IIS - Задание стойкости шифрования

Пользователи, пытающиеся установить защищенный канал связи с вашим сервером, должны будут иметь обозреватель, поддерживающий шифрование с 128-битным ключом.

2020.09.17            


Важно!

  • Из-за экспортных ограничений США или ограничений законодательства страны, 128-битное шифрование может быть недоступным. См. дополнительную информацию на веб-узле Майкрософт http://www.microsoft.com/exporting/ или http://www.microsoft.com/rus. Сведения об обновлении средства шифрования для поддержки 128-битных ключей находятся на веб-узле поддержки Windows 2000 Server по адресу http://support.microsoft.com/support/.

  • При задании свойств безопасности для конкретного веб-узла эти же свойства автоматически устанавливаются для каталогов и файлов, принадлежащих этому узлу, если ранее для этих файлов и каталогов не были определены свойства безопасности .

  • При попытке задать свойства безопасности для веб-узла веб-сервер выводит запрос на подтверждение отмены свойств отдельных каталогов и файлов. Если такое подтверждение получено, предыдущие значения свойств безопасности будут заменены новыми. То же самое происходит при задании свойств безопасности для каталога, содержащего подкаталоги и файлы, для которых ранее были заданы свойства безопасности.

  • Дополнительные сведения о настройке свойств см. в разделе «Свойства и наследование свойств на узлах» раздела О веб- и FTP-узлах.

Чтобы задать стойкость шифрования

Примечание. Если на сервере не установлен действительный сертификат сервера, то безопасный шифрованный канал связи создать нельзя.

  • В оснастке Internet Information Services выберите веб-узел, каталог или файл и откройте окно его свойств.

  • Если серверная пара ключей и запрос на сертификат еще не были созданы, откройте вкладку Безопасность каталога или Безопасность файла. В области Безопасные подключения нажмите кнопку Сертификат. Новый мастер сертификатов веб-сервера проведет вас через все необходимые этапы процедуры их создания. Дополнительные сведения о новом мастере.

  • Если серверная пара ключей и запрос на сертификат уже имеются, откройте вкладку Безопасность каталога или Безопасность файла. В области Безопасные подключения нажмите кнопку Изменить.

  • В диалоговом окне Безопасные подключения установите флажок Требуется безопасный канал (SSL).

  • Если это нужно, установите флажок Требуется 128-и разрядное шифрование.

  • Нажмите кнопку OK.

Примечание. Ключ сеанса — это не то же самое, что пара ключей SSL, которая используется для установления защищенного соединения.

Шифрование SGC (Server-Gated Cryptography) Средства шифрования SGC предоставляют финансовым организациям возможность защиты финансовых транзакций во всем мире с помощью 128-битного шифрования. SGC является расширением протокола Secure Sockets Layer (SSL), позволяющим финансовым организациям, имеющим экспортные версии IIS, использовать шифрование с повышенной стойкостью.

Шифрование SGC не требует, чтобы в обозревателе клиента работало специальное приложение, и может использоваться стандартными экспортными версиями IIS, начиная с версии 4.0. Сервер с включенными средствами SGC может устанавливать сеансы шифрования как со 128-битным, так и с 40-битным ключом, что позволяет обойтись только лишь одной версией IIS. Хотя возможности шифрования SGC встроены в IIS начиная с версии 4.0, для их использования требуется специальный сертификат SGC. Сведения о доступности таких сертификатов можно получить у службы сертификации. Дополнительные сведения о SGC см. на странице Server-Gated Cryptography (SGC) по адресу http://www.microsoft.com/security/tech/sgc.

Примечание. При открытии сертификата SGC, на вкладке Общие может возникнуть сообщение "Этот сертификат не удалось проверить для всех указанных для него целей применения.". Это сообщение обусловлено способом, которым сертификаты SGC взаимодействуют с Windows 2000, и не обязательно свидетельствует о том, что сертификат работает неправильно.