Quick Apache2 самоподписанный SSL сертификат

Как установить SSL сертификат в панели управления ISPmanager

1. После того как вы сделали заказ сертификата в личном кабинете -SSL и активировали его необходимо установить ssl в панели ISPmanager — для этого подключаетесь к контрольной панели с логин-деталями пользователя, которому принадлежит защищаемый домен. При подключении от root-пользователя, раздел SSL будет недоступен. 2. Выбираете пункт «SSL сертификаты», расположенный в разделе «World Wide Web». 3. В открывшейся странице нажимаете на кнопку Создать» (New)

Существующий» (Existing)

Имя сертификата (Name) – нужно указывать доменное имя, на которое заказывался SSL сертификат Ключ (Certificate key) — содержимое приватного (RSA) ключа Сертификат (Certificate) – содержимое сертификата Пароль (Password) – пароль необходимо указывать, если вы собираетесь добавить сертификат с зашифрованным ключом, обычно это поле оставляют пустым Цепочка сертификатов (Certificates chain) — цепочка сертификатов (ca_bundle), которыми подписан данный сертификат. Обычно данная цепочка приходит в письме вместе с сертификатом. В ином случае, скачать данную цепочку можно на официальном сайте Центра сертификации, который выпускал SSL сертификат.

Что за уязвимости и чем они опасны?

Четыре самых опасных уязвимости, которые уже вовсю эксплуатируют злоумышленники, позволяют им провернуть трехступенчатую атаку. Сначала они получают доступ к серверу Exchange, затем создают веб-шелл для удаленного доступа к серверу, а затем используют его для кражи данных из сети организации. Вот эти уязвимости:

• уязвимость CVE-2021-26855 может быть использована для подделки запросов со стороны сервера (server-side request forgery) что позволяет обойти аутентификацию на сервере Exchange и, как следствие, ведет к удаленному запуску произвольного кода;
• CVE-2021-26857 позволяет злоумышленникам выполнить произвольный код от имени системы (для ее использования требуются либо права администратора, либо эксплуатация предыдущей уязвимости;
• CVE-2021-26858и CVE-2021-27065 используются для записи файла по любому пути на сервере.

Злоумышленники используют эти четыре уязвимости в связке. Впрочем, если судить по данным Microsoft, иногда они пользуются похищенными учетными данными и аутентифицируются на сервере без применения уязвимости CVE-2021-26855.

Патч, который закрывает все эти уязвимости, устраняет и еще несколько более мелких дыр в Exchange, не имеющих прямого отношения к активным целевым атакам (по крайней мере насколько нам это известно).

Шаг Сохраняем все сертификаты сайта

Браузер позволяет просматривать и сохранять данные о сертификатах сайта. У каждого сайта есть так называемая иерархия сертификатов. В этом шаге мы сохраним все сертификаты из иерархии с помощью браузера.

Примечание

В примере используется браузер Google Chrome. Интерфейс и названия в других браузерах отличаются, но принцип действий похож.

1.1. Откройте сайт, сертификат которого необходимо добавить.

1.2. В окне браузера нажмите на сведения о сайте. Обычно это иконка слева от адреса сайта в адресной строке.

1.3. В появившемся окне нажмите на ссылку Подробнее.

1.4. Появится окно с вкладкой Security. Нажмите на кнопку View certificate в этом окне.

1.5. Откроется окно Инструмент просмотра сертификатов. В этом окне перейдите на вкладку Подробнее и по очереди экспортируйте все сертификаты из иерархии в файлы с расширением .crt.

SSL-сертификат, центр сертификации.

Для работы SSL требуется, чтобы на сервере имелся SSL-сертификат. Технология шифрования не зависит от сертификатов, но они необходимы для того, чтобы гарантировать, что общаться друг с другом будут только те хосты, которые действительно намеревались это сделать. Если каждый из хостов может проверить сертификат другого, то они договариваются о шифровании сеанса. В противном случае они полностью отказываются от шифрования и формируют предупреждение, т.к. отсутствует Аутентичность.

Центр сертификации или Удостоверяющий центр (англ. Certification authority, CA) — это организация или подразделение организации, которая выпускает сертификаты ключей электронной цифровой подписи, это компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранится центрами сертификации в виде цифровых сертификатов, имеющих следующую структуру:

• Серийный номер сертификата;
• Объектный идентификатор алгоритма электронной подписи;
• Имя удостоверяющего центра;
• Срок годности;
• Имя владельца сертификата (имя пользователя, которому принадлежит сертификат);
• Открытые ключи владельца сертификата (ключей может быть несколько);

• Сертификат также содержит полностью определенное имя домена (FQDN RFC 821) в строке Common Name. Одна из возможных атак — подмена DNS — будет обнаружена до отправки данных.

Виды SSL- сертификатов

Выделяют различные виды SSL- сертификатов в зависимости от типа проверки:

• Сертификаты с проверкой домена – подтверждают подлинность доменного имени. Не содержат информации о компании.
• Сертификаты с проверкой компании – содержат информацию не только о домене, но и о компании, которой выдан сертификат. Пользуются большим доверием у пользователей.
• Сертификаты на домен и поддомены (Wildcard SSL) – обеспечивают защиту неограниченного количества субдоменов одним сертификатом. Сертификат выдается на определенное доменное имя и при этом защищает все поддомены. Данные сертификаты могут быть как с проверкой домена, так и с проверкой организации.
• Сертификаты с расширенной проверкой организации (Extended Validation SSL (EV SSL)) – обеспечивают наивысшее доверие клиентов. Когда пользователь находится на сайте с EV SSL сертификатом, браузер подсвечивает адресную строку зеленым цветом.

Wildcard SSL — сертификаты — это сертификаты, защищающие не только основной домен(ваш_), но и поддомены(_, _, _ и т.д.). Может использоваться на веб-сервере и почтовом сервере. При генерации запроса на Wildcard сертификат в качестве Common Name (CN) используйте "*", где — это ваше доменное имя.

Установка SSL-сертификата сайта (.CRT) на IIS 8

Шаг 1 Запустите Диспетчер Серверов (Server Manager).Шаг 2 В меню Средства (Tools) выберите Диспетчер служб IIS (Internet Information Services Manager).

Шаг 3 В меню Подключения (Connections) в левой части открывшегося окна выберите сервер, для которого вы ранее генерировали CSR-запрос на подпись сертификата.

Примечание: CSR — Code Signing Request, запрос на выдачу SSL-сертификата.

Шаг 4 В центральной части окна откройте меню Сертификаты Сервера (Server Certificates). Шаг 5. Для файла .CRT выполните следующие действия: В панели Действия (Actions) в правой части окна выберите пункт Запрос установки сертификатов (Complete Certificate Request).

В открывшемся окне заполните поля:

Примечание: Для сертификатов Wildcard (сертификата для домена и его поддоменов) укажите имя, соответствующее значению Common Name, из SSL-сертификата. (напр., *).

• Имя файла, содержащего ответ центра сертификации (File name containing the certificate authority's response): выберите расположение полученного от центра сертификации файла SSL-сертификата (.crt) и нажмите Открыть (Open).
• В поле Понятное имя (Friendly Name) введите уникальное значение имени SSL-сертификата.
• Выбрать хранилище сертификатов для нового сертификата (Select a certificate store for the new certificate): выберите Личный (Personal).

Шаг 6. Для сертификата .PFX выполните следующие действия:

В панели Действия (Actions) в правой части найдите пункт Импортировать (Import).

В открывшемся окне введите путь до сертификата и пароль защищающий ваш сертификат из панели управления, выберете хранилище.

Шаг 7. Действия для файлов .CRT и .PFX В меню Подключения (Connections) в левой части окна Диспетчера IIS выберите сервер, для которого только что установили SSL-сертификат. Раскройте список сайтов на сервере и выберите сайт, который вы хотите защитить с помощью SSL-сертификата (эта процедура называется Привязка (Binding)). В панели Действия (Actions) в правой части окна выберите Привязки (Bindings).

Шаг 8 В открывшемся окне нажмите Добавить (Add), и заполните необходимые поля:

Примечение: для привязки Wildcard сертификата необходимо отдельно привязать каждый поддомен (напр., , )

• Тип (Type): https;
• IP-адрес (IP address): все неназначенные или IP адрес сервера, на котором расположен веб-сайт;
• Имя узла (Hostname): укажите доменное имя, для которого выпущен сертификат (напр., );
• Порт (Port): 443;
• SSL-сертификат (SSL certificate): выберите загруженный из панели 1cloud файл .CRT-сертификата.

Шаг 9

В панели Управление веб-сайтом (Manage Web-Site) в правой части окна Диспетчера IIS нажмите Перезапустить (Restart) для завершения процесса установки сертификата.

На этом процедура установки SSL-сертификата на веб-сервер IIS 8 завершена. Для проверки корректности установки перейдите на ваш веб-сайт, используя префикс https:// (напр., ). Если сертификат установлен правильно, вы увидите замок в адресной строке браузера без отображения ошибок SSL-сертификата. При нажатии на иконку замка будет отображена информация о приобретенном вами SSL-сертификате.

P. S. Другие инструкции:

• Генерация CSR-запроса в IIS 8
• Настройка динамических параметров ограничений IP IIS 8 в Windows Server 2012
• Установка SSL-сертификата на Apache (Linux)
• Установка SSL-сертификата на 1С-Битрикс

Подводим итоги

Как мы видим, установка и первоначальная настройка Microsoft Exchange Server 2010 в небольшой корпоративной сети – процедура не такая уж и сложная. Буквально за час можно "поднять" полноценный почтовый сервер, предоставляющий бизнесу широчайшие коммуникативные возможности. Приобрести Microsoft Exchange Server 2010 можно у партнеров 1Софт.

Марат Давлетханов

Все права защищены. По вопросам использования статьи обращайтесь к администраторам сайта

Хотите купить софт? Позвоните партнерам фирмы «1С», чтобы получить квалифицированную консультацию по выбору программ для ПК, а также информацию о наличии и цене лицензионного ПО.

Отправьте запрос на программное обеспечение или выберите наиболее компетентного поставщика лицензионного ПО в вашем городе

Tweet