Az alábbi műveletek végrehajtásához rendszergazdai jogosultságra van szükség.
Mi az SSL?
Az SSL (Secure Sockets Layer) egy olyan biztonsági protokoll, amelyet Internetes használatra fejlesztettek ki. Nyilvános kulcsú titkosítás használatával a TCP/IP és a HTTP protokollokra épülve Weblapok megtekintésénél, felhasználói nevek és jelszavak küldésénél, tehát gyakorlatilag a teljes Internetes forgalomban titkosítva kommunikál a webkiszolgáló és az ügyféloldali böngésző. A hagyományos böngészés nem titkosított és semmi nem akadályozza meg, hogy a forgalmat "lehallgassák", az adatokat menet közben módosítsák. Egy ilyen betörés még a hétköznapi böngészgető felhasználót is bosszantja, de például banki tranzakciók végrehajtásánál egyenesen életveszélyes. Az Internet rohamos elterjedésével együtt a betörések száma is növekedett és szükségessé vált a biztonságos kapcsolatok kiépítése. Ezt hivatott az SSL biztosítani. Gyakorlatilag egy platform független megoldásról van szó, pontosabban minden platformon megvalósították már. Így nem kell attól tartanunk, hogy bizonyos felhasználók nem érik el a kiszolgálónkat. A Linux, Machintosh és egyéb operációs rendszerek is támogatják a használatát. Mindezek mellett egy kiszolgáló úgy is konfigurálható, hogy az SSL mellett a hagyományos titkosítás nélküli kapcsolatokat is fogadja el. Tehát ugyanaz a weblap elérhető HTTP és HTTPS meghívással is. A weblapon vagy weboldalakon semmit nem kell változtatni, az SSL-hez kapcsolódóan nem kell semmit beleépíteni, mindent a webszerver kezel le. Tudni kell, hogy a biztonságnak van egy hátulütője, mégpedig a lassúbb adatátvitel. Egy átlagos webhelynél ezt nem lehet észrevenni, de ahol kiélezett harc folyik a minél nagyobb teljesítményért, ott igen.
Az első lépés
Mi kell ahhoz, hogy meglévő webszerverünket alkalmassá tegyük az SSL kommunikációra? Először egy kiszolgáló oldali bizonyítványt kell igényelnünk. Ez egy digitális aláírással ellátott erősen titkosított kódsor (ami fájlba is menthető). A világon számos hitelesítési szervezethez fordulhatunk ilyen bizonyítványért, az igénylést az Internet Information Services (IIS) alább bemutatásra kerülő funkciójával hajthatjuk végre. A másik megoldás - amit az alábbiakban mi is alkalmazunk - a saját hitelesítő szervezet felállítása, saját bizonyítvány készítése. Az ilyen szervezetek telepítésével és konfigurálásával egy korábbi cikksorozatunkban foglalkoztunk. Következőkben feltételezzük ennek meglétét és működőképes állapotát.
Hitelesítő szervezet beállítása
Alapbeállításokkal működő hitelesítő szervezet már alkalmas a webkiszolgáló számára SSL bizonyítványt adni, nincs más teendőnk, mint hogy ellenőrizzük a szükséges beállítást. Tallózzunk el a következő helyre: Felügyeleti eszközök > Hitelesítő szervezet > Irányelv-beállítások (Administrative Tools > Certification Authority > Policy Settings). Ez a tároló tartalmazza a szervezet által kiadható bizonyítvány típusokat. Győződjünk meg róla, hogy a felsorolásban szerepel a "Webkiszolgáló" ("Web Server") elem. Ha nem, akkor az Új > Kibocsátandó bizonyítvány (New > Certificate to Issue) menüvel adjuk hozzá.
Bizonyítvány igénylése
Indítsuk el a Felügyeleti eszközök > Internet szolgáltatáskezelő (Administrative Tools > Internet Services Manager) konzolt és keressük meg a farendszerben azt a webhelyet, amelyet SSL kapcsolattal akarunk felszerelni. Kattintsunk rá a jobboldali egérgombbal és válasszuk a "Tulajdonságok" ("Properties") menüt. A megjelenő ablakban lépjünk a "Könyvtárbiztonság" ("Directory Security") oldalra. Alul látható a "Biztonságos kommunikáció" ("Secure communications") beállításcsoportban három nyomógomb. Ha még nem alkalmas a webszerver az SSL kapcsolat használatára, akkor csak az első "Kiszolgáló bizonyítványa" ("Server Certificate") érhető el. Kattintsunk rá, ugyanis ezzel lehet elvégezni az igénylést. Elindul egy varázsló, hogy segítségünkre legyen a szükséges információk bekérésében.
A második oldalon választhatunk néhány bizonyítvánnyal kapcsolatos feladat közül. Jelöljük be az "Új hitelességi bizonyítvány létrehozása" ("Create a new certificate") rádiógombot és lépjünk tovább.
A következő oldalon két lehetőség közül választhatunk. Az egyik, hogy csak előkészítjük a kérelmet, ez a kérelmező adatok megadását jelenti, de nem küldjük el a hitelesítési szervezethez. A második, hogy kitöltés után az elküldést is végrehajtjuk. Válasszuk "A kérelem azonnali elküldése az on-line hitelesítő szervezethez" ("Send the request immediately to an online certification authority") pontot.
Ezután nevet kell adnunk a bizonyítványnak, megválasztásánál vegyük figyelembe, hogy mindegy, hogy mi az, de a kliensek láthatják a böngészőjükben. Választhatunk titkosítási kulcshosszt is, alapértelmezésben 512 bites kulcsot kapunk, ami a legtöbb esetben megfelelő. Tudni kell, hogy minél hosszabb a kulcs, annál nehezebben törhető fel, de annál lassúbb a kapcsolat. Ha aktivizáljuk az oldal egyetlen jelölőnégyzetét, akkor 1024 bites SGC bizonyítványt kapunk, ami erősebb titkosítást tesz lehetővé.
Következik a cégünk és szervezeti egységünk nevének megadása. Ha nincs szervezeti egység, akkor írjunk be valamit, ami összefüggésbe hozható a céggel, tevékenységi körrel, stb. A varázsló addig nem enged továbblépni, míg ki nem töltjük mindkét adatot.
A következő oldalon a kiszolgáló nevét kell megadni, teljes elérési úttal, pl.: genius.animare.hu vagy server.microsoft.com. Ha csak belső hálózaton használjuk az SSL kapcsolatot, akkor elég kizárólag a gépnév megadása. Fontos, hogy ez az információ bekerül a leendő hitelességi bizonyítványba, így egy esetleges névváltoztatás új bizonyítvány igénylését követeli meg.
Még mindig nem végeztünk az adatlap kitöltéssel. Meg kell adnunk a tartózkodási helyünkre vonatkozó információkat is, úgymint ország-, megye-, városnév.
A következő oldalon található legördülőmenüben jelöljük ki annak a hitelesítő szervezetnek a nevét, amelyhez az igénylést be akarjuk nyújtani. A listában szerepelni kell hálózatunkon (vagy a webkiszolgálón) lévő saját szervezetünknek. Ha ez is megvan, akkor végeztünk az adatok kitöltésével. Még egyszer, utoljára megtekinthetjük a beírt adatokat és ha mindent rendben találunk, küldjük el az igénylést. Hosszabb - rövidebb várakozás következik, ami alatt elmegy az igénylés, ezt elbírálja a hitelesítő szervezet és ha minden rendben van megérkezik a bizonyítvány, amit az IIS rögtön telepít is. Ha mindennek vége, akkor jelenik meg a varázsló utolsó ablaka, ahol kiléphetünk belőle.
A fenti tulajdonságlapon immár mindhárom gomb elérhető. Kattintsunk a "Hitelességi bizonyítvány megtekintésé"-re ("View Certificate") és láthatunk minden vele kapcsolatos információt. Itt hívnánk fel a figyelmet a "Részletek" ("Details") oldalon az érvényességi idő lejárati dátumára. Ezen a dátumon túl nem használható a bizonyítvány, illetve eddig kell megújítani.
A következő részben a webkiszolgáló további konfigurálásával kapcsolatos lehetőségeket nézzük meg.