SSL для чайников: что это такое и как установить

В статье мы рассмотрим, как установить SSL-сертификат на веб-сервер Nginx.

Как SSL-сертификат помогает защитить данные?

На самом деле схема защиты трафика основана на его шифровании открытым ключом и его расшифровке закрытым ключом. Понятие SSL-сертификата применимо в контексте подтверждения того факта, что открытый ключ действительно принадлежит именно тому домену, с которым происходит соединение. Таким образом, в данной схеме присутствуют две составляющие:

  • Пара ключей (открытый и закрытый) — для шифрования/расшифровки трафика;
  • Подпись открытого ключа. Гарантирующая, что он подлинный и обслуживает именно тот домен, для которого и был создан.

Обе эти составляющие и представляют собой то, что принято обозначать понятием SSL-сертификат. Подпись является гарантией, поскольку выдаётся авторитетным центрами сертификации. Это доступные всем онлайн-сервисы (достаточно воспользоваться любой поисковой системой), которым можно отправить свой ключ, заполнив соответствующую анкету. Далее сервис (центр сертификации) обрабатывает данные из анкеты и сам ключ и высылает уже подписанный ключ обратно его владельцу. Среди самых популярных на сегодняшний день центров сертификации являются такие как Comodo. Важно заметить, что зашифрованный открытым ключом трафик возможно расшифровать только соответствующим ему закрытым ключом. В свою очередь подпись для открытого ключа от авторитетного цента говорит, что зашифрованный трафик пришёл от «своего» или подлинного узла и его можно принять в обработку, т. е. расшифровать закрытым ключом.

Настройка Exchange.

На сервере Exchange использует виртуальный каталог с именем “owa” и Центр администрирования Exchange использует виртуальный каталог с именем “ecp”.

Настройка Exchange.
Настройка Exchange.

Экспорт сертификата подписи маркера с сервера ADFS.

Настройка Exchange.
Настройка Exchange.
  • На сервере ADFS откройте “Управление ADFS”, разверните узел “Служба” и откройте “Сертификаты”.
  • Нажмите правой кнопкой мыши на сертификат в графе “Для подписи маркера” и нажмите “Просмотр сертификата”.
  • В окне “Сертификат” на вкладке “Состав” нажмите “Копировать в файл”.
  • В окне “Мастер экспорта сертификатов” нажмите “Далее”.
  • На странице “Формат экспортируемого файла” выберите “Файлы (.CER) в кодировке DER” и нажмите “Далее”.
  • На странице “Имя экспортируемого файла” укажите путь и имя для сохранения сертификата и нажмите “Далее”.
  • На странице “Завершение мастера экспорта сертификатов” проверьте параметры экспорта и нажмите “Готово”.
Настройка Exchange.
Настройка Exchange.

Установка Microsoft Exchange Server 2010

Итак, предположим, что все предварительные шаги у нас сделаны. Теперь можно приступать к инсталляции Microsoft Exchange Server 2010. Запускаем дистрибутив продукта. При этом осуществляется проверка на соответствие компьютера и операционной системы основным требованиям, после которой на экране появляется приветственное окно. В первую очередь необходимо установить язык или языки, доступные в нашем Microsoft Exchange Server 2010. Для этого кликаем мышкой на пункте "Выберите язык Exchange" и выбираем в раскрывшемся меню "Установить только языки, содержащиеся на DVD-диске" (предполагаем, что у нас русскоязычный дистрибутив продукта). Затем кликаем на ссылку "Установите Microsoft Exchange" и дожидаемся распаковки всех необходимых файлов.

После распаковки открывается окно мастера инсталляции продукта. Оно состоит из нескольких вкладок, каждая из которых соответствует одному этапу процесса установки. Начинается все с "Введения". Это просто информационное окно, на котором нажимаем на кнопку "Далее". Второй этап – лицензионное соглашение. Как обычно, его нужно прочитать и принять. Следующий шаг – соглашение на отправку отчетов об ошибках в Microsoft. На странице установки рекомендуется включить этот пункт. Однако по умолчанию он выключен, поэтому мы оставим эту настройку «как есть».

Читайте также:  Производительность RDP в Windows Server и способы ее повышения

Четвертый шаг очень важен. На нем выбирается тип установки. Всего доступно два варианта. В нашем случае, то есть для локальной сети небольшого размера, лучше выбрать обычную установку. При этом будет инсталлировано все, что нужно для работы почтового сервера: транспортный сервер, клиентский доступ, средства управления и пр. Дополнительно активируем чекбокс "Автоматически установить роли и компоненты Windows Server, необходимые для сервера Exchange Server". В случае необходимости меняем папку, в которую будет инсталлирован почтовый сервер.

На следующем этапе вводим название нашей организации. Отмечать чекбокс "Применить модель безопасности разделенных разрешений Active Directory в организации Exchange" не нужно. Эта настройка нужна лишь для крупных информационных систем, в которых управление доменом и почтовым сервером осуществляется разными сотрудниками. Далее указываем, есть или нет в корпоративной сети клиенты Microsoft Outlook 2003, для подключения которых требуется наличие базы данных общих папок. Отвечаем положительно: даже если сейчас таких клиентов нет, то, вполне возможно, они появятся в будущем.

Следующий шаг – настройка домена для доступа к устанавливаемому серверу из Интернета. Он необходим для того, чтобы сотрудники компании могли работать с корпоративными ящиками не только из внутренней сети, но и, например, из дома. Для этого активируем чекбокс "Роль сервера клиентского доступа будет с выходом в Интернет" и вводим в строке нужный домен. В его качестве удобнее всего использовать поддомен корпоративного домена, например,

Далее инсталлятор предлагает нам присоединиться к программе улучшения качества программного обеспечения Microsoft. Соглашаться на это или нет – личное дело каждого. Мы в нашем примере отказываемся и переходим к следующему этапу. Это проверка предварительных требований, в ходе которой система выявляет, действительно ли все готово для установки почтового сервера. Если каких-то компонентов не хватает или при проверке были обнаружены другие ошибки, инсталлятор уведомит об этом, причем не просто сообщит о проблеме, но и приведет подробную информацию о ней вплоть до ссылки на веб-страницу, на которой описано ее решение. В этом случае исправляем недочеты и заново запускаем мастер инсталляции.

Если же все в порядке, то просто нажимаем на кнопку "Установка", после чего программа начинает непосредственно процесс инсталляции. Сразу отметим, что эта процедура весьма длительная. Время, необходимое на ее выполнения, зависит от доступных вычислительных ресурсов и производительности сервера. Однако в любом случае придется запастись терпением. После завершения инсталляции остается нажать на кнопку "Завершить". На последнем этапе можно обновить Microsoft Exchange Server 2010. Для этого нужно в основном окне выбрать шаг "Загрузите важные обновления для Microsoft Exchange".

Что такое SSL

SSL (или Secure Sockets Layer) — это специальный протокол, который передаёт данные в зашифрованном виде по HTTPS. Для расшифровки необходим специальный ключ, а для работы протокола — предустановленный на сайт сертификат. SSL называют паспортом или цифровой подписью сайта: перед установлением соединения подлинность проверяется третьей стороной — центрами сертификации. Именно за счёт шифрования и аутентификации SSL обеспечивает безопасную работу сайта.

Помимо безопасности, есть ещё как минимум две причины установить сертификат на ваш сайт.

Первая — это результаты поисковой выдачи. С 2014-го года Google учитывает наличие сертификата при ранжировании поисковых результатов. Сайты с наличием SSL поднимутся в позиции, без SSL — отправятся вниз.

Вторая — определение местоположения пользователя. В соответствии с новыми правилами Google Chrome не позволяет устанавливать геолокацию ненадёжным хостам. Для мобильного сайта необходимо дать пользователю возможность узнать, где находится ближайший филиал, или выстроить к нему маршрут. Для такого сайта наличие SSL-сертификта становится обязательным.

Обычно SSL используют:

  • Для сохранности личных данных пользователя;
  • Для различных транзакций;
  • Для электронной почты;
  • Для передачи файлов;
  • Для работы с панелью управления хостингом, и т.д.

SSL-сертификат содержит:

  • Доменное имя, на которое он оформлен;
  • Юридическое лицо, которое владеет сертификатом;
  • Физическое местонахождение владельца;
  • Открытый ключ владельца;
  • Даты выдачи сертификата и окончания его действия;
  • Полное (уникальное) имя центра сертификации;
  • Цифровая подпись издателя.

Виды сертификатов:

  • Обычные SSL-сертификаты выпускаются автоматически. Основное преимущество — они выпускаются очень быстро. Обратная сторона — они очень простые, и подойдут только для тех сайтов, где нет необходимости в доверии со стороны пользователей.
  • Wildcard-сертификаты необходимы, когда нужно обеспечить безопасностью не только основной домен, но и поддомены (, и т.д.).
  • SAN-сертификаты используются для нескольких доменов, которые размещены на одном сервере.
  • EV-сертификаты — сертификаты с максимальной степенью защиты, которые полностью подтверждают существование компании и дают вот такую вот зелёную плашку в адресной строке, чтобы пользователь мог полностью расслабиться:

Сертификат Exchange 2013

Начнем с описания проблемы.

Суть вопроса

До этого момента я обходился лишь самозаверенным сертификатом и его вполне достаточно для работы в Outlook Web App, если вас не раздражает каждый раз нажимать «Дополнительно», чтобы проигнорировать предупреждение безопасности:

Тем не менее, некоторыми сервисами вы не сможете воспользоваться сразу, если у вас используется этот тип сертификата:

Такая ошибка у вас вылезет при первом запуске Outlook 2013. А дальше вы вообще потеряете соединение:

Итогом станет осознание факта, что без некоторых телодвижений получить нормально работающий Outlook 2013 не выйдет. Аналогичная информация есть 2 и в статье на Technet:

Exchange ActiveSync и Outlook Web App могут устанавливать подключения SSL с помощью самозаверяющего сертификата. Мобильный Outlook не сможет работать с самозаверяющим сертификатом на сервере клиентского доступа. Самозаверяющие сертификаты необходимо вручную копировать в доверенное корневое хранилище сертификатов на клиентском компьютере или мобильном устройстве.

В этой цитате уже есть и решение проблемы — нужно скопировать самозаверенный сертификат в доверенное корневое хранилище сертификатов на целевом устройстве. Этим и займемся, только сделаем все централизованно через групповые политики.

Читайте также:  Где хранятся закладки edge в Windows 10?

Пересоздание сертификата

Однако пока все не так-то и просто. Дело в том, что в текущем самозаверенном сертификате содержатся совсем не те имена, которые нам нужны. Это произошло потому, что до этого я изменил внутренние и внешние URL (подробнее в статье Внутренние и внешние URL Exchange 2013 на моем блоге) и по-хорошему надо бы пересоздать сертификат. Идем в ЕАС — EAC\серверы\сертификаты. Нажимаем Создать (значок +), проходим мастер по созданию сертификата.

Вам придется указать имена, которые этот сертификат будет содержать, но обычно Exchange 2013 самостоятельно подставляет все правильно и нужно только проверить. В любом случае все шаги вы сможете увидеть на скриншотах ниже:

Не забываем назначить новому сертификату службы. Для этого после создания нажмите Изменить (значок карандаша), далее пройдите в службы:

После этого необходимо сертификат, который использовался ранее, удалить, он в принципе больше не нужен.

Распространение через групповые политики

Следующим этапом будет экспорт сертификата с сервера Exchange 2013. Для этого запускаем консоль mmc через командную строку, нажимаем CTRL+M (добавить оснастку), выбираем Сертификаты, далее выбираем учетной записи компьютера. Находим нужный сертификат:

На сертификате нажимаем правой кнопкой — Все задачи\Экспорт. В мастере экспорта просто нажимаем всегда далее, вам надо указать лишь название файла и куда вы хотите его сохранить. Следующий шаг — нужно перетащить этот файл на контроллер домена для его добавления в групповую политику.

На контроллере домена открываем оснастку управления групповыми политиками — в командной строке вводим Выбираем контейнер, в котором у вас находятся учетные записи компьютеров, нажимаем правой кнопкой — создаем объект групповой политики:

Задаем имя политики и сразу как она отобразится в дереве слева, нажимаем правой кнопкой — Изменить.

Нужно пройти в Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политики открытого ключа\Доверенные корневые центры сертификации. Нажимаем правой кнопкой — Импорт. Далее просто проходим мастер импорта ничего не меняя, нужно просто указать расположение ранее экспортированного файла (см. выше).

На целевом ПК обновляем групповую политику — gpupdate /force или просто перезагружаем его. В итоге получаем работающий Outlook и «спокойный» браузер:

Это очевидно, но все же хочу напомнить: это все будет работать автоматически только на доменных ПК и только если учетная запись этих компьютеров будет в контейнере, к которому применяется нужный объект групповой политики. Если пользователи будут ругаться на невозможность установки соединения, вам в любом случае придется импортировать им сертификат вручную. На этом все, сертификат Exchange 2013 создан и распространяется через групповые политики.

источник

Настройка политики

Для того, чтобы пользователи успешно подключались к нашему VPN и имели необходимый доступ, нужно создать политику, разрешающую доступ из интерфейса в интерфейс локальной сети:

Настройка политики
  1. Перейдите в поле Policy & Objects → Firewall Policy → Create New.
  2. Укажите имя политики, в качестве входящего интерфейса должен быть SSL-VPN tunnel interface().
  3. Выберите исходящий интерфейс, в данном случае это внутренний интерфейс lan.
  4. В поле Source выберите созданную ранее группу пользователей, в данном случае это SSLVPNGROUP, и адресный объект all.
  5. В поле Destination выберите необходимую локальную сеть.
  6. Укажите необходимые сервисы и сохраните политику.