Обеспечение безопасности передачи данных с помощью SSL

Last modified: 21 Dec 2007

WARNING: This documentation covers Parallels H-Sphere versions up to 3.1. For the latest up-to-date Parallels H-Sphere documentation, please proceed to the official Parallels site.

SSL (Secure Sockets Layer protocol) - это стандартный протокол для передачи через интернет конфиденциальных данных, например, номеров кредитных карточек. Большинство коммерческих сайтов поддерживают эту функцию, которая обеспечивает большую безопасность передачи данных через интернет. SSL - это минимальный стандартный уровень защиты коммерческой информации в интернете. Действие SSL основано на использовании закрытого ключа для шифрования данных, передаваемых с помощью SSL-соединения. Подробнее о SSL и принципах его работы см. на странице http://www.modssl.org/docs/2.8/index.html

Можно обезопасить передачу конфиденциальных данных на сайте путем:

• использования существующего ключа и сертификата
• создания временного ключа и сертификата
• получения постоянного сертификата у официальной инстанции
• продления срока действия постоянного сертификата
• использования сертификата провайдера (Общий SSL)

Использование существующего ключа и сертификата

Для SSL необходим выделенный IP-адрес, поскольку хостинг, основанный на имени, не поддерживает функцию шифрования данных в HTTP-запросах. Чтобы активизировать SSL:

1. Нажмите на SSL на домашней странице панели управления.
2. Включите SSL.
3. Согласитесь на дополнительные платежи.
4. В появившихся окнах введите закрытый ключ сервера SSL и сертификат SSL:

   

5. В поле Site Name выберите, хотите ли вы, чтобы сертификат безопасности был применим к доменному имени с префиксом www или без. Только одна из опций будет работать правильно. Например, если вы выберете безопасность для http://www.domain.com, то при переходе на http://domain.com посетители будут получать предостережение о соблюдении безопасности.
6. Нажмите Да. Теперь ваш сайт защищен.

Создание временного сертификата

Единственная разница между временными и постоянными сертификатами заключается в том, что временные сертификаты генерируются панелью управления, а не официальной инстанцией. При входе посетителей на сайт появляется предупреждение "unknown certification authority".

Для создания временного закрытого ключа и сертификата SSL:

1. Нажмите SSL на домашней странице панели управления.
2. Активизируйте SSL для домена из списка.
3. Согласитесь на дополнительные платежи.
4. Нажмите на ссылку вверху появившейся формы.
5. На появившейся странице подтвердите данные, нажав на кнопку Да:

   

   Эти данные необходимы для создания сертификата. Если нет особой необходимости, не вносите в них никаких изменений.
6. Следуйте указаниям, которые появляются вверху следующей страницы.

   

   • Запрос на подписание сертификата SSL. Содержит данные, которые вы указали на предыдущем этапе. Используется, если вы хотите получить постоянный сертификат SSL от официальной инстанции, например Comodo Ca (см.ниже).
   • Закрытый ключ сервера SSL. Это закрытый ключ для расшифровки сообщений посетителей. Он должен храниться в безопасном, недоступном для посторонних месте. Наличие ключа обязательно для получения постоянного сертификата.
   • Временный сертификат SSL. Удостоверяет вашу личность и подтверждает открытый ключ. Таким образом, посетители могут быть уверены, что они устанавливают соединение с аашим сервером, а не с каким-либо другим.
7. Нажмите на Submit Query.

Получение постоянного сертификата

Для того, чтобы получить постоянный сертификат:

1. Создайте временный сертификат SSL (см.выше).
2. Скопируйте запрос на подписание сертификата (CSR) и закрытый ключ.
3. Перейдите на сайт Comodo Ca, или другой официальной инстанции и выберите опцию получения нового сертификата. По требованию введите запрос CSR, который вы сохранили ранее.
4. После получения постоянного сертификата SSL его следует хранить в безопасном месте.
5. Нажмите на SSL на домашней странице панели управления.
6. Перейдите на страницу Веб-сервис и нажмите на иконку Редактироватьв поле SSL.
7. Введите сертификат в верхнее поле появившейся формы ("Ввести сертификат на основе ранее созданного запроса):

   

   Для COMODO.NET введите корневой цепочный сертификат:

   

   Для Equifax введите также файл сертифицирующей инстанции:



8. Нажмите Загрузить.
9. Теперь вы можете использовать сертификат вместе с ранее сохраненным закрытым ключом.

Продление срока действия постоянного сертификата

Если срок вашего сертификата истекает и вы хотите продлить его:

1. Отыщите запрос на подписание (CSR), который вы сохранили при получении имеющегося сертификата.
2. Перейдите на сайт официальной инстанции и выберите опцию продления срока действия сертификата. Введите CSR по требованию.
3. После получения постоянного сертификата SSL храните его в безопасном месте.
4. Нажмите на SSL на домашней странице панели управления.
5. Перейдите на страницу Веб-сервис и нажмите на иконку Редактировать рядом с Поддержка SSL.
6. Введите соответствующий сертификат в окно открывшейся формы:

   

7. Нажмите Загрузить.
8. Теперь вы можете использовать сертификат вместе с ранее сохраненным закрытым ключом.

    

Использование SSL-сертификата вашего провайдера (Общий SSL)

Если ваш провайдер предлагает общий SSL-сертификат, вы можете использовать его, а не приобретать свой собственный. В отличие от постоянного сертификата SSL, он стоит дешевле и не требует выделенного IP-адреса, но при этом имеет такую же силу. Недостаток общего SSL-сертификата состоит в том, что он может использоваться только с доменами третьего уровня.

Использование общего SSL возможно только в том случае, если ваш сайт работает под общим IP-адресом.

Для обеспечения безопасности сайта с помощью общего SSL:

1. Нажмите на SSL на домашней странице панели управления.
2. Разрешите общий SSL для домена из списка.
3. Согласитесь на дополнительные платежи.
4. Если вы используете домен второго уровня (example.com), вам будет предложено создать доменный алиас третьего уровня (например, domainalias.example.com):

   

Теперь сайт доступен под незащищенным доменным именем второго уровня (например: http://example.com) и защищенным доменным алиасом третьего уровня (например: https://example.victor.psoft). Обратите внимание, что общий  SSL-сертификат взаимодействует только с одним доменным уровнем, т.е. работает с user1.example.com и не работает с www.user1.example.com. В вышеприведенном случае сертификат не будет работать с www.example.victor.psoft, а ваши посетители получат уведомление: "Имя в сертификате безопасности не соответствует имени сайта".

ПРИМЕЧАНИЕ: При разработке страниц внутренние ссылки на изображения могут выглядеть как <a href='https://user.domain.com/images/example.jpg'> или <a href='/images/example.jpg'>. Если вы используете ссылку <a href='http://...>, посетители получат сообщение: "Страница содержит как безопасные, так и опасные элементы". Это одна из немногих проблем, связанных с защитой. Посетители могут просто выбрать опцию  "не показывать опасные элементы", но при этом не будет видна графика.