При создании веб-прослушивателя, прослушивающего HTTPS-запросы,
следует предоставить для него цифровой сертификат, установленный в
Microsoft ISA Server 2006. ISA Server проверяет, какие
сертификаты имеются на компьютерах, где запущены службы ISA Server,
и выводит список сертификатов, один из которых можно выбрать для
прослушивателя. В этом разделе описан механизм формирования списка
сертификатов.
Для составления списка сертификатов ISA Server проводит поиск в
хранилище сертификатов локального компьютера. Достоверность каждого
сертификата проверяется по следующим критериям:
Стандартное имя. Стандартное имя сертификата должно
совпадать с внешним именем публикуемого веб-узла. Стандартное имя
сертификата выражает удостоверение, которое он подтверждает. Это
удостоверение, в свою очередь, должно соответствовать
удостоверению, которое клиент предполагает получить. К примеру,
если ISA публикует внутренний веб-узел msweb под внешним (доступным
извне) именем msweb.microsoft.com с помощью клиентского протокола
SSL, то при вводе пользователем в веб-обозревателе адреса
https://msweb.microsoft.com веб-обозреватель рассчитывает
получить от ISA Server сертификат со стандартным именем,
соответствующим введенному адресу: msweb.microsoft.com или
*.microsoft.com. (Звездочка, *, является элементом имени группового
сертификата, подходящего для всех субдоменов microsoft.com.)
Сертификат сервера. Существуют разные типы сертификатов,
но именно сертификат сервера необходим для установления
SSL-подключения.
Срок действия. Срок действия сертификата не должен
истечь к моменту его включения в список. Сертификаты привязывают
удостоверение к определенному открытому ключу, который, в свою
очередь, привязан к закрытому ключу. Безопасность гарантируется
только в том случае, если закрытый ключ неизвестен злоумышленнику.
На случай, если секретный ключ будет раскрыт, для сертификата
устанавливается срок действия, позволяющий ограничить по времени
уязвимость сервера Как правило, при получении от сервера
сертификата с истекшим сроком действия веб-обозреватель выводит
предупреждения, которое пользователь может принять во внимание или
проигнорировать.
Дата начала действия. Дата начала действия сертификата к
моменту включения в список должна наступить.
Секретный ключ. Для сертификата ISA Server должен быть
создан секретный ключ, соответствующий открытому ключу. Сертификаты
привязывают удостоверения к открытым ключам. Открытые ключи
вычисляются на основании секретных ключей специальным алгоритмом,
который очень трудно исполнить в противоположном направлении. (К
примеру, статистически невозможно вычислить секретный ключ, на
основании которого формируется определенный открытый ключ, зная
только этот открытый ключ и алгоритм, применявшийся для его
составления.) Секретные ключи применяются для шифрования данных при
SSL-подключении, открытые — для их дешифрования. Строго
говоря, секретный ключ не является компонентом сертификата сервера.
Однако ISA Server не может передать клиенту зашифрованные данные,
если соединение с клиентом установлено без применения секретного
ключа.
Установка на компьютерах-членах массива. Для выпуска ISA
Server Enterprise Edition. Сервер ISA Server проводит проверку на
предмет наличия на всех членах массива действующих сертификатов.
При публикации веб-узла с помощью массива компьютеров ISA Server
для всех членов массива должны быть установлены действующие
сертификаты.