CertifikaΦnφ autorita I.CA
dist_1_1.gif (51 bytes)
1_1.gif (51 bytes) 1_1.gif (51 bytes)

WWW prohlφ╛eΦe

WWW servery

Elektronickß po╣ta

LDAP

E-mail

PVT.NET

Seznam
ATLAS

Netscape Enterprise Server

Toto nastavenφ bylo testovßno a nßvod platφ pro Netscape Enterprise Server 2.0 nainstalovanΘm pod Windows NT. Pro instalaci na Digital UNIX se li╣φ hlavn∞ generßtor klφΦ∙ a umφst∞nφ jednotliv²ch soubor∙ na disku.

Nastavenφ SSL na serveru :

  • Generovßnφ pßru klφΦ∙ (ve°ejn² + privßtnφ)
  • «ßdost o certifikßt CertifikaΦnφ autority (CA)
  • Instalace certifikßtu, zaslanΘho CertifikaΦnφ autoritou
  • Nastavenφ SSL komunikace na serveru


I. Generovßnφ pßru klφΦ∙

  1. Z p°φkazovΘ °ßdky (nebo Exploreru) spus╗ program [server_root]/bin/https/admin/bin/sec-key.exe. Objevφ se generaΦnφ program.
  2. Zadej kde bude umφst∞n soubor pßru klφΦ∙ - keyfile (cestu a nßzev souboru) obvykle [server_root]/https-[nßzev_serveru]/config/ServerKey.db nap°φklad: c:/Netscape/Server/https-spin/config/ServerKey.db (Je mo╛nΘ takΘ zadat pouze nßzev souboru keyfile (ServerKey.db). Bude umφst∞n do adresß°e [server_root]/bin/https/admin/bin/[nßzev_keyfile] a pak ho p°esunout.
  3. Objevφ se stupnice. Pohybuj nßhodn∞ my╣φ. Tyto nßhodnΘ pohyby slou╛φ ke generovßnφ nßhodnΘho Φφsla, na jeho╛ zßklad∞ bude vytvo°en unikßtnφ klφΦ.
  4. Zadej heslo klφΦe. Toto heslo bude zadßvßno p°i ka╛dΘm restartu serveru. Heslo musφ mφt min. 8 znak∙, z toho 1 nealfabetick² uprost°ed, nap°. äheslo:kliceô. Slou╛φ k d∙v∞rnΘmu uchovßnφ privßtnφho klφΦe.
  5. Zadej znovu heslo a stiskni OK.
  6. Prove∩ p°φpadn² p°esun keyfile (viz. Bod 2).
  7. V Server Manageru zvol Encryption -> Generate Key. Objevφ se formulß° äGenerate a Key Pair Fileô.
  8. Zadej umφst∞nφ keyfile do pole äKey File Pathô. Tento adresß° by m∞l b²t bezpeΦn² p°ed ostatnφmi u╛ivateli. Pokud zadß╣ jenom nßzev keyfile (nap°. ServerKey.db) bude je adm.server hledat v obvyklΘ cest∞ podle bodu 2. Jestli╛e je umφst∞no jinde, je nutnΘ s nßzvem zadat celou cestu.
  9. Stiskni OK. Bude vygenerovßno novΘ keyfile a umφst∞no v zadanΘm adresß°i.

Kdy╛ zapomene╣ heslo klφΦe, musφ╣ znovu vygenerovat keyfile (a znovu po╛ßdat o certifikßt CA).

Zm∞na hesla klφΦe:

  • V Server Manageru zvol Encryption -> Change Key Password
  • Zadej cestu a nßzev keyfile. (pokud je keyfile umφst∞no äobvykleô podle bodu 2., staΦφ zadat nßzev)
  • Zadej starΘ heslo a 2x novΘ heslo, OK.


II. «ßdost o certifikßt

  1. V Server Manageru zvol Encryption -> Request Certificate. Objevφ se formulß° Request a Server Certificate.
  2. Do pole Certificate Authority zadej Email adresu CetrifikaΦnφ autority, u kterΘ ╛ßdß╣ o certifikßt. V p°φpad∞ CertifikaΦnφ autority I.CA zde zadej svou Email adresu a obsah tΘto zprßvy p°ines na registaΦnφ autoritu I.CA, pokud ╛ßdß╣ o placen² p;lroΦnφ certifikßt.
  3. UrΦi, ╛e jde o nov² cetifikßt (New Certificate), nikoliv o obnovenφ certifikßtu s pro╣lou platnostφ.
  4. Zadej umφst∞nφ keyfile (p°i äobvyklΘmô umφst∞nφ dle I.-2. staΦφ nßzev) a heslo klφΦe
  5. Vypl≥ identifikaΦnφ polo╛ky v ╛ßdost o certifikßt. (V poli Common Name by m∞l b²t nßzev, kter² je v databßzi DNS, jinak p°i autentikaci serveru klientem (Netscape Navigator) budou klientovi posφlßny zbyteΦnΘ zprßvy, ╛e nßzev uveden² v certifikßtu nesouhlasφ).
  6. Stiskni OK. Spustφ se generovßnφ ╛ßdosti.
  7. Po vygenerovßnφ se text ╛ßdosti objevφ na obrazovce. Po╣li ji standardnφm mailem, tak jak to umo╛≥uje server, nebo ji ulo╛ do souboru, postaΦφ Φßst od nadpisu ----BEGIN NEW CERTIFICATE REQUEST--- do ----END NEW CERTIFICATE REQUEST---- vΦetn∞, a po╣li tento soubor na I.CA (nap°. mailem)

III. Instalace certifikßtu

Je mo╛nΘ nainstalovat 3 druhy certifikßt∙.
  1. Vlastnφ certifikßt, kter²m se server bude autentikovat klient∙m
  2. Certifikßt CA pro pou╛itφ v certifikaΦnφm °et∞zci - je nutno znßt p°esnou hierarchii CertifikaΦnφch autorit (zatφm neexistuje)
  3. Certifikßt CA, kterou urΦφte jako d∙v∞ryhodnou (klient, kter² se presentuje certifikßtem podepsan²m touto CA bude pova╛ovßn za d∙v∞ryhodnΘho). Certifikßty podle bodu 1. a 3. jsou nutnΘ k oboustrannΘ autentikaci (klient - server). V╣echny certifikßty jsou instalovßny stejn²m postupem

CA vytvo°φ jako odpov∞∩ na ╛ßdost certifikßt ve tvaru souboru. V p°φpad∞ I.CA jsou to 4 soubory s koncovkami der, htm, txt a pem, kterΘ budou poslßny elektronickou po╣tou. Je t°eba mφt soubor ve tvaru txt nebo pem. CertifikaΦnφ autorita p°idß takΘ sv∙j vlastnφ certifikßt ve v╣ech dostupn²ch formßtech. (Je nutnΘ ho mφt nainstalovßn, pokud chce╣, aby server umo╛nil p°φstup klient∙m s certifikßtem podepsan²m touto CA).. Postup:

  1. V Server Manageru zvol Encryption -> Install Certificate
  2. Chce╣-li instalovat sv∙j vlastnφ certifikßt, zatrhni äThis Serverô, chce╣-li instalovat certifikßt CA zatrhni äTrusted Certificate Authorityô.
  3. Vypl≥ jmΘno certifikßtu, jde-li o certifikßt CA. Vlastnφ certifikßt serveru bude mφt implicitnφ jmΘno (Server - Cert). Pod tφmto jmΘnem se bude certifikßt objevovat v seznamu.
  4. Vypl≥ plnou cestu na soubor v kterΘm je certifikßt ulo╛en ve tvaru txt, pem (äMessage is in this fileô), nebo zatrhni volbu äMessage textô a obsah souboru zkopφruj do tohoto pole (staΦφ Φßst od ---BEGIN CERTIFICATE ---- po ----END CERTIFICATE---- vΦetn∞.
  5. Specifikuj databßzi, do kterΘ se mß certifikßt ulo╛it.(Defaultn∞ ServerCert).
  6. OK, Save and Apply.

Nov∞ nainstalovan² certifikßt se objevφ v seznamu. Seznam je mo╛no zobrazit v Server Manageru volbou Encryption -> Manage Certificates. Kliknutφm na jmΘno se cetifikßt zobrazφ a je mo╛nΘ ho smazat, u certifikßt∙ CA nastavit zda je d∙v∞ryhodnß nebo ne.


IV. Zapnutφ SSL na serveru

  1. V Server Manageru zvol Encryption -> On/Off. Objevφ se formulß° äEncryption On/Off. Nastav Encryption äOnô.
  2. Nastav Φφslo portu. Zvolφ╣-li jinΘ ne╛ implicitnφ 443, bude ho muset ka╛d² klient p°i p°ihla╣ovßnφ uvßd∞t v URL, nap°φklad https://pokus.ica.cz:27888
  3. Zadej umφst∞nφ keyfile (p°i äObvyklΘmô umφst∞nφ podle I.- 2. StaΦφ nßzev souboru)
  4. Do pole äCertificate fileô zadej kde je databßze certifikßtu (implicitn∞ je uvedena cesta na ServerCert)
  5. stiskni OK, Save and Apply

Nastavenφ preferencφ bezpeΦnosti: V Server Manageru zvol Encryption -> Security Preferences. M∙╛e╣ zm∞nit nßsledujφcφ nastavenφ:

  • Allow: Verse SSL. Nejnov∞j╣φ je SSL3, ale mnoho star╣φch klient∙ pou╛φvß pouze SSL2, proto je vhodnΘ nastavit ob∞.
  • Require client certificates: Nastavenφ äYesô zp∙sobφ, ╛e p°φstup je povolen pouze klient∙m s certifikßtem podepsan²m CA, jejφ╛ certifikßt mß server nainstalovßn a nastaven jako d∙v∞ryhodn². Pokud chce╣ umo╛nit klient∙m bez certifikßtu p°φstup na server do oblastφ, kde je umo╛n∞n p°φstup voln²(nap°. domovskß strßnka) nebo p°es jmΘno a heslo, nastav No.
  • Ciphers: Pokud nemß╣ d∙vod proΦ n∞kterou ╣ifru vy°adit, zatrhni v╣echny (krom∞ No encryption, aby nedo╣lo k nek≤dovanΘmu spojenφ, kdy╛ se p°ihlßsφ klient, kter² neznß ╛ßdnou ╣ifru).D∙vodem vy°azenφ m∙╛e b²t, ╛e n∞kterß ╣ifra nenφ pro danΘ ·Φely postaΦujφcφ.


SSL v 2.0 SSL v 3.0
RC4 128 bit∙RC4 128 bit∙ + autentikace MD5
RC4 40 bit∙RC4 40 bit∙ + autentikace MD5
RC2 128 bit∙Triple DES 168 bit∙ + autentikace SHA
RC2 40 bit∙DES 56 bit∙ + autentikace SHA
DES 56 bit∙RC2 40 bit∙ + autentikace MD5
Triple DES 168 bit∙«ßdnΘ k≤dovßnφ, jen autentikace MD5



Nastavenφ p°φstupu pomocφ certifikßt∙

I u╛ivatel, kter² mß certifikßt, musφ mφt nejprve vytvo°eno jmΘno a heslo v databßzi u╛ivatel∙. Lze pou╛φt defaulnφ databßzi, nebo si vytvo°it svou (v Server Manageru: Acces Control -> Manage User Databases). U╛ivatel se vytvo°φ v Server Manageru pomocφ Acces Control -> Create User. Vytvo°enΘ u╛ivatele je mo╛nΘ sdru╛it do skupin (Acces Control -> Create Group), aby bylo mo╛nΘ p°id∞lit celΘ skupin∞ najednou stejnß prßva.

Omezenφ p°φstupu se provede v Server Manageru :

  1. Acces Control -> Restrict Acces.
  2. Pomocφ Browse a Wildcard specifikuj oblast serveru, kam bude omezen p°φstup.
  3. Nastav Acces Control na On.
  4. Nastav defaultnφ p°φstup pro Φtenφ a psanφ

Je-li p°φstup implicitn∞ povolen, lze pomocφ äPermissionô urΦit²m u╛ivatel∙m p°φstup zakßzat.

Je-li p°φstup implicitn∞ zakßzßn, lze n∞kter²m u╛ivatel∙m p°φstup povolit: Po stisknutφ "Permission" se objevφ formulß° pro nastavenφ tohoto p°φstupu:

Host Always Allow Acces : Vypln∞nφm jmΘna nebo IP adresy mß uveden² u╛ivatel p°φstup voln² (zru╣en zßkaz pro tohoto u╛ivatele).

Dßle je mo╛nΘ nastavit jmΘna u╛ivatel∙, nßzvy skupin u╛ivatel∙ nebo IP adresy u╛ivatel∙, kte°φ majφ p°φstup p°es jmΘno a heslo nebo p°es certifikßt, co╛ je nastaveno p°es Autentication Method. V p°φpad∞ nastavenφ p°φstupu p°es jmΘno a heslo musφ u╛ivatel p°i p°φstupu do tΘto oblasti zadat jmΘno a heslo. Nemusφ mφt sv∙j certifikßt (jestli╛e je p°i nastavenφ preferencφ bezpeΦnosti podle p°edchozφ kapitoly je äRequire client certificatesô nastaveno na äNoô).
V p°φpad∞ nastavenφ p°φstupu p°es certifikßt musφ mφt klient certifikßt podepsan² CA, jejφ╛ certifikßt mß server nainstalovan² jako d∙v∞ryhodnou CA. P°i prvnφm spojenφ si server vy╛ßdß jmΘno a heslo, jmΘno spojφ s p°φslu╣n²m certifikßtem a toto spojenφ ulo╛φ, tak╛e p°i dal╣φm spojenφ tyto ·daje ji╛ ne╛ßdß, pokud toto spojenφ nenφ smazßno. Namapovanß spojenφ je mo╛nΘ prohlφ╛et, p°φp. mazat v Server Manageru : Acces Control -> Certificate Mappings volbou äList certificatesô.

Nemß-li klient certifikßt CA, kterß podepsala certifikßt serveru, bude to klient hlßsit, ale spojenφ umo╛nφ.

 
1_1.gif (51 bytes) 1_1.gif (51 bytes) 1_1.gif (51 bytes)
1_1.gif (51 bytes) 1_1.gif (51 bytes)

Copyright I.CA 1998 All Right Reserved
V╣echny dotazy zodpovφme na adrese oper@ica.cz.
1_1.gif (51 bytes) 1_1.gif (51 bytes) 1_1.gif (51 bytes)