Certifikační autorita I.CA
dist_1_1.gif (51 bytes)
1_1.gif (51 bytes) 1_1.gif (51 bytes)

WWW prohlížeče

WWW servery

Elektronická pošta

LDAP

E-mail

PVT.NET

Seznam
ATLAS

Netscape Enterprise Server

Toto nastavení bylo testováno a návod platí pro Netscape Enterprise Server 2.0 nainstalovaném pod Windows NT. Pro instalaci na Digital UNIX se liší hlavně generátor klíčů a umístění jednotlivých souborů na disku.

Nastavení SSL na serveru :

  • Generování páru klíčů (veřejný + privátní)
  • Žádost o certifikát Certifikační autority (CA)
  • Instalace certifikátu, zaslaného Certifikační autoritou
  • Nastavení SSL komunikace na serveru


I. Generování páru klíčů

  1. Z příkazové řádky (nebo Exploreru) spusť program [server_root]/bin/https/admin/bin/sec-key.exe. Objeví se generační program.
  2. Zadej kde bude umístěn soubor páru klíčů - keyfile (cestu a název souboru) obvykle [server_root]/https-[název_serveru]/config/ServerKey.db například: c:/Netscape/Server/https-spin/config/ServerKey.db (Je možné také zadat pouze název souboru keyfile (ServerKey.db). Bude umístěn do adresáře [server_root]/bin/https/admin/bin/[název_keyfile] a pak ho přesunout.
  3. Objeví se stupnice. Pohybuj náhodně myší. Tyto náhodné pohyby slouží ke generování náhodného čísla, na jehož základě bude vytvořen unikátní klíč.
  4. Zadej heslo klíče. Toto heslo bude zadáváno při každém restartu serveru. Heslo musí mít min. 8 znaků, z toho 1 nealfabetický uprostřed, např. „heslo:klice“. Slouží k důvěrnému uchování privátního klíče.
  5. Zadej znovu heslo a stiskni OK.
  6. Proveď případný přesun keyfile (viz. Bod 2).
  7. V Server Manageru zvol Encryption -> Generate Key. Objeví se formulář „Generate a Key Pair File“.
  8. Zadej umístění keyfile do pole „Key File Path“. Tento adresář by měl být bezpečný před ostatními uživateli. Pokud zadáš jenom název keyfile (např. ServerKey.db) bude je adm.server hledat v obvyklé cestě podle bodu 2. Jestliže je umístěno jinde, je nutné s názvem zadat celou cestu.
  9. Stiskni OK. Bude vygenerováno nové keyfile a umístěno v zadaném adresáři.

Když zapomeneš heslo klíče, musíš znovu vygenerovat keyfile (a znovu požádat o certifikát CA).

Změna hesla klíče:

  • V Server Manageru zvol Encryption -> Change Key Password
  • Zadej cestu a název keyfile. (pokud je keyfile umístěno „obvykle“ podle bodu 2., stačí zadat název)
  • Zadej staré heslo a 2x nové heslo, OK.


II. Žádost o certifikát

  1. V Server Manageru zvol Encryption -> Request Certificate. Objeví se formulář Request a Server Certificate.
  2. Do pole Certificate Authority zadej Email adresu Cetrifikační autority, u které žádáš o certifikát. V případě Certifikační autority I.CA zde zadej svou Email adresu a obsah této zprávy přines na registační autoritu I.CA, pokud žádáš o placený p;lroční certifikát.
  3. Urči, že jde o nový cetifikát (New Certificate), nikoliv o obnovení certifikátu s prošlou platností.
  4. Zadej umístění keyfile (při „obvyklém“ umístění dle I.-2. stačí název) a heslo klíče
  5. Vyplň identifikační položky v žádost o certifikát. (V poli Common Name by měl být název, který je v databázi DNS, jinak při autentikaci serveru klientem (Netscape Navigator) budou klientovi posílány zbytečné zprávy, že název uvedený v certifikátu nesouhlasí).
  6. Stiskni OK. Spustí se generování žádosti.
  7. Po vygenerování se text žádosti objeví na obrazovce. Pošli ji standardním mailem, tak jak to umožňuje server, nebo ji ulož do souboru, postačí část od nadpisu ----BEGIN NEW CERTIFICATE REQUEST--- do ----END NEW CERTIFICATE REQUEST---- včetně, a pošli tento soubor na I.CA (např. mailem)

III. Instalace certifikátu

Je možné nainstalovat 3 druhy certifikátů.
  1. Vlastní certifikát, kterým se server bude autentikovat klientům
  2. Certifikát CA pro použití v certifikačním řetězci - je nutno znát přesnou hierarchii Certifikačních autorit (zatím neexistuje)
  3. Certifikát CA, kterou určíte jako důvěryhodnou (klient, který se presentuje certifikátem podepsaným touto CA bude považován za důvěryhodného). Certifikáty podle bodu 1. a 3. jsou nutné k oboustranné autentikaci (klient - server). Všechny certifikáty jsou instalovány stejným postupem

CA vytvoří jako odpověď na žádost certifikát ve tvaru souboru. V případě I.CA jsou to 4 soubory s koncovkami der, htm, txt a pem, které budou poslány elektronickou poštou. Je třeba mít soubor ve tvaru txt nebo pem. Certifikační autorita přidá také svůj vlastní certifikát ve všech dostupných formátech. (Je nutné ho mít nainstalován, pokud chceš, aby server umožnil přístup klientům s certifikátem podepsaným touto CA).. Postup:

  1. V Server Manageru zvol Encryption -> Install Certificate
  2. Chceš-li instalovat svůj vlastní certifikát, zatrhni „This Server“, chceš-li instalovat certifikát CA zatrhni „Trusted Certificate Authority“.
  3. Vyplň jméno certifikátu, jde-li o certifikát CA. Vlastní certifikát serveru bude mít implicitní jméno (Server - Cert). Pod tímto jménem se bude certifikát objevovat v seznamu.
  4. Vyplň plnou cestu na soubor v kterém je certifikát uložen ve tvaru txt, pem („Message is in this file“), nebo zatrhni volbu „Message text“ a obsah souboru zkopíruj do tohoto pole (stačí část od ---BEGIN CERTIFICATE ---- po ----END CERTIFICATE---- včetně.
  5. Specifikuj databázi, do které se má certifikát uložit.(Defaultně ServerCert).
  6. OK, Save and Apply.

Nově nainstalovaný certifikát se objeví v seznamu. Seznam je možno zobrazit v Server Manageru volbou Encryption -> Manage Certificates. Kliknutím na jméno se cetifikát zobrazí a je možné ho smazat, u certifikátů CA nastavit zda je důvěryhodná nebo ne.


IV. Zapnutí SSL na serveru

  1. V Server Manageru zvol Encryption -> On/Off. Objeví se formulář „Encryption On/Off. Nastav Encryption „On“.
  2. Nastav číslo portu. Zvolíš-li jiné než implicitní 443, bude ho muset každý klient při přihlašování uvádět v URL, například https://pokus.ica.cz:27888
  3. Zadej umístění keyfile (při „Obvyklém“ umístění podle I.- 2. Stačí název souboru)
  4. Do pole „Certificate file“ zadej kde je databáze certifikátu (implicitně je uvedena cesta na ServerCert)
  5. stiskni OK, Save and Apply

Nastavení preferencí bezpečnosti: V Server Manageru zvol Encryption -> Security Preferences. Můžeš změnit následující nastavení:

  • Allow: Verse SSL. Nejnovější je SSL3, ale mnoho starších klientů používá pouze SSL2, proto je vhodné nastavit obě.
  • Require client certificates: Nastavení „Yes“ způsobí, že přístup je povolen pouze klientům s certifikátem podepsaným CA, jejíž certifikát má server nainstalován a nastaven jako důvěryhodný. Pokud chceš umožnit klientům bez certifikátu přístup na server do oblastí, kde je umožněn přístup volný(např. domovská stránka) nebo přes jméno a heslo, nastav No.
  • Ciphers: Pokud nemáš důvod proč některou šifru vyřadit, zatrhni všechny (kromě No encryption, aby nedošlo k nekódovanému spojení, když se přihlásí klient, který nezná žádnou šifru).Důvodem vyřazení může být, že některá šifra není pro dané účely postačující.


SSL v 2.0 SSL v 3.0
RC4 128 bitůRC4 128 bitů + autentikace MD5
RC4 40 bitůRC4 40 bitů + autentikace MD5
RC2 128 bitůTriple DES 168 bitů + autentikace SHA
RC2 40 bitůDES 56 bitů + autentikace SHA
DES 56 bitůRC2 40 bitů + autentikace MD5
Triple DES 168 bitůŽádné kódování, jen autentikace MD5



Nastavení přístupu pomocí certifikátů

I uživatel, který má certifikát, musí mít nejprve vytvořeno jméno a heslo v databázi uživatelů. Lze použít defaulní databázi, nebo si vytvořit svou (v Server Manageru: Acces Control -> Manage User Databases). Uživatel se vytvoří v Server Manageru pomocí Acces Control -> Create User. Vytvořené uživatele je možné sdružit do skupin (Acces Control -> Create Group), aby bylo možné přidělit celé skupině najednou stejná práva.

Omezení přístupu se provede v Server Manageru :

  1. Acces Control -> Restrict Acces.
  2. Pomocí Browse a Wildcard specifikuj oblast serveru, kam bude omezen přístup.
  3. Nastav Acces Control na On.
  4. Nastav defaultní přístup pro čtení a psaní

Je-li přístup implicitně povolen, lze pomocí „Permission“ určitým uživatelům přístup zakázat.

Je-li přístup implicitně zakázán, lze některým uživatelům přístup povolit: Po stisknutí "Permission" se objeví formulář pro nastavení tohoto přístupu:

Host Always Allow Acces : Vyplněním jména nebo IP adresy má uvedený uživatel přístup volný (zrušen zákaz pro tohoto uživatele).

Dále je možné nastavit jména uživatelů, názvy skupin uživatelů nebo IP adresy uživatelů, kteří mají přístup přes jméno a heslo nebo přes certifikát, což je nastaveno přes Autentication Method. V případě nastavení přístupu přes jméno a heslo musí uživatel při přístupu do této oblasti zadat jméno a heslo. Nemusí mít svůj certifikát (jestliže je při nastavení preferencí bezpečnosti podle předchozí kapitoly je „Require client certificates“ nastaveno na „No“).
V případě nastavení přístupu přes certifikát musí mít klient certifikát podepsaný CA, jejíž certifikát má server nainstalovaný jako důvěryhodnou CA. Při prvním spojení si server vyžádá jméno a heslo, jméno spojí s příslušným certifikátem a toto spojení uloží, takže při dalším spojení tyto údaje již nežádá, pokud toto spojení není smazáno. Namapovaná spojení je možné prohlížet, příp. mazat v Server Manageru : Acces Control -> Certificate Mappings volbou „List certificates“.

Nemá-li klient certifikát CA, která podepsala certifikát serveru, bude to klient hlásit, ale spojení umožní.

 
1_1.gif (51 bytes) 1_1.gif (51 bytes) 1_1.gif (51 bytes)
1_1.gif (51 bytes) 1_1.gif (51 bytes)

Copyright I.CA 1998 All Right Reserved
Všechny dotazy zodpovíme na adrese oper@ica.cz.
1_1.gif (51 bytes) 1_1.gif (51 bytes) 1_1.gif (51 bytes)