logo

[ELMA3] Настройка работы ELMA на HTTPS

HTTPS (Hypertext Transfer Protocol Secure) – расширение протокола HTTP, поддерживающее шифрование. Данные, передаваемые по протоколу HTTPS, передаются "упакованными" в криптографический протокол SSL или TLS, чем и обеспечивается защита передаваемых данных. По умолчанию для HTTPS используется TCP-порт 443.

Принцип работы

HTTPS не является отдельным протоколом. Это обычный HTTP, работающий через шифрованные транспортные механизмы SSL и TLS. Он обеспечивает защиту от атак, основанных на прослушивании сетевого соединения — от снифферских атак и атак типа man-in-the-middle при условии, что будут использоваться шифрующие средства и сертификат сервера проверен и ему доверяют.

По умолчанию HTTPS URL использует 443 TCP-порт (для незащищённого HTTP — 80). Чтобы подготовить веб-сервер для обработки https-соединений, администратор должен получить и установить в систему сертификат для этого веб-сервера. Сертификат состоит из двух частей (двух ключей) — public и private. Public-часть сертификата используется для шифрования трафика от клиента к серверу в защищённом соединении, private-часть — для расшифровки полученного от клиента зашифрованного трафика на сервере. После того как пара ключей приватный/публичный сгенерированы, на основе публичного ключа формируется запрос на сертификат в Центр сертификации, в ответ на который ЦС высылает подписанный сертификат. ЦС при подписании проверяет клиента, что позволяет ему гарантировать что держатель сертификата является тем, за кого себя выдаёт (обычно это платная услуга).

Эта система также может использоваться для аутентификации клиента, чтобы обеспечить доступ к серверу только авторизованным пользователям. Для этого администратор обычно создаёт сертификаты для каждого пользователя и загружает их в веб-браузер каждого пользователя. Также будут приниматься все сертификаты, подписанные организациями, которым доверяет сервер. Такой сертификат обычно содержит имя и адрес электронной почты авторизованного пользователя, которые проверяются при каждом соединении, чтобы проверить личность пользователя без ввода пароля.

Подробнее http://ru.wikipedia.org/wiki/Https.

В данной статье рассмотрен механизм настройки работы системы ELMA на работу по протоколу HTTPS.

Общий план работ

  1. Получение сертификата.
  2. Настройка привязки HTTPS.
  3. Изменения в файле конфигурации.
  4. Настройка ELMA Агент.

Получение сертификата

1. Для начала работы необходимо открыть Диспетчер служб IIS.

2. Далее в блоке IIS необходимо открыть Сертификаты сервера.

3. В правом меню требуется нажать на ссылку Создать самозаверенный сертификат.

4. В открывшемся окне указываем имя нашего сертификата.

Теперь можно приступить к настройке HTTPS.

Привязка и настройка HTTPS

1. В Диспетчере служб IIS необходимо выбрать наш сайт и в правом меню нажать на ссылку Привязки….

2. В открывшемся окне необходимо нажать на кнопку Добавить… и заполнить все требуемые поля: в поле Тип из выпадающего списка необходимо указать https, в поле SSL-сертификат – созданный ранее сертификат.

Имя узла – поле, содержащее имя узла. Имя узла задается в случае, если необходимо назначить одно или несколько имен узлов (называемых также именами доменов) одному компьютеру, который использует один IP-адрес. Если задается имя узла, то для доступа к веб-сайту вместо IP-адреса необходимо использовать имя узла.

В случае, если этот узел доступен из Интернета, необходимо ввести имя домена этого узла в том виде, в каком пользователи будут вводить его в обозревателе. Если у узла несколько имен доменов, следует создать отдельные привязки для каждого имени узла. В случае, если сайт находится в интрасети, то нет необходимости задавать имя узла. Однако если сервер DNS настроен на хранение других имен для этого веб-сервера, то можно создать отдельную привязку для каждого имени узла, чтобы пользователи могли применять другие имена, хранящиеся на сервере DNS.

Примечание
Также может быть установлено несколько привязок. Например, на внешний сайт может быть привязка к HTTPS, а в локальной сети – к HTTP.

3. Указав в адресной строке веб-браузера адрес https://localhost:443, можно открыть наш сайт.

На этом настройка HTTPS закончена.

4. Для того чтобы сделать безопасными cookie-сессии, необходимо в файле конфигурации ../<Общая папка с файлами системы ELMA>/Web/Web.config изменить параметр <forms name="Elma.V3.Forms.Auth" requireSSL="false" на <forms name="Elma.V3.Forms.Auth" requireSSL="true":

Кроме того, в Диспетчере служб IIS вы также можете сделать безопасными cookie-сессии. Для этого в Редакторе конфигураций выберите раздел system.web/httpCookies и установите значение True для requireSSL, как показано на рисунке ниже.

Вы можете установить правило перезаписи URL-адреса для перенаправления трафика веб-сайта с HTTP на HTTPS.

Примечание

Настройки в пункте 4 являются дополнительными. Они повышают уровень защиты от веб-атак (xss-атак).

Настройка ELMA Агент

При запуске ELMA Агент необходимо указать адрес https://localhost:443: