Как сделать двухстороннюю проверку подлинности в IIS 7.5 (SSL)?

[Vitaly Terekhov]

Есть задача. Нужно установить на сервер сертификат и "подписать" им сайт, ограничив возможность подключения только по https. Необходимо реализовать проверку сертификатов клиентов, т.е. раздать пользователям сертификаты, без которых сервер должен отклонять подключения. Авторизация через сертификаты не требуется.

Если у кого-то есть реальный опыт, соображения или готовые сценарии по данному поводу - поделитесь.

[Vilkov Tim]

Буду предполагать, что сертификаты у Вас уже есть (т.е. либо центр
сертификации развернут, либо откуда-то вы их получаете).
Открываем оснастку ISS, выбираем нужный узел (компьютер), идем в
"Сертификаты сервера".
Здесь нужно добавить сертификат сервера (сертификат должен иметь
закрытый ключ). Это позволит включить SSL (https).
Далее идем в свойства нужного приложения, выбираем "Параметры SSL" и
там ставим галки "Требовать SSL" и выбираем "Сертификаты клиента"-
>"Требовать".
Первая галка включит протокол SSL для приложения, вторая приведет к
тому, что при подключении клиента ему будет выбрасываться окошко с
выбором сертификата.
Далее, в Application_SessionStart (не уверен насчет названия) можно
получить клиентский сертификат
HttpContext.Request.ClientCertificate.Certificate и уже делать с ним
что хочешь.
В общих чертах как-то так.

[Vitaly Terekhov]

Только вот сервер выдает ошибку 403 о том, что сервер требует сертификат, которого у клиента нет. Возможность выбрать сертификат вручную отсутствует. Тогда я сделал вывод, что сертификат уже должен быть установлен на клиенте в Личные или еще куда-нибудь.

Для сервера я сделал самоподписанный сертификат средствами IIS 7.5, в качестве клиентского пытался использовал его же (что, я убедился, не правильно). Прошу подсказать, как создать правильные сертификаты клиента, сервера и куда их правильно установить. Если есть ссылка не не очень заумную теорию про серверные и клиентские сертификаты, буду благодарен, если поделитесь.

[Shelin Anton]

Могу ошибаться но обычно ставят в Trusted Root

2011/8/28 Vitaly Terekhov <va....@gmail.com>

[Vitaly Terekhov]

Оба? Клиентский и серверный? Тем не менее мне нужно решить сначала вопрос с генерацией сертификатов.

[Vilkov Tim]

Я тут немного поэксперементировал и боюсь, что самописные сертификаты
(я делал через makecert) в такой конфигурации работать не будут.
Максимум, что у меня получилось - организовать защищенный SSL-канал.
Но когда включаешь "требовать сертификаты клиента" - все перестает
работать.
В то же время с сертификатами, выпущенными нашим тестовым центром
сертификации все работает на ура.
Вот такие дела.
Думаю, стоит попробовать поднять тестовый центр сертификации (гуглить
"Служба сертификации Windows") и выпускать сертификаты через него.

Следует выпустить два сертификата. Сертификат сервера, который
ставится в "Локальный компьютер" (личные) и сертификат клиента,
который ставится в "Текущий пользователь" (Личные). Оба они должны
иметь закрытый ключ.
Далее, настройка сервера на сертификат сервера - как я писал выше.
Единственное, что, я забыл - для работы по SSL нужно настроить
безопасную привязку для сайта.
Делается это так. Выбираем в оснастке IIS сайт (не приложение!),
правой клавишей -> "Изменить привязки". Настраиваем там привязку https
(если нет - добавляем) на наш серверный сертификат.
Ну а дальше заходим по https и должно заработать.

P.S. Если кто сможет заставить работать self-signed сертификаты -
дайте знать как :)

[x893]

А это не помогает ?
http://technet.microsoft.com/en-us/library/cc772272(WS.10).aspx

[Vilkov Tim]

По-моему, эта фишка нужна, чтобы замапить сертификаты на системных
пользователей, т.е. должны быть Windows-аккаунты, что не всегда гуд.
(во всяком случае, я так понял, почитав
http://www.iis.net/ConfigReference/system.webServer/security/authentication/iisClientCertificateMappingAuthentication)
В приципе, оно работает в той конфигурации, что я написал - просто
нужны полноценные сертфикаты.

On 28 авг, 22:04, x893 <x893...@gmail.com> wrote:
> А это не помогает ?http://technet.microsoft.com/en-us/library/cc772272(WS.10).aspx

[x893]

Вот здесь много букв на эту тему
http://ondrej.wordpress.com/2010/01/24/iis-7-and-client-certificates/

[Vitaly Terekhov]

> Думаю, стоит попробовать поднять тестовый центр сертификации (гуглить "Служба сертификации Windows") и выпускать сертификаты через него.

Спасибо за подсказку. Практичеси с этим закончил, пока не удалось завести web оснастку выдачи сертификатов, время на research на чегодня закончилось :( Все равно этот сервис я так или иначе запущу.

Хочу уточнить кое-что заранее:

1) мне нужно получить сертификат ЦС и установить его на веб-сервер в доверенные корневые;

2) нужно получить сертификат сервера, сформировав запрос через помощник IIS 7.5, и установить его в "Локальный компьютер" (личные);

3) нужно получить сертификат клиента и установить его НА СЕРВЕР в "Текущий пользователь" (личные)

А куда НА КЛИЕНТЕ установить клиентсткий сертификат?

[Vitaly Terekhov]

Вот таким способом ничего не получилось. Возникли траблы генерации сертификатов с помощью утилиты mycert, что подтвердил и "Vilkov Tim"

воскресенье, 28 августа 2011 г. 22:36:47 UTC+4 пользователь x893 написал:

[Vilkov Tim]

Немного не так.
1. Сертификат CA (ЦС) - ставится
На сервере: Локальный комьютер->Доверенные корневые центры
сертификации
На клиенте: Текущий пользовател->Доверенные корневые центры
сертификации

2. Сертификат сервера
Ставится на сервере в Локальный компьютер->Личные (он имеет закрытый
ключ)

3. Сертификат клиента
Ставится на клиенте в Текущий пользователь->Личные (он также имеет
закрытый ключ)
Обратите внимание, если сертификат выпускается через Web-оснатку, то
это должно делаться с машины пользователя, ну либо нужно помечать ключ
экспортируемым
и потом перетаскивать сертификат вместе с ключом на машину
пользователя в виде pfx-файла.

Общее правило простое: что должно работать на сервере в
неинтерактивном режиме - должно искать сертификаты в хранилище
Локальный компьютер (потому что пользователя просто нет).
Соответственно, если есть пользователь, то его личные сертификаты (с
закрытым ключем) ставятся в хранилище Текущий пользователь (Личные).

[Vitaly Terekhov]

Ура! Получилось:

1) Поднял сервер сертификации, развернул веб-оснастку выдачи сертификатов

2) Получил и установил корневой сертификат и сертификат сервера на IIS, влючил "Требовать клиентские сертификаты"

3) С клиентской машины получил и установил корневой сертификат и сертификат клиента. Работает, IE вообще без лишних вопросов, а Chrome предлагает выбрать сертификат.

Уверенно движемся к удовлетворению требованиям ФЗ 152.

Остаются нерешенные задачи:

1) При отзыве сертификата клиента сервер все равно его принимает.

Нашел, что нужно в оснастке сервера сертификации опубликовать список отозванных сертификатов, затем заново выполнить загрузку списка оттозванных сертификатов через веб-оснастку. Как бы это автоматизировать?

По завершению опубликую подробную инструкцию. Думаю, всем новый ФЗ не дает спокойно жить.

[Vilkov Tim]

> Остаются нерешенные задачи:
> 1) При отзыве сертификата клиента сервер все равно его принимает.
> Нашел, что нужно в оснастке сервера сертификации опубликовать список
> отозванных сертификатов, затем заново выполнить загрузку списка оттозванных
> сертификатов через веб-оснастку. Как бы это автоматизировать?
>
> По завершению опубликую подробную инструкцию. Думаю, всем новый ФЗ не дает
> спокойно жить.

Тут я, детально не подскажу.
У нас у этом плане сделано просто - клиентский сертификат передается в
запросе HttpContext.Request.ClientCertificate.Certificate
и проверяется уже на сервере (см.
System.Cryptography.X509Certificates) - там и на отзыв можно проверить
и по цепочке и т.п.
А вообще, когда открываете файл списка отзыва, там внизу ссылочка есть
"Подробнее о списке отзыва сертификатов". По ней хелп открывается и
там есть пункт "Автоматизация управления сертификатами". Почитайте,
может найдете что-то для Вас подходящее.