На главную страницу  
+7 (499) 124-62-26
О компании Продукты Демо-версии Купить Цены Контакты Решения

FAQ МагПро КриптоСервер

  1. Вопрос. Как с помощью КриптоСервера защитить сертифицированным TLS интернет-сайт на web-сервере?

    Ответ.Вам потребуется установить КриптоСервер на компьютер c web-сервером. Затем следует получить в УЦ сертификат TLS сервера или выпустить его самостоятельно с помощью встроенных инструментов. Полученные сертификат и ключ требуется разместить в каталоге, указанном в конфигурационном файле КриптоСервера (по умолчанию в каталог установки) Затем следует настроить web-сервер таким образом, чтобы защищаемый сайт был доступен только с адреса 127.0.0.1. После этого требуется провести перезагрузку компьютера.

  2. Вопрос. На моем web-сервере находятся несколько виртуальных сайтов. Возможно ли с помощью КриптоСервера «защитить» все эти сайты?

    Ответ. Да, это возможно. Алгоритм точно такой же как и при защите одного сайта, но в TLS-сертификате должны быть указаны имена всех защищаемых сайтов.

  3. Вопрос. На моем сайте часть содержимого должна быть доступна по обычному HTTP, а часть по HTTPS. Можно ли этого добиться, используя КриптоСервер?

    Ответ. Для решения данной задачи вам следует произвести следующие действия:

    1. В случае сервера IIS 7 предварительно необходимо убедиться, что в вашем web-сервере включена фильтрация по IPv4. Если фильтрация отключена, то ее следует включить.
    2. Настроить web-сервер таким образом, чтобы сайт был доступен как с IP-адреса сервера, так и с 127.0.0.1.
    3. Разделу сайта, который должен быть доступен только по HTTPS, разрешить принимать соединения только с 127.0.0.1.

    Таким образом, защищенная часть сайта будет доступна только через КриптоСервер, для доступа к ней клиентский браузер должен предварительно установить TLS-соединение с КриптоСервером.


  4. Вопрос. Обеспечивает ли КриптоСервер аутентификацию клиента по сертификату X.509 и если да, то каким образом?

    Ответ. Да, КриптоСервер обеспечивает аутентификацию клиента по сертификату X.509 согласно протоколу TLS.

    КриптоСервер может работать в нескольких режимах:

    • не требовать клиентский сертификат
    • требовать клиентский сертификат
    • требовать клиентский сертификат, но при его отсутствии все равно допускать клиента на сайт

    Кроме того, если клиент успешно прошел аутентификацию, то КриптоСервер сохраняет аутентификационную информацию для возможности ее дальнешего использования web-сервером или web-страницами сайта. В заголовке X509-Cert сохраняется сертификат клиента.

  5. Вопрос. Могу ли я сделать так, чтобы аутентификация клиента требовалась не для всего сайта, а для доступа к конкретному документу?

    Ответ. Да, это возможно. Для решения данной задачи КриптоСервер должен работать в режиме «требовать клиентский сертификат, но при его отсутствии все равно допускать клиента на сайт». Затем используется фильтрация HTTP-запросов для требуемого документа. Критерием фильтрации будет наличие в запросе заголовка X509-Cert.

    Для web-сервера IIS 7.0 нашей фирмой разработан управляемый модуль CryptoServerModule, который устанавливается вместе c КриптоСервером. Данный модуль представляет собой готовое решение для требования клиентской аутентификации при доступе к конкретному документу, а так же к web-папке или отдельному сайту. Смотрите инструкцию по использованию CryptoServerModule (появится на сайте в ближайшее время).

  6. Вопрос. Возможно ли создание аналога CryptoServerModule для более старых версий IIS?

    Ответ. Да, это возможно. Смотрите фильтры ISAPI.

  7. Вопрос. На моем сайте у каждого клиента имеется «личный кабинет». Поэтому мне очень хочется извлекать данные о клиенте из сертификата для приветствия клиента при посещении им его кабинета. Как это сделать?

    Ответ. Для получения аутентификационной информации вам следует использовать заголовок X509-Cert из HTTP-запроса. Для получения значений отдельных полей сертификата, его следует "разобрать". Пример такого разбора для страницы ASP.NET

    using System;
    using System.Data;
    using System.Configuration;
    using System.Web;
    using System.Web.Security;
    using System.Web.UI;
    using System.Web.UI.WebControls;
    using System.Web.UI.WebControls.WebParts;
    using System.Web.UI.HtmlControls;
    using System.Security.Cryptography.X509Certificates;
    using System.Security.Cryptography.Pkcs;
    using System.Text;
    
    public partial class _Default : System.Web.UI.Page 
    {
        protected void Page_Load(object sender, EventArgs e)
        {
            if (!string.IsNullOrEmpty(this.Request.Headers["X509-Cert"]))
            {
                 string certPem = 
                        HttpUtility.UrlDecode(this.Request.Headers["X509-Cert"]);
    
                X509Certificate2 cert = 
                        new X509Certificate2(Encoding.Unicode.GetBytes(certPem));
    
                this.Response.Write("Здравствуй,\n" + cert.ToString());  
    
            }
            else
            {
                this.Response.Write("Здравствуй! Ты не назвался!");                
            }                
        }
    }
    

  8. Вопрос. Можно ли сделать так, чтобы к для доступа к одному виртуальному сайту требовалась клиентская аутентификация, а к другому - нет?

    Ответ. Да, это возможно. Для этого на виртуальный сайт с клиентской аутентификацией следует «повесить» управляемый модуль CryptoServerModule или его аналог.

  9. Вопрос. Для каких web-серверов и на каких платформах возможно использование продукта КриптоСервер?

    Ответ. КриптоСервер может использоваться для любых web-серверов на платформах Windows Server, Linux, FreeBSD и т.д. Для уточнения списка платформ смотрите формуляр СКЗИ МагПро КриптоПакет.

  10. Вопрос. Я собираюсь сделать сертификат сервера для защиты соединений TLS. Каким должен быть этот сертификат? Как создается сертификат сервера в ваших продуктах?

    Ответ. Особенности такого сертификата описаны в RFC2818. Для его создания можно использовать easy-gost - встроенный мини-УЦ.

 
Copyright © ООО "Криптоком". 2001-2016. All Rights Reserved.