Поделиться через


Поддержка централизованных SSL-сертификатов IIS 8.0: масштабируемость SSL и управление ими

Шон Эган

Совместимость

Версия Примечания.
IIS 8.0 В IIS 8.0 появилась централизованная поддержка SSL-сертификатов.
IIS 7.5 Централизованная поддержка SSL-сертификатов не поддерживается в IIS 7.5.
IIS 7.0 Централизованная поддержка SSL-сертификатов не поддерживается в IIS 7.0.

Проблема

По мере того как более электронные коммерческие сайты приходят в очередь и больше предприятий хранят конфиденциальные документы и совместное использование конфиденциальных документов на линии, возможность размещения и масштабирования безопасных сайтов все более важнее. Кроме того, при использовании облачного размещения и эластичной масштабируемости емкость сервера должна быть добавлена и удалена динамически. До Windows Server 2012 существует несколько проблем, когда речь идет о размещении безопасных сайтов:

  • Масштабируемость SSL: в мультитенантной среде, например в общей среде размещения, существует ограничение на то, сколько безопасных сайтов можно размещать на Windows Server, что приводит к низкой плотности сайта.
  • Управляемость SSL: сертификаты хранятся локально для каждого сервера Windows Server. Поэтому их необходимо управлять по отдельности на каждом сервере Windows Server. Простая задача, например продление сертификата, должна повторяться на каждом сервере. Кроме того, добавление нового Windows Server может занять несколько часов, если необходимо импортировать тысячи сертификатов.

Решение

В Windows Server 2012 функция централизованной поддержки SSL-сертификатов позволяет администраторам сервера хранить и получать доступ к сертификатам централизованно в общей папке. Как и функция общей конфигурации, представленная в Windows Server 2008, серверы Windows в ферме серверов можно настроить для загрузки сертификатов из общей папки по запросу.

Благодаря этой функции управление привязками SSL значительно упрощается. Когда дело доходит до SSL, DNS-имя и ИМЯ CN сертификата должны совпадать. Аналогичный контракт можно расширить до имен файлов сертификатов. Например, www.contoso.com будет использоваться сертификат с именем www.contoso.com.pfxфайла. Этот контракт позволяет IIS 8.0 иметь только одну привязку SSL независимо от количества безопасных сайтов, использующих эту функцию. Соответствующий сертификат определяется значением SNI или именем узла запрошенного веб-сайта и сопоставляет его с именем файла сертификата.

Пошаговые инструкции

Необходимые компоненты

  • IIS 8.0 устанавливается в Windows Server 2012 с функцией централизованного SSL-сертификата. Эта функция является необязательным компонентом IIS и не устанавливается как часть установки по умолчанию.

    • Чтобы установить эту функцию, в диспетчер сервера обязательно выберите централизованную поддержку SSL-сертификатов в узле безопасности:

      Снимок экрана: дерево навигации диспетчер сервера. Выбран и выделен параметр централизованной поддержки сертификатов S S L под узлом безопасности.

  • Примеры сертификатов с паролем NULL. (Возможно, у вас есть примеры сертификатов с одним глобальным паролем.)

    • Сертификаты должны иметь соглашение об именовании CN_name.pfx (т www.contoso.com.pfx. е. ).
    • Если сертификат является подстановочным знаком, используйте "_" в качестве подстановочного шаблона. (т. е _.contoso.com.pfx. ).
    • Если сертификат имеет несколько имен CN, они должны называться отдельными файлами. (то есть, www.contoso1.com.pfx, www.contoso2.com.pfxи т. д.)
  • Две общие папки: одна для общей конфигурации и другая для централизованных SSL-сертификатов.

    • Сервер IIS использует общую конфигурацию.
    • Примеры сертификатов были скопированы в общую папку для централизованных SSL-сертификатов.
  • \windows\system32\drivers\etc\hosts было изменено для использования для примера сайта и сертификата. Например, если имя CN сертификата является centralCert0, файл узлов должен содержать:

    127.0.0.1 centralCert0

Обходные пути для известных ошибок

В настоящее время для этой функции отсутствуют известные ошибки.

Настройка функции централизованной поддержки SSL-сертификатов

  1. Откройте диспетчер служб IIS.

  2. Выберите узел сервера в левом окне навигации:
    Снимок экрана: диалоговое окно

  3. В разделе "Управление" дважды щелкните централизованные сертификаты:
    Снимок экрана: значки управления. Выделен значок централизованных сертификатов.

  4. В области "Действия" выберите "Изменить параметры компонентов":
    Снимок экрана: панель действий. Выделена кнопка

  5. Введите следующие данные:

    • Включение централизованных сертификатов: выбрано

    • Физический путь: например: \\ccdemo\centralcert

      • Это UNC-путь к общей папке, в которой находятся сертификаты.
    • Имя пользователя: укажите учетную запись пользователя с доступом на чтение к общей папке.

    • Пароль или подтверждение пароля.

    • Пароль закрытого ключа сертификата:

      • Необязательное поле. Если у сертификатов нет пароля, оставьте его пустым.

      • Если у сертификатов есть один глобальный пароль, введите этот пароль здесь.

        Снимок экрана: диалоговое окно

  6. Централизованная функция поддержки SSL-сертификатов теперь готова к использованию. Обратите внимание, что диспетчер IIS считывает сертификаты и заполняет наиболее релевантные сведения о сертификатах. Эти сведения кэшируются для повышения производительности.

  7. Одна из важных функций управления — возможность группировать сертификаты по их датам окончания срока действия:
    Снимок экрана: диалоговое окно

  8. Узнайте, как легко увидеть сертификаты, которые:

    • Срок действия истек

    • Срок действия завтра

    • Срок действия этой недели

    • Срок действия на следующей неделе

    • Срок действия в следующем месяце

    • Позже

      Снимок экрана: диалоговое окно

Создание безопасного веб-сайта

  1. Откройте диспетчер служб IIS.

  2. Выберите сайты в левом окне навигации:
    Снимок экрана: дерево навигации I S Manager. Выделен параметр

  3. Выберите " Добавить веб-сайт":
    Снимок экрана: дерево навигации I S Manager. Выбран параметр

  4. Заполните сведения, так как вы создадите любой сайт:

    • Имя сайта: centralCert0

    • Физический путь: c:\inetpub\wwwroot

    • Тип: https

    • Имя узла: centralcert0

      • Это новое для Windows Server 2012 в этом имени узла можно указать для SSL.
      • Фактическое значение этой конфигурации зависит от используемого примера сертификата.
    • Требовать указание имени сервера: не выбрано

      • При выборе можно также выбрать параметр "Требовать указание имени сервера". Централизованное хранилище сертификатов не требует использования SNI, но работает правильно при использовании SNI.
      • Обратите внимание, что в выпуске предварительной версии разработчика централизованное хранилище сертификатов также требует использования SNI. Это ограничение было удалено в бета-версии.
    • Использование централизованного хранилища сертификатов: выбрано

      • Обратите внимание, что необходимо выбрать конкретный соответствующий сертификат.
      • С помощью контракта именования соответствующий сертификат выбирается автоматически. В этом примере IIS пытается считывать centralcert0.pfx из общей папки SSL-сертификата.

      Снимок экрана: диалоговое окно

  5. Убедитесь, что сайт создан:
    Снимок экрана: дерево навигации I S Manager. В разделе

  6. Вот и все. Защищенный сайт был создан с помощью централизованной поддержки SSL-сертификатов. Интерфейс управления очень похож на общую конфигурацию и традиционную привязку SSL. Различия описаны ниже.

    • Сертификаты хранятся централизованно в общей папке.
    • Имя узла можно указать для SSL-сайта.
    • Привязка SSL не управляется явно 1–1.

Тестирование защищенного сайта

Откройте веб-браузер и перейдите по адресу https://centralcert0/. Обратите внимание, что в рамках предварительных требований файл узлов должен изменяться для маршрутизации этого запроса в localhost:

Снимок экрана: центральная веб-страница с нулевым сертификатом. I S восемь отображается на веб-странице.

Кроме того, чтобы просмотреть новый тип привязки SSL, введите следующее в окне командной строки с повышенными привилегиями:

netsh http show sslcert

Снимок экрана: окно командной строки. В окне показан новый тип привязки S S L. Привязка S L — порт двоеточия имени узла.

Обратите внимание, что привязка SSL — имя узла:порт со значением *:443. Кроме того, хэш сертификата не связан с этой привязкой, так как соответствующий сертификат загружается по запросу на основе контракта имени файла сертификата.

Сценарии

Попробуйте развернуть следующие сценарии:

  • Централизованная поддержка SSL-сертификатов предназначена для масштабирования для мультитенантной среды. Попробуйте настроить тысячи безопасных сайтов с помощью этой функции.

  • С тысячами сертификатов выполните следующую команду в окне командной строки с повышенными привилегиями. Обратите внимание, что независимо от количества безопасных сайтов существует только одна привязка:

    netsh http show sslcert

  • Попробуйте добавить новый сервер в эту ферму серверов. Использование общей конфигурации и централизованной поддержки SSL-сертификатов теперь выполняется 3 этапа.

    1. Настройте новый сервер для использования общей конфигурации.

    2. Настройте новый сервер для использования централизованной поддержки SSL-сертификатов.

    3. Создайте привязку SSL. Введите одно из окон командной строки с повышенными привилегиями:

      add sslcert hostnameport=*:443 appid={00112233-4455-6677-8899-AABBCCDDEFF}
      
  • В отличие от предыдущих версий Windows Server, сертификаты в Windows Server 2012 загружаются в память по запросу. После настройки тысяч безопасных сайтов с помощью функции централизованной поддержки SSL-сертификатов отправьте запрос GET на один из безопасных сайтов и просмотрите использование памяти. Это незначительно. В предыдущих версиях Windows Server, если были настроены сотни безопасных сайтов, отправка только одного запроса GET приводит к загрузке всех сертификатов Windows Server, что приводит к высокой загрузке памяти и дальнейшему ограничению масштабируемости.

  • Создайте безопасные сайты с помощью SNI, традиционной и централизованной поддержки SSL-сертификатов. Они предназначены для совместного существования.

Итоги

Вы успешно изучили функцию централизованного SSL-сертификата в Windows Server 2012.