Настройка центра сертификации на WinServer2003 и настройка IIS SSL

Question

Настройка центра сертификации на WinServer2003 и настройка IIS SSL

Я разработчик.net, и в настоящее время я работаю над переносом проекта asp.net с htt p на htt ps.

Я прошел через несколько уроков, и мне интересно, пропустил ли я что-нибудь.

До сих пор:

Я установил и настроил CA на сервере. Служба CA работает нормально, но я не совсем уверен, должен ли он быть доступен извне? У меня работает localhost/certsrv для отправки запросов на сертификат. Позже я захожу на сервер и подтверждаю / отклоняю запросы.

На этом же сервере я настроил IIS. Подтвердил сертификат, сгенерированный службой CA. Включена анонимная аутентификация и установлен пароль для отправки в виде открытого текста.

Я не на 100% о том, как работает сертификат. Я правильно понимаю?

Я захожу на сайт: https\someaddress.domain\site
С этим веб-сайтом связан сертификат, поэтому появляется окно с сообщением о том, что это неизвестный сертификат.
Я подтверждаю, что хочу просмотреть сайт, и браузеры выводят меня на этот сайт.

Как это повышает безопасность при передаче данных между браузером и веб-сервером?

0

ssl iis ssl-certificate certificate-authority

Источник

vikp 11 авг '10 в 14:48

1 ответ

Решение

Другие вопросы по тегам ssl iis ssl-certificate certificate-authority

GregD 11 авг '10 в 14:56 2010-08-11 14:56 · Accepted Answer · 2010-08-11 14:56

Вы правильно поняли. Проблема с самозаверяющим сертификатом заключается в том, что это не подписывающий орган, который включен в доверенный корень по умолчанию (отсюда и сообщение о том, что он не является известным провайдером). Для некоторых это не проблема (на ум приходит OWA). Однако для того, чтобы компании могли проводить транзакции в Интернете, вам понадобится транзакция от известного авторитета (Verisign, GeoTrust и т. Д.), Чтобы HTTPS-соединение просто происходило, а пользователю не предлагалось это делать.

Что касается повышения безопасности, черт возьми, да, это так. Он шифрует трафик от браузера пользователя на ваш сервер.

CA не должен быть виден снаружи.

Есть некоторые вещи, которые следует помнить и с самоподписанными сертификатами. Поскольку браузер запрашивает разрешение, если вы не устанавливаете его в корневом каталоге, каждый раз, когда вы посещаете сайт, довольно легко ввести в заблуждение ваших пользователей, создав ложное чувство безопасности. Я имею в виду, что, поскольку они будут получать это сообщение каждый раз, когда посещают ваш сайт, сделать небольшое отравление arp и опубликовать поддельный сертификат довольно просто, и в этот момент ваше "зашифрованное" соединение принадлежит.