Обеспечение безопасности передачи данных с помощью SSL

Last modified: 21 Dec 2007

WARNING: This documentation covers Parallels H-Sphere versions up to 3.1. For the latest up-to-date Parallels H-Sphere documentation, please proceed to the official Parallels site.

SSL (Secure Sockets Layer protocol) - это стандартный протокол для передачи через интернет конфиденциальных данных, например, номеров кредитных карточек. Большинство коммерческих сайтов поддерживают эту функцию, которая обеспечивает большую безопасность передачи данных через интернет. SSL - это минимальный стандартный уровень защиты коммерческой информации в интернете. Действие SSL основано на использовании закрытого ключа для шифрования данных, передаваемых с помощью SSL-соединения. Подробнее о SSL и принципах его работы см. на странице http://www.modssl.org/docs/2.8/index.html

Можно обезопасить передачу конфиденциальных данных на сайте путем:

• использования существующего ключа и сертификата
• создания временного ключа и сертификата
• получения постоянного сертификата у официальной инстанции
• продления срока действия постоянного сертификата
• использования сертификата провайдера (Общий SSL)

Использование существующего ключа и сертификата

Для SSL необходим выделенный IP-адрес, поскольку хостинг, основанный на имени, не поддерживает функцию шифрования данных в HTTP-запросах. Чтобы активизировать SSL:

1. Выберите Параметры в меню Настройки домена.
2. Выберите домен и нажмите на иконку Редактировать в поле Веб-сервис.
3. Включите SSL.
4. Согласитесь на дополнительные платежи.
5. В появившихся окнах введите закрытый ключ сервера SSL и сертификат SSL:

   

6. В поле Site Name выберите, хотите ли вы, чтобы сертификат безопасности был применим к доменному имени с префиксом www или без. Только одна из опций будет работать правильно. Например, если вы выберете безопасность для http://www.domain.com, то при переходе на http://domain.com посетители будут получать предостережение о соблюдении безопасности.
7. Нажмите Да. Теперь ваш сайт защищен.

Создание временного сертификата

Единственная разница между временными и постоянными сертификатами заключается в том, что временные сертификаты генерируются панелью управления, а не официальной инстанцией. При входе посетителей на сайт появляется предупреждение "unknown certification authority".

Для создания временного закрытого ключа и сертификата SSL:

1. Выберите Параметры в меню Настройки домена.
2. Выберите домен и нажмите на иконку Редактировать в поле Веб-сервис.
3. Активизируйте SSL для домена из списка.
4. Согласитесь на дополнительные платежи.
5. Нажмите на ссылку вверху появившейся формы.
6. На появившейся странице подтвердите данные, нажав на кнопку Да:

   

   Эти данные необходимы для создания сертификата. Если нет особой необходимости, не вносите в них никаких изменений.
7. Следуйте указаниям, которые появляются вверху следующей страницы.

   

   • Запрос на подписание сертификата SSL. Содержит данные, которые вы указали на предыдущем этапе. Используется, если вы хотите получить постоянный сертификат SSL от официальной инстанции, например Comodo Ca (см.ниже).
   • Закрытый ключ сервера SSL. Это закрытый ключ для расшифровки сообщений посетителей. Он должен храниться в безопасном, недоступном для посторонних месте. Наличие ключа обязательно для получения постоянного сертификата.
   • Временный сертификат SSL. Удостоверяет вашу личность и подтверждает открытый ключ. Таким образом, посетители могут быть уверены, что они устанавливают соединение с аашим сервером, а не с каким-либо другим.
8. Нажмите на Submit Query.

Получение постоянного сертификата

Для того, чтобы получить постоянный сертификат:

1. Создайте временный сертификат SSL (см.выше).
2. Скопируйте запрос на подписание сертификата (CSR) и закрытый ключ.
3. Перейдите на сайт Comodo Ca, или другой официальной инстанции и выберите опцию получения нового сертификата. По требованию введите запрос CSR, который вы сохранили ранее.
4. После получения постоянного сертификата SSL его следует хранить в безопасном месте.
5. Выберите Параметры в меню Настройки домена menu.
6. Перейдите на страницу Веб-сервис и нажмите на иконку Редактироватьв поле SSL.
7. Введите сертификат в верхнее поле появившейся формы ("Ввести сертификат на основе ранее созданного запроса):

   

   Для COMODO.NET введите корневой цепочный сертификат:

   

   Для Equifax введите также файл сертифицирующей инстанции:



8. Нажмите Загрузить.
9. Теперь вы можете использовать сертификат вместе с ранее сохраненным закрытым ключом.

Продление срока действия постоянного сертификата

Если срок вашего сертификата истекает и вы хотите продлить его:

1. Отыщите запрос на подписание (CSR), который вы сохранили при получении имеющегося сертификата.
2. Перейдите на сайт официальной инстанции и выберите опцию продления срока действия сертификата. Введите CSR по требованию.
3. После получения постоянного сертификата SSL храните его в безопасном месте.
4. Выберите Параметры в меню Настройки домена.
5. Перейдите на страницу Веб-сервис и нажмите на иконку Редактировать рядом с Поддержка SSL.
6. Введите соответствующий сертификат в окно открывшейся формы:

   

7. Нажмите Загрузить.
8. Теперь вы можете использовать сертификат вместе с ранее сохраненным закрытым ключом.

    

Использование SSL-сертификата вашего провайдера (Общий SSL)

Если ваш провайдер предлагает общий SSL-сертификат, вы можете использовать его, а не приобретать свой собственный. В отличие от постоянного сертификата SSL, он стоит дешевле и не требует выделенного IP-адреса, но при этом имеет такую же силу. Недостаток общего SSL-сертификата состоит в том, что он может использоваться только с доменами третьего уровня.

Использование общего SSL возможно только в том случае, если ваш сайт работает под общим IP-адресом.

Для обеспечения безопасности сайта с помощью общего SSL:

1. Выберите Параметры в меню Настройки домена.
2. Нажмите на иконку Редактировать в поле Веб-сервис.
3. Разрешите общий SSL для домена из списка.
4. Согласитесь на дополнительные платежи.
5. Если вы используете домен второго уровня (example.com), вам будет предложено создать доменный алиас третьего уровня (например, domainalias.example.com):

   

Теперь сайт доступен под незащищенным доменным именем второго уровня (например: http://example.com) и защищенным доменным алиасом третьего уровня (например: https://example.victor.psoft). Обратите внимание, что общий  SSL-сертификат взаимодействует только с одним доменным уровнем, т.е. работает с user1.example.com и не работает с www.user1.example.com. В вышеприведенном случае сертификат не будет работать с www.example.victor.psoft, а ваши посетители получат уведомление: "Имя в сертификате безопасности не соответствует имени сайта".

ПРИМЕЧАНИЕ: При разработке страниц внутренние ссылки на изображения могут выглядеть как <a href='https://user.domain.com/images/example.jpg'> или <a href='/images/example.jpg'>. Если вы используете ссылку <a href='http://...>, посетители получат сообщение: "Страница содержит как безопасные, так и опасные элементы". Это одна из немногих проблем, связанных с защитой. Посетители могут просто выбрать опцию  "не показывать опасные элементы", но при этом не будет видна графика.