Применение шифрования. Ошибка SSL-подключения, что нужно делать

Данный вид аутентификации может пригодиться при ограничении доступа к конфиденциальным страницам, админ-панели сайта или для авторизации веб-приложений.

Шаг 1. Создание центра сертификации

Чтобы приступить к работе сперва необходимо настроить центр сертификации (CA), это довольно просто. Если на сервере установлен OpenSSL , то СА по умолчанию настроен и готов к работе. Теперь создадим свой собственный доверенный сертифика, он необходим для подписи клиентских сертификатов и для их проверки при авторизации клиента веб-сервером.

Шаг 1.2. Создаем приватный ключ центра сертификации.

Шаг 2.2. Создаем сертификат для веб-сервера.

Шаг 3.2. Создаем клиентский сертификат.

Добавляем сертификаты в систему на примере MacOS

Загружаем client.p12 и установим его в систему.

Переходим в связку ключей и в свойствах установленного сертификата меняем уровень доверия на “Всегда доверять”.

Раскрываем ветку сертификата и предоставляем полный доступ для программ в его свойствах:

Для того, чтобы соединение было доверенным между сервером и клиентом, то обязательно установим корневой сертификат на клиентское устройство (ca.crt )

Для подтверждения подлинности с прочими серверами и приложениями ISA может использовать несколько методов аутентификации. Речь идет только о методах аутентификации. Проблемам настройки будут посвящены отдельные статьи, касающиеся конфигурирования. Тестирование производилось с применением браузера IE версии 5.5, поскольку для ряда прочих браузеров никакие типы аутентификации, кроме основной, недоступны.

ISA сервер способен поддерживать четыре метода аутентификации:

  • Серверные и клиентские сертификаты.
  • Комплексная аутентификация.
  • Аутентификация по дайджесту.
  • Основная аутентификация.

Серверные и клиентские сертификаты

Когда сервер подтверждает свою подлинность, он направляет клиенту серверный сертификат. После этого сервер делает запрос на информацию, способную удостоверить личность клиента. Тогда клиент посылает в свою очередь серверу соответствующий сертификат.

На стартовой части сеанса веб-браузер клиента для SSL проверки сервером предоставляет сертификат (зашифрованный опознавательный знак). С помощью сертификата клиент подтверждает серверу, что он именно тот, за кого себя выдаёт. В сертификате имеется вся необходимая для сервера информация, касающаяся клиента (или его организации, например, веб-студии).

Клиентский сертификат

Если сервер ISA запрашивает у компьютера клиента клиентский сертификат до того, как разрешит или запретит доступ к запрашиваемым ресурсам, такой метод аутентификации называется клиентский сертификат.

  • Клиент направляет серверу запрос, а сервер ISA направляет в ответ свой сертификат.
  • Потом ISA сервер играет роль SSL веб-сервера.
  • Клиент, получивший сертификат, имеет возможность проверить, является ли предоставленный сертификат
    удостоверением ISA сервера.
  • Теперь клиент запрашивает у ISA сервера те ресурсы, которые ему необходимы.
  • ISA сервер сличает сертификат с тем, который он направлял клиенту в самом начале процедуры.
  • ISA сервер должен убедиться может ли данный клиент получить доступ к той информации, просмотра которой он добивается.

Все клиентские сертификаты должны сохраняться в хранилище сертификатов компьютера ISA сервера. Сюда и поступают запросы клиентов. В зависимости от размеров организации и имеющейся в ней структуры, речь может идти об одном или двух компьютерах. Для того чтобы сертификаты не перепутались, они должны быть учтены под учетными записями пользователей.

Сертификаты серверов

Если клиент у сервера запрашивает SSL объекты, сервер обязательно должен удостоверить свою подлинность. Если в период проведения аутентификации происходит обрыв соединения или аварийная ситуация, после устранения недоразумения весь процесс должен быть произведен снова.

  • Серверные сертификаты обязательно должны присутствовать на ISA сервере в хранилище серверных сертификатов.
  • Обозначение сертификата должно совпадать или соответствовать обозначению ISA сервера.
  • Запрашивая у сервера SSL объекты, клиент тем самым требует подтверждения у сервера подлинности.
  • При обрыве SSL соединения ISA сервер обязан подтвердить собственную достоверность.
    Основная аутентификация

Этот метод аутентификации полностью соответствует процедуре HTTP аутентификации. Закодированными при передаче данных являются только имя и пароль, все прочие сведения сообщаются открытым текстом. Это позволяет уменьшить нагрузку на систему.

  • Приложение предлагает пользователю ввести пароль и имя.
  • Пользователь заполняет рекомендованные поля с учетом того, что вводимый пароль реагирует на регистр.
  • Веб-браузер подготавливает или кодирует учетные данные, отправляет их серверу.
  • Сервер сличает полученные сведения со списком имеющихся у них учетных записей пользователей в
    доверительном или другом зарегистрированном домене , а после проверки допускает пользователя к той
    информации, доступ к которой ему разрешен.

Аутентификация по дайджесту

Этот метод аутентификации может быть использован лишь для доменов Windows 2000.
Если при основной аутентификации учетные данные пользователя направляются открытым текстом, то при аутентификации по дайджесту они хэшируются (кодируются.). Поэтому этот метод для пользователя считается более безопасным.

  • В процессе аутентификации по дайджесту пользовательские данные подвергаются хэшированию - однонаправленную процедуру.
  • В результате процедуры получается дайджест сообщения (хэш). Данные надежно закодированы, поскольку к ним добавлен пароль и никакой злоумышленник не имеет возможности провести раскодирование, не имея исходных сведений.
  • С помощью хэш-строки запрашиваемый компьютер может быть идентифицирован, домен, к которому относится пользователь и его имя. Для большей надежности в сроку могут быть помещены временные отметки.

Комплексная аутентификация

При этом методе аутентификации ни имя, ни пароль пользователя никогда не может быть передано посредством сети. При его применении необходимо использовать только рекомендованный браузер. В противном случае пользователю может быть установлен запрет на использование ресурса.

При этом методе аутентификации применяется встроенный протокол (NTLM) или Kerbros, с помощью которых производится запрос и отзыв .

Сквозная аутентификация

При этом методе аутентификации не поддерживается Kerbros. При этом процессе ISA сервер сообщает информацию, подтверждающую достоверность клиента, серверу. Сервер ISA способен обеспечить указанный метод аутентификации для входящих и исходящих запросов.

  • Клиент направляет веб-серверу GET запрос.
  • Веб-сервер выдаёт ошибку 401. Он требует аутентификацию и сведения о том, какой метод аутентификации может быть поддержан.
  • ISA сервер сообщает клиенту о том, что следует произвести аутентификацию. Клиент направляет ISA серверу ту информацию, которую он затребовал, а ISA сервер отправляет эти сведения веб-серверу.
  • Далее общение клиента осуществляется с веб-сервером.

Используемый метод аутентификации иногда очень важен, если причина неполадок не лежит на поверхности. Надеемся,что эта статья поможет в работе.

Протоколы открытых ключей позволяют устанавливать авторизованные шифруемые связи между узлами внутренних сетей и в интернете. Существуют три модели аутентификации, проводимой в этих протоколах; они используются как по отдельности, так и в комбинации.

  • Аутентификация клиента . Позволяет серверу Windows 2000 VPN или веб-серверу IIS идентифицировать пользователя с использованием стандартных методов шифрования на открытом ключе. Осуществляет проверку подлинности сертификата клиента и общего ID, а также проверку того, что эти данные сгенерированы бюро сертификатов, корневой сертификат которого установлен в перечне доверенных CA. Эта проверка очень важна, если сервером является банк, который передает конфиденциальную финансовую информацию клиенту и должен подтвердить личность получателя. На рисунке 8.1 отображен процесс аутентификации.
  • Аутентификация сервера . Позволяет клиенту VPN или браузеру клиента SSL/TLS подтверждать идентичность сервера, проверяя правильность сертификата сервера и идентификатора ID, а также то, что сертификаты выпущены бюро сертификатов (CA), корневой сертификат которого присутствует в перечне доверенных CA клиента. Это подтверждение имеет важное значение для пользователя веб-сайта, который отправляет номер кредитной карты через сеть и хочет удостовериться в том, что это именно тот сервер, который ему нужен.
  • Взаимная аутентификация . Позволяет клиенту и серверу авторизовать друг друга единовременно. Взаимная аутентификация требует, чтобы клиент и сервер имели цифровые сертификаты и соответствующие корневые сертификаты CA в перечнях доверенных CA.

Большая часть коммерческих CA, таких как Verisign, встроены в браузеры Netscape и Microsoft как корневые сертификаты по умолчанию. Пользователям и менеджерам сети не нужно устанавливать сертификаты, аутентификация сервера работает автоматически. Если организация выступает в роли своего собственного бюро сертификатов, то необходимо дополнительно установить корневой сертификат во всех браузерах компьютеров-клиентов интранет-сети и предоставить соответствующие инструкции.

На рисунке 8.1 показано, как работает аутентификация SSL/TLS. На практике в большей части веб-сайтов используется только серверная аутентификация с помощью цифрового сертификата, так как распространение клиентских сертификатов среди всех посетителей сайта представляет собой огромную работу (это сделать несколько легче, если клиенты объединены в сеть интранет).

Аргументом против использования сертификатов на компьютерах-клиентах является то, что при этом система открывается для потенциальных словарных атак. Клиент с браузером аутентифицирует сервер методами открытого ключа, но сервер просто использует пароли для аутентификации своих клиентов, поэтому хакер может выполнить атаку посредством угадывания пароля. Руководство компаний, не использующих сертификаты, считает, что цена разработки выше, чем реальная угроза; как и большая часть бизнес-решений, данное утверждение основывается на экономическом факторе.

Аутентификация представляет собой процедуру проверки подлинности объекта или субъекта.

  1. Речь может идти о проверке подлинности пользователя с помощью сравнения пароля, им веденного, с шифром, сохраненным в базе данных.
  2. Аутентификацией называют и проверку контрольной суммы файла на соответствие сумме, которая была заявлена автором данного файла.

Что значит аутентификация

Аутентификация - эффективный способ удостовериться в подлинности и достоверности важных сообщений. Один из «исторических» примеров системы аутентификации - речевой пароль «Сим-сим, откройся!» в сказке про Али-Бабу и сорок разбойников.

Сегодня, учитывая активное развитие сетевых технологий, нет ничего удивительного в том, что автоматическая аутентификация применяется повсеместно.

Держатели банковских также постоянно имеют дело с аутентификацией, выступая в качестве субъекта аутентификации. Хозяином банковской системы аутентификации является, соответственно, сам банк, характеристики системы - персональный идентификатор и банковская , а в качестве механизма используется программное обеспечение, проверяющее характеристики (карту и идентификатор).

Аутентификация на основе сертификата

Аутентификация с использованием цифровых сертификатов - прекрасная альтернатива паролям, особенно, если речь идет о числе пользователей Сети, измеряемом в миллионах - в этом случае процедура предварительной регистрации пользователей, назначение и хранение паролей может превратиться в серьезную проблему.

Применение сертификатов не подразумевает хранения информации: сеть, дающая пользователю доступ к своим ресурсам, не сохраняет данные: пользователи сами предоставляют их в своих запросах в виде сертификатов, удостоверяющих их личность.

Аутентификацию на основе сертификатов можно сравнить с системой проверки на проходной большого предприятия: вахтер пропустит только тех, кто покажет ему пропуск с фотографией, подписью и печатью.

Единая система аутентификации

ЕСИА, единая система идентификации и аутентификации, представляет собой информационную систему РФ, которая дает санкционированный доступ субъектам к информации, содержащейся в информационных государственных системах. Среди основных функциональных возможностей ЕСИА можно выделить:

  • аутентификацию и идентификацию пользователей;
  • авторизацию уполномоченных лиц при доступе к функциям ЕСИА;
  • управление идентификационными данными пользователей;
  • ведение информации о полномочии пользователей.

Ошибка аутентификации

Учитывая тот факт, что аутентификация подразумевает под собой введение пароля, можно сделать вывод, что ошибка аутентификации с большой долей вероятности заключается в неправильно введенном пароле. Если система вам сообщает об ошибке аутентификации, проверьте правильность пароля, в частности, убедитесь в том, что используете нужный язык и раскладку.

Если вы убедились, что пароль правильный, но система продолжает настаивать на ошибке, значит, речь идет о сбое в Сети. В этом случае лучше не предпринимать самостоятельных действий, а обратиться к специалистам. Например, если речь идет о банкоматах, посмотрите на боковой панели оборудования информацию с номерами телефонов службы поддержки - позвоните по телефону и опишите свою проблему. Далее следуйте рекомендациям оператора.

Сертификат клиентской аутентификации

Клиентские сертификаты предназначаются для аутентификации владельца, если речь идет о защищенных клиент-серверных приложениях, или для применения в системах электронного документооборота во время создания и проверки ЭЦП (электронной цифровой подписи).

Строгий контроль достоверности информации в сертификате позволяет обеспечить максимально строгую криптографическую аутентификацию, что дает возможность подтвердить подпись владельца сертификата под электронными документами.

Изготовление и обслуживание клиентских сертификатов осуществляется на платной основе.



 

Возможно, будет полезно почитать: