniden doğrulanması

MS Internet Explorer web tarayıcısını kullanan bir istemci olarak, CRL'ye gönderilen sertifikaların yeniden doğrulanmasını sağlayacak şekilde ayarlanabilir. Bunun için, tarayıcı yetkililerinin “Dodatkovo” sekmesine gitmesi ve “Sağlayıcı sertifikalarının iptalini kontrol edin” ve “Sunucu sertifikalarının iptalini kontrol edin” özelliklerini ayarlaması gerekir.

Ödeme sistemlerinin ayarlanması

Ödeme sistemlerinin kurulumu, aslında ödeme sisteminin operatörü olan terminallerimizle iletişim kurmayı umduğumuz için aslında ne yalan söyleyeceği konusunda zengindir. Kural olarak, ödeme terminallerim galip gelirse, SSL koruması şifrelenir ve aşağıda gösterildiği gibi SSL WEB sunucu terminalleriyle iletişim kurmasını sağlamanız gerekir. Ödeme yapmaya gelince, İnternet'teki web siteleri derlenir, o zaman, bu gibi durumlarda sıklıkla olduğu gibi, Carbon Billing'in kendisinde bir http sunucusu kurmak gerekir. Carbon Billing'i ayarlamadan önce, şarapları ödeme terminallerinize bağlayarak aynı protokol için ödeme sistemi operatörünüzle önceden görüşün.
Ödemeler için SSL WEB sunucusu, değerleri aşağıda verilen bazı parametrelere sahip olabilir.

Ödemeler için SSL WEB sunucusunu etkinleştir- Ödeme sisteminin operatörü, SSL için ödeme terminalleri ile çalışıyorsa, SSL WEB sunucusunun kendisinin etkinleştirilmesi gerekir.
HTTPS üzerinden bağlanmak için IP adresleri- Carbon Billing veritabanında müşteriye ödeme yapmak için terminalleri ve ödeme sistemleri sitelerini bağlamak için adresler.
HTTPS bağlantı noktası- 1443 numaralı bağlantı noktası kilitleme için atanmıştır. Bu bağlantı noktasını değiştirmeniz gerekiyorsa, mümkünse 1024'ten yüksek bir bağlantı noktası belirtin.
SSL WEB sunucusu için izin verilen istemci adresleri
Sunucu SSL sertifikası için etki alanı- Carbon Billing alanındaki ödeme sunucusu için kamu alan adınızı veya diğer kayıtlarınızı girin. Seçenek bağlayıcı değildir ve IP adresinden sonra adlandırılan etki alanı tarafından SSL-WEB sunucusuna erişmenizi sağlar.
Lütfen müşterinin sertifikasını kontrol edin- Kasiyerin web arayüzünün nasıl yapılandırılacağını gösteren Obov'yazkovo. Bir ödeme sistemiyle çalışıyorsanız, müşteri sertifikasını ödeme sistemi operatörüyle yeniden doğrulama ihtiyacını netleştirin.
İstemci sertifikası oluşturun- Ödeme sistemi operatörüne verilmesi gereken bir müşteri sertifikası oluşturulacaktır. suffix.pfx'ten alınan sertifika, sunucuda /var/lib/usrcert dizininde bulunacaktır ve sertifikayı oluştururken belirttiğiniz CN adından sonra adlandırılacaktır. Sertifika dosyasını winscp programını kullanarak sunucudan indirebilirsiniz.

Ödemeler için bir HTTP WEB sunucusu kurarken.

Ödemeler için HTTP sunucusunu etkinleştir- Ödeme sisteminin operatörü, vodkritim http-zadnannyam için ödeme terminalleri olan bir robot gönderirse, HTTP sunucusunun kendisini bilgilendirin.
HTTP bağlantısı için IP adresleri- Terminalleri veya ödeme sunucularını bağlamak için web sunucusu adresleri.
HTTP üzerinden bağlanmak için bağlantı noktası- 1444 numaralı bağlantı noktası kilitleme için atanmıştır. Bu bağlantı noktasını değiştirmeniz gerekiyorsa, mümkünse 1024'ten yüksek bir bağlantı noktası belirtin.
HTTP sunucusu için izin verilen istemci adresleri- Belirtilmediği takdirde erişim herkese açık olacaktır.

Bu sekmede daha aşağı atanan ödeme sistemi operatörlerinin hizmetleri olarak göründüğünüz için ilgili menü öğelerini vurgulayın. Gelecekte, kazanacağınız cilt operatörü için gerekli olan sisteme özel ayarlamalar yapmanız gerekir. Operatörünüz aşağıdaki listelerden önce dahil değilse, hiçbirini dahil etmeyin.

Robokassa ödeme sistemini kurarken, terminal ile sunucu arasındaki bağlantıyı düzenlemek için gerekli olan gizli bir şifre girmeyi unutmayın.

SSL sertifikalarının konuAltName parametresinin kritikliği

Sunucu için, örneğin ödemelerin https sunucusu için ssl sertifikaları oluştururken, konuAltName uzantısı oluşturulur. Tarihsel olarak, varsayılan olarak, sertifikanın genişletilmesi kritik olarak kabul edilir ve bu, faturalandırmayı diğer ödeme sistemleriyle entegre ederken sorunlara yol açabilir.

KonuAltName istemci sertifikalarının oluşturulma saati ayarlanmadı.

Parametrenin kritikliği, yerel konsoldaki "Sunucu yapılandırması - Gelişmiş ayarlar - Perakendeciler için ayarlama - SSL parametresi AltName kritik'i zorlama" seçeneğinden etkilenir.

Bu seçenek etkinleştirildiğinde, yeni oluşturulan tüm sunucu sertifikaları, kritik olmayan konuAltName uzantılarıyla oluşturulur. Ödemelerin https sunucusu için eski sertifika, aşağıdaki şekilde manuel olarak yeniden oluşturulabilir:

1. Yapılandırmanın bulunması gereken rw bölümünde yeniden monte edin (hangisi için açılabilir, uzak yardımcı modu):

-o rw'yi bağla, yeniden bağla /mnt/bk_disc/

2. /etc/ics/ics.conf dosyasını editör ile açın ve MHTTPD_F_CERT satırına yorum yapın.

3. https ödeme sunucusunu yeniden başlatın:

/etc/init.d/mhttpd_F yeniden başlat

Ödemelerin https sunucusundaki sertifikanın değiştirilmesi, kasiyerler veya ödeme sistemleri için daha eski müşteri sertifikaları oluşturmaya başlamaz.

Http için şifreleme olmadan ödemeleri kabul edecek şekilde ayarlama

Gerekirse, korumasız protokol http için ödeme sistemlerinden yapılan ödemelerin kabulünü gerçekleştirin.

1) Ödemeleri almak için http sunucusunu açın.

2) İsteklerin alınmasından sorumlu olan IP adresini belirtin. Bu adres, Karbon Faturalandırma arayüzlerinden birinden sorumludur:

Sunucuyu başlatmayı kabul ettiğimiz portu belirtelim.

3) Kabul edilecek IP adreslerinin bir listesini girin. Http kırıklarının ödeme sisteminin yetkilendirmesini sertifika aracılığıyla aktarmaması da önemlidir:

HTTP promosyonları için ödeme sistemi Robokassa ve Unikasu protokolleri kullanılabilir. Kural olarak, örneğin, OSMP protokolü için http üzerinden bir isteği kabul etmek için aşağıdakileri gerçekleştirmek gerekir:

1) Sunucuyu ud modunda yakalayın. yardımcı olun ve kısa bir kök altında ssh ile bağlanın.

2) Vikonati komutları:

Mount -o rw, remount /mnt/ro_disc chattr -i -R /var /www/fiscal/htdocs/http/ cp /var /www/fiscal/htdocs/osmp.php /var /www/fiscal/htdocs/http/ osmp.php chown mhttpd_F:mhttpd_F /var /www/fiscal/htdocs/http/osmp.php

Komut satırı satırını düzenlemek gereklidir:

Mcedit /var /www/fiscal/htdocs/http/osmp.php satırı: "../include/class_page.php" içerir; şununla değiştirin: include "../../include/class_page.php";

Dosya alınır ve editörden görülebilir.

Yazılım sıfırlamasından sonra, OSMP protokolü için ödemeleri kabul eden modül, 2.2.2.2 IP adresinden http://1.1.1.1:1444/osmp.php adresinde bulunacaktır.

Eksi bakiyenin ötesine erişim

Bunu iki şekilde uygulayabilirsiniz:

• Kural ve tarife editörü aracılığıyla;
• Vasıtasıyla [ek ayar dosyası ics_tune.sh]

Web erişimini ayarlayın

Web erişim sunucusunu yapılandırma eklendi

Şifreli bir bağlantı kurma (Güvenli Yuva Katmanları, SSL tabanlı)

İhtiyaca göre günün savunmasını kurabilirsinizweb erişim sunucusundan YÖNETİM : iletişim kanallarından iletilen bilgiler şifrelenir. Çalınan z'ednanny'den kurtulabilmek için aşağıdakileri yapabilirsiniz:

1. Web erişim sunucusu yapılandırma dosyasını değiştirin:

· Krok 1. Web erişim sunucusu yapılandırma yardımcı programını çalıştırın C:\Program Files\DIRECTUM Company\WebAccessConfig\DirWebConfigurator.exe.

· timsah 2 YÖNETMELİK":

a) görebileceğiniz listede, web erişim sunucusunun web sitesini seçin. YÖNETİM . Promosyon nedenleriyle, adını “Web erişim sunucusu YÖNETİM";

b) düğmesine tıklayın TAMAM ;

· Croc 3. “Web erişimi için sunucu ayarları” penceresi YÖNETİM ”, yer imi “Zahalni”:

a) "Güvenliğin korunması" listesinde "Koruma için" seçeneğini seçin. Güvenlik korumasının kurulması ve yerel ağlar için gerekliyse, "Uzak ve yerel için" öğesini seçin;

b) düğmesine tıklayın TAMAM .

2. IIS'yi SSL ile çalışacak şekilde ayarlayın -sunucu kimlik doğrulama sertifikası yüklenerek imzalanır. Kimler için, "Uzak bir bilgisayardan kimlik güvenliği" tanınmasından, giriş sertifikası hizmetine ihracat yapma olasılığı olan bir sertifika oluşturulur, daha sonra * alınması gerekir. pfx - Özel anahtar dosyası.

3. Sertifika web hizmeti için nasıl kefil olursunuz? pencereler , sonra şöyle çalışın:

a) sertifikanın oluşturulma tarihi Sertifikanın dışa aktarılıp aktarılmayacağı seçeneğini belirtin. Ek olarak, yerel sistemdeki bir kurulum sertifikası olarak, yardım için inceleyebilirsiniz. Internet Explorer – “Tarayıcı gücü” menü öğesi, “Değiştir” sekmesi, düğme sertifikalar . Dışa aktarmak için düğmesini kullanın İhracat , giriş Evet, özel anahtarı dışa aktarın, ardından bir parola girin.

b) Sertifikayı içe aktarın. Web sitesinin yetki kartının "Katalog için güvenlik" sekmesinde kimler için düğmesine basın sertifikalar Ve ekrandaki yönergeleri takip ederek ön tarafta ayarlanmış olan şifreyi girerek sertifikayı içe aktarın. Sertifikayı aldıktan sonra, çalıntı saldırı 443'ün portu yüklenecek ve robot SSL muktedir hale gelmek.

4. (Korumasız) emirleri uygulamak ve uygulamak için seçeneği ayarlamak gerekir. podtrimku vіdkritih za'єdnan HTTP'ye izin ver web sitesi yetkililerinin "Web Sitesi" sekmesinde.

5. Merkeze bir sertifika yerleştirebilmek için, girişin yanından izin için, bir grup takviye başlatıldığı için coristuvachev'in gerekli olduğunu söyleyecektir. YÖNETİM ”, “Güvenlik” sekmesinde gerekli sertifika merkezinin yetkilerinde donanımlı “Sertifika Merkezi”nde “Okuma” ve “Sertifika talep etme” işlemlerine izin verin.

Böl. ayrıca:

iPad