Поддержка централизованных SSL-сертификатов IIS 8.0: масштабируемость SSL и управление ими

Шон Эган

Совместимость

Версия	Примечания
IIS 8.0	В IIS 8.0 появилась централизованная поддержка SSL-сертификатов.
IIS 7.5	Централизованная поддержка SSL-сертификатов не поддерживается в IIS 7.5.
IIS 7.0	Централизованная поддержка SSL-сертификатов не поддерживается в IIS 7.0.

Проблема.

По мере того как появляется больше сайтов электронной коммерции и всё больше предприятий хранят и обмениваются конфиденциальными документами онлайн, возможность размещения и масштабирования безопасных сайтов становится всё более важна. Кроме того, при использовании облачного размещения и эластичной масштабируемости емкость сервера должна быть добавлена и удалена динамически. До Windows Server 2012 существует несколько проблем, когда речь идет о размещении безопасных сайтов:

• Масштабируемость SSL: в мультитенантной среде, например в общей среде размещения, существует ограничение на то, сколько безопасных сайтов можно размещать на Windows Server, что приводит к низкой плотности сайта.
• Управляемость SSL: сертификаты хранятся локально для каждого сервера Windows Server. Поэтому их необходимо управлять по отдельности на каждом сервере Windows Server. Простая задача, например продление сертификата, должна повторяться на каждом сервере. Кроме того, добавление нового Windows Server может занять несколько часов, если необходимо импортировать тысячи сертификатов.

Решение

В Windows Server 2012 функция централизованной поддержки SSL-сертификатов позволяет администраторам сервера хранить и получать доступ к сертификатам централизованно в общей папке. Как и функция общей конфигурации, представленная в Windows Server 2008, серверы Windows в ферме серверов можно настроить для загрузки сертификатов из общей папки по запросу.

Благодаря этой функции управление привязками SSL значительно упрощается. Когда дело доходит до SSL, DNS-имя и ИМЯ CN сертификата должны совпадать. Аналогичный контракт можно расширить до имен файлов сертификатов. Например, www.contoso.com будет использовать сертификат с именем файла www.contoso.com.pfx. Этот контракт позволяет IIS 8.0 иметь только одну привязку SSL независимо от количества безопасных сайтов, использующих эту функцию. Соответствующий сертификат определяется значением SNI или именем узла запрошенного веб-сайта и сопоставляет его с именем файла сертификата.

Пошаговые инструкции

Необходимые условия

• IIS 8.0 устанавливается в Windows Server 2012 с функцией централизованного SSL-сертификата. Эта функция является необязательным компонентом IIS и не устанавливается как часть установки по умолчанию.

  • Чтобы установить эту функцию, в диспетчере серверов обязательно выберите централизованную поддержку SSL-сертификатов в узле безопасности :

    

• Примеры сертификатов с паролем NULL. (Возможно, у вас есть примеры сертификатов с одним глобальным паролем.)

  • Сертификаты должны соответствовать правилам именования CN_name.pfx (т. е. www.contoso.com.pfx).
  • Если сертификат является подстановочным символом, используйте "_" в качестве символа подстановки. (т. е. _.contoso.com.pfx).
  • Если сертификат имеет несколько имен CN, они должны называться отдельными файлами. (то есть, www.contoso1.com.pfx, www.contoso2.com.pfxи т. д.)

• Две общие папки: одна для общей конфигурации и другая для централизованных SSL-сертификатов.

  • Сервер IIS использует общую конфигурацию.
  • Примеры сертификатов были скопированы в общую папку для централизованных SSL-сертификатов.

• \windows\system32\drivers\etc\hosts был изменён для использования в качестве примера для сайта и сертификата. Например, если имя CN сертификата является centralCert0, файл узлов должен содержать:

  127.0.0.1 centralCert0

Обходные пути для известных ошибок

В настоящее время для этой функции отсутствуют известные ошибки.

Настройка функции централизованной поддержки SSL-сертификатов

1. Откройте диспетчер служб IIS.

2. Выберите узел сервера в левом окне навигации:
   

3. В разделе "Управление" дважды щелкните централизованные сертификаты:
   

4. В области "Действия" выберите "Изменить параметры компонентов":
   

5. Введите следующие сведения:

   • Включение централизованных сертификатов: выбрано

   • Физическийпуть: например: \\ccdemo\centralcert

     • Это UNC-путь к общей папке, в которой находятся сертификаты.

   • Имя пользователя: укажите учетную запись пользователя с доступом на чтение к общей папке.

   • Пароль или подтверждение пароля.

   • Пароль закрытого ключа сертификата:

     • Это необязательно. Если у сертификатов нет пароля, оставьте его пустым.

     • Если у сертификатов есть один глобальный пароль, введите этот пароль здесь.

       

6. Централизованная функция поддержки SSL-сертификатов теперь готова к использованию. Обратите внимание, что диспетчер IIS считывает сертификаты и заполняет наиболее релевантные сведения о сертификатах. Эти сведения кэшируются для повышения производительности.

7. Одна из важных функций управления — возможность группировать сертификаты по их датам окончания срока действия:
   

8. Узнайте, как легко увидеть сертификаты, которые:

   • Срок действия истек

   • Срок действия завтра

   • Истекает на этой неделе

   • Срок действия истекает на следующей неделе

   • Истекает в следующем месяце

   • Позже

     

Создание безопасного веб-сайта

1. Откройте диспетчер служб IIS.

2. Выберите сайты в левом окне навигации:
   

3. Выберите "Добавить веб-сайт":
   

4. Заполните информацию так же, как вы делаете это для любого сайта.

   • Имя сайта: centralCert0

   • Физический путь: c:\inetpub\wwwroot

   • Тип: https

   • Имя узла: centralcert0

     • Это новшество в Windows Server 2012 в том, что имя узла может быть указано для SSL.
     • Фактическое значение этой конфигурации зависит от используемого примера сертификата.

   • Требовать указание имени сервера: не выбрано

     • При выборе можно также выбрать параметр "Требовать указание имени сервера". Централизованное хранилище сертификатов не требует использования SNI, но работает правильно при использовании SNI.
     • Обратите внимание, что в выпуске предварительной версии разработчика централизованное хранилище сертификатов также требует использования SNI. Это ограничение было удалено в бета-версии.

   • Использование централизованного хранилища сертификатов: выбрано

     • Обратите внимание, что нет необходимости выбирать конкретный соответствующий сертификат.
     • С помощью контракта именования соответствующий сертификат выбирается автоматически. В этом примере IIS пытается считывать centralcert0.pfx из общей папки SSL-сертификата.

     

5. Убедитесь, что сайт создан:
   

6. Вот и все. Защищенный сайт был создан с помощью централизованной поддержки SSL-сертификатов. Интерфейс управления очень похож на общую конфигурацию и традиционную привязку SSL. Различия описаны ниже.

   • Сертификаты хранятся централизованно в общей папке.
   • Имя узла можно указать для SSL-сайта.
   • Привязка SSL не осуществляется явным образом один-к-одному.

Тестирование защищенного сайта

Откройте веб-браузер и перейдите по адресу https://centralcert0/. Обратите внимание, что в рамках предварительных требований файл узлов должен изменяться для маршрутизации этого запроса в localhost:

Кроме того, чтобы просмотреть новый тип привязки SSL, введите следующее в окне командной строки с повышенными привилегиями:

netsh http show sslcert

Обратите внимание, что привязка SSL — имя узла:порт со значением *:443. Кроме того, хэшсертификата не связан с этой привязкой, так как соответствующий сертификат загружается по запросу на основе контракта имени файла сертификата.

Сценарии

Попробуйте развернуть следующие сценарии:

• Централизованная поддержка SSL-сертификатов предназначена для масштабирования для мультитенантной среды. Попробуйте настроить тысячи безопасных сайтов с помощью этой функции.

• С тысячами сертификатов выполните следующую команду в окне командной строки с повышенными привилегиями. Обратите внимание, что независимо от количества безопасных сайтов существует только одна привязка:

  netsh http show sslcert

• Попробуйте добавить новый сервер в эту ферму серверов. Теперь использование общей конфигурации и централизованной поддержки SSL-сертификатов выполняется в 3 этапа.

  1. Настройте новый сервер для использования общей конфигурации.

  2. Настройте новый сервер для использования централизованной поддержки SSL-сертификатов.

  3. Создайте привязку SSL. В открывшемся окне командной строки с повышенными привилегиями введите команду:

     add sslcert hostnameport=*:443 appid={00112233-4455-6677-8899-AABBCCDDEFF}
     

• В отличие от предыдущих версий Windows Server, сертификаты в Windows Server 2012 загружаются в память по запросу. После настройки тысяч безопасных сайтов с помощью функции централизованной поддержки SSL-сертификатов отправьте запрос GET на один из безопасных сайтов и просмотрите использование памяти. Это незначительно. В предыдущих версиях Windows Server, если были настроены сотни безопасных сайтов, отправка только одного запроса GET приводит к загрузке всех сертификатов Windows Server, что приводит к высокой загрузке памяти и дальнейшему ограничению масштабируемости.

• Создайте безопасные сайты с помощью SNI, традиционной и централизованной поддержки SSL-сертификатов. Они предназначены для совместного существования.

Сводка

Вы успешно изучили функцию централизованного SSL-сертификата в Windows Server 2012.