Реклама:

Получение сертификатов

Вы можете воспользоваться одним из трех способов запроса или генерирования сертификата и соответствующего закрытого ключа,

■ Покупка сертификата Продажей сертификатов занимаются такие компании, как VeriSign и Thawte. Зайдите на их Web-сайты и следуйте инструкциям по покупке] сертификата.

■ Использование внутреннего центра сертификации (Certificate Authority, CA)

Если в вашей сети уже есть CA, вы можете запросить сертификаты там. Эта за- \ дача решается с помощью интегрируемого приложения Certificates ММС или! Web-интерфейса CA. Следует заметить, что службы Certificate Services являются] опциональным компонентом Microsoft Windows Server 2003 (рис. 4-11).

■ Генерирование автоматически подписываемого сертификата В .NET Frame- i work есть инструмент Makecert.exe, С его помощью вы можете генерировать! тестовые сертификаты, которые в дальнейшем можно будет использовать только : в испытательных целях.

Хранение сертификатов и ключей

Операционная система Windows абстрагирует физическое место хранения закрытых ключей и сертификатов путем использования понятия хранилища. Ваши ключи должны храниться на жестком диске, в смарт-карте или другом устройстве хранения данных. Работая с приложением, вы всегда будете взаимодействовать с хранилищем, не заботясь о деталях его реализации.

Хранением сертификатов можно управлять с помощью интегрируемого приложения ММС Ccertmgr.msc (рис. 4-12).

Байер Доминик Microsoft ASP.NET. Обеспечение безопасности. Мастер-класс

Рис. 4-11. Запрос сертификата с использованием Windows Certificate Services

Байер Доминик Microsoft ASP.NET. Обеспечение безопасности. Мастер-класс

Рис. 4-12. Интегрируемое приложение Certificates ММС

В операционной системе Windows используются два типа хранилищ: пользовательское и машинное. Машинное хранилище предназначено для сертификатов, которые должны быть доступны на машине (или для системных учетных записей), а пользовательское хранилище содержит только специфические пользовательские сертификаты. Для служб и демонов (таких как ASP.NET) используется машинное хранилище.

Каждое хранилище разбито на несколько папок. Наиболее важными из них являются панки Personal, Other People и Trusted Root Certification Authorities. Папки предназначены для следующих целей.

■ Personal Сертификаты в этой папке имеют связанный закрытый ключ, используемый для расшифровки данных с цифровой подписью.

■ Other People Данная папка содержит сертификаты лиц, которым требуется отправлять зашифрованные данные или для которых нужно проверять цифровые подписи. Папка Other People подобна адресной книге.

■ Trusted Root Certification Authorities Здесь содержатся все доступные вам сертификаты С А. Если вы купите сертификат у известной компании, например у VeriSign, никаких специальных действий выполнять не потребуется, так как сертификаты этой компании являются доступными по умолчанию. Если же вы запрашиваете или генерируете сертификаты с помощью частного СА или инструмента Makesert.exe, вам, возможно, потребуется импортировать сертификат СА в эту панку вручную. После запроса нового сертификата необходимо прежде всего создать резервную копию. В GUI щелкните сертификат правой кнопкой мыши и выберите команду All Tasks, а затем щелкните кнопку Export. Экспортируйте версию, включающую закрытый ключ (для всех машин, которые должны иметь возможность расшифровывать данные), а также версию, содержащую только открытый ключ (вы можете импортировать этот файл на все машины, которые должны шифровать данные).


⇐ Предыдущая страница| |Следующая страница ⇒