Настройка веб-сервера IIS
Большинство пользователей при работе в тонком или веб-клиенте используют в основном публикацию информационных баз на основании протокола HTTP. С одной стороны — это простой и быстрый способ дать доступ к информационной базе пользователю, у которого нет дистрибутива тонкого клиента, и он может работать только в веб-клиенте или у пользователя нет прямого доступа к серверу «1С:Предприятие». С другой стороны – информационные базы, опубликованным таким образом, категорически не рекомендуются публиковать в глобальной сети Интернет, так как в таком случае используется незащищенный канал, данные по которому могут быть перехвачены злоумышленниками. Например, распространенные виды атак это:
Решением этих проблем является использование расширения протокола HTTP и в данной статье рассмотрены публикации информационных баз с использование протокола с шифрованием (HTTPS) для веб-сервера IIS.
Внимание! В статье не рассматривается выпуск и получение сертификата проверенных поставщиков. Этот пункт должен быть выполнен самостоятельно на основании предпочтений выбора провайдера услуг. В статье предполагается что, пропуская шаг выпуска самоподписанных сертификатов, у пользователя или администратора он имеется в наличие и будет подставлен в настроечные файлы, вместо указанных в статье самоподписанных сертификатов.
План работ:
Включение компонент веб-сервера.
Windows Server 2012 R2, 2016 и 2019.
Выпуск самоподписанного сертификата (Необязательно).
1. Включение компонент веб-сервера
По умолчанию в операционной среде Windows компоненты веб-сервера не установлены. В зависимости от версии установка может несущественно различаться. Мы будем рассматривать два варианта – это распространенный дистрибутив Windows 10, если планируются использовать для пробного включения шифрования протокола и Windows Server 2016/2018, если уже планируется непосредственное разворачивание публикации в продуктивной зоне.
1.1. Windows 10
Включение компонентов веб-сервера IIS в операционной системе Windows 10 выполняется достаточно просто. Для начала нужно открыть раздел «Программы и компоненты» («Programs and Features») в панели управления (Control panel). Сделать можно это несколькими способами:
Нажать сочетание клавиш Win + R и в открывшемся окне ввести «appwiz.cpl» и нажать ОК.
Открыть панель управления (Control panel) и выбрать пункт меню Программы – Программы и компоненты (Programs – Programs and features).
В окне «Программы и компоненты» («Programs and Features») нажмите на кнопку «Включение и отключение компонентов Windows» («Turn Windows features on or off»).
Когда откроется окно «Компоненты Windows» («Windows features») в нем необходимо будет проставить флажки для следующих элементов:
Компоненты разработки приложений
Средства управления веб-сайтом
Консоль управления IIS
После этого нажимайте на кнопку «OK» и дождитесь завершения выполнения операции. После того как включение компонент будет выполнено, можно переходить к пункту «2. Публикация информационной базы».
1.2 Windows Server 2012 R2, 2016 и 2019
Настройка компонент для Windows Server 2012 R2, Windows Server 2016 и Windows Server 2019 одинаковая и все настройки производятся в диспетчере серверов (Server Manager).
Откройте диспетчер серверов (Server Manager) и нажмите Управление – Добавить роли и компоненты (Manage – Add Roles and Features).
В ответ на нажатие откроется окно мастера добавления ролей и компонентов (Add Roles and Features).
В этом окне нажмите два раза «Далее» («Next») пока мастер не переключится на страницу ролей сервера (Server Roles).
Во вкладке роли сервера (Server Roles) установите флажок «Web Server IIS». Так как эта роль зависит от другой роли ([Tools] IIS Management Console), то будет предложено установить ее дополнительно. Это можно сделать с помощью нажатия кнопки «Добавить компоненты» (Add Features) в открывшемся окне. После чего нажимаем кнопку «Далее» («Next») пока мастер не дойдет до вкладки «Роль веб-сервера IIS» («Web Server Role IIS»). На этой вкладке нажимайте кнопку «Далее» («Next») и попадете на вкладку «Службу ролей» («Role Services»). Во вкладке нужно найти пункт «Application Development» и выбрать в нем с помощью флажков пункты «ISAPI Extensions» и «ISAPI Filters». Как только закончите с установкой флажков нажимайте «Далее» («Next») и «Установить» («Install»).
На этом установка веб-сервера завершена. Можно переходить к настройкам сертификатов.
2. Выпуск самоподписанного сертификата
Выпуск самоподписанного сертификата для веб-сервера IIS максимально простой.
Для реальных систем не рекомендуем использовать самоподписанный сертификат.
Для начала процедуры выпуска откройте окно Диспетчера служб IIS (Internet Information Services (IIS) Manager) и выделите сервер в списке Подключений (Connections) . После этого нажмите на ссылку «Сертификаты сервера» («Server Certificates») .
Откроется окно доступных сертификатов сервера (Server Certificates) в котором нужно нажать «Создать самозаверенный сертификат…» («Create Self-Signed Certificate…»).
В окне мастера создания самоподписанного сертификата остается указать только произвольное название сертификата. В большинстве случаев, во избежание путаницы лучше явно указывать в качестве значения «Полное имя сертификата» («Specify a friendly name for the certificate») адрес сервера, на котором расположен сервер IIS. Как только имя сертификата будет задано нажимайте на кнопку OK и переходите к пункту привязки сертификата.
3. Привязка сертификата
Предполагается, что сертификат получен и добавлен в список сертификатов сервера. Если сертификат получен с помощью распространенного сертифицирующего центра, то его нужно предварительно импортировать в окне «Сертификаты сервера» («Server Certificates»).
Как только сертификат появится в списке, переходим непосредственно к его привязки к публикации сайта. Для этого выделяем «Default Web Site» и в окне «Действия» («Actions») нажимаем на пункт «Привязки…» («Binding…»).
В этом окне можно увидеть, что публикация работает только на порту 80, который относится к незащищенному протоколу HTTP. Чтобы его расширить, нажмите кнопку Добавить… (Add…) слева от списка привязок сайта и в открывшемся окне выберите Тип (Type) в качестве значения «https». Завершением настройки будет выбор ранее импортированного сертификата в списке «SSL-сертификат» («SSL certificate»). Нажимаем кнопку OK и закрываем мастер привязок сайта.
Можно переходить к публикации информационной и проверки его работоспособности.
4. Проверка публикации
Для публикации информационной базы нужно открыть конфигуратор конкретной базы от имени администратора и перейти в пункт меню «Администрирование». После этого выбрать «Публикация информационной базы».
В окне публикации указать имя публикации и по желанию определить каталог, где будут находиться настройки публикации. Его также можно оставить по умолчанию.
После этого требуется нажать кнопку «Опубликовать» и дождаться окончания операции.
Для проверки корректной работы нужно открыть страницу в браузере и перейти по ссылке, которая состоит из двух частей:
- Имя вашего сервера (например, server1)
- Имя публикации базы (которое было указано в окне настройки публикации)
Для таких параметров ссылка будет иметь вид:
Если все хорошо, то откроется страница с вашей информационной базой.
Certification Authority Web Enrollment Guidance
Applies To: Windows Server 2012 R2, Windows Server 2012
The Certification Authority (CA) Web Enrollment role service provides a set of web pages that allow interaction with the Certification Authority role service. These web pages are located at https:// /certsrv, where is the name of the server that hosts the hosts the CA Web Enrollment pages. The certsrv portion of the URL should always be in lowercase letters; otherwise, users may have trouble checking and retrieving pending certificates.
The CA Web Enrollment role service pages require that you secure them with secure sockets layer (SSL) / transport layer security (TLS)> If you do not, you will see an error: «In order to complete the certificate enrollment, the Web site for the CA must be configured to use HTTPS authentication.» To resolve this issue, you must configure HTTPS authentication, which is discussed in the TechNet Wiki article: Active Directory Certificate Services (AD CS): Error: «In order to complete certificate enrollment, the Web site for the CA must be configured to use HTTPS authentication».
The CA Web Enrollment role service pages allow you to connect to the CA by using a web browser and performing common tasks, such as:
Requesting certificates from the CA.
Requesting the CA’s certificate.
Submitting a certificate request by using a PKCS #10 file.
Retrieving the CA’s certificate revocation list (CRL).
CA Web Enrollment is useful when you interact with a stand-alone CA because the Certificates Microsoft Management Console (MMC) snap-in cannot be used to interact with a stand-alone CA. Enterprise CAs can accept certificate requests through the Certificates snap-in or the CA Web Enrollment role service pages.
Starting in Windows ServerВ® 2008, the CA Web Enrollment role service includes updated sample web pages for web-based certificate enrollment operations. These web pages are updated to work together with the CertEnroll component (available starting with Windows Vista). These web pages also work together with Xenroll.
The certificate enrollment Web pages starting in Windows Server 2008 detect the client operating system and then select the appropriate control.
If a client computer is running Windows Server 2003 or Windows XP, the certificate enrollment web pages use Xenroll.
If the client computer is running at least Windows VistaВ® or Windows Server 2008, the CA Web Enrollment role service uses CertEnroll.
In WindowsВ® 8, CA Web Enrollment pages will work only with Internet Explorer 10 for the desktop. Starting in Windows Server 2012 R2, client computers that run Windows XP are not supported for web enrollment.
For more information about CertEnroll and Xenroll, see the following:
CA for Web Enrollment
You can install CA Web Enrollment on a server that is not a CA to separate web traffic from the CA. Installing CA Web Enrollment configures the computer as an enrollment registration authority. You must select a CA to be used with the CA Web Enrollment pages. The CA that CA Web Enrollment uses is called the Target CA in the user interface. You can select the target CA by using the CA name or the computer name that is associated with the CA. Click the Select button to locate the CA that you want to use.
Web Enrollment Configuration
If you install the CA Web Enrollment pages on a computer that is not the target CA, the computer account where the CA Web Enrollment pages are installed must be trusted for delegation. See the following resources for more information:
If CA Web Enrollment pages installation fails on a migrated CA, it could be that the setup status in the registry is incorrectly set. For more information, see Certification Authority Web Enrollment Configuration Failed 0x80070057 (WIN32: 87)
Use the CA Web Enrollment pages
If you have been granted access permissions, you can perform the following tasks from the CA Web Enrollment pages:
Request a basic certificate.
Request a certificate with advanced options.
This gives you greater control over the certificate request. Some of the user-selectable options that are available in an advanced certificate request include:
Cryptographic service provider (CSP) options. The name of the cryptographic service provider, the key size (1024, 2048, and so on), the hash algorithm (such as SHA/RSA, SHA/DSA, MD2, or MD5) and the key specification (exchange or signature).
Key generation options. Create a new key set or use an existing key set, mark the keys as exportable, enable strong key protection, and use the local computer store to generate the key.
Additional options. Save the request to a PKCS #10 file or add specific attributes to the certificate.
Check a pending certificate request. If you have submitted a certificate request to a stand-alone certification authority, you need to check the status of the pending request to see if the certification authority has issued the certificate. If the certificate has been issued, it will be available for you to install it.
Retrieve the certification authority’s certificate to place in your trusted root store or install the entire certificate chain in your certificate store.
Retrieve the current base and delta CRLs.
Submit a certificate request by using a PKCS #10 file or a PKCS #7 file.
In general, you use a PKCS #10 file to submit a request for a new certificate and a PKCS #7 file to submit a request to renew an existing certificate. Submitting requests with files is useful when the certificate requester is unable to submit a request online to the certification authority.
Request a basic certificate
To use Internet Explorer to request a basic certificate
In Internet Explorer, connect to https:// /certsrv, where is the host name of the computer running the CA Web Enrollment role service.
Click Request a certificate.
On Request a Certificate, click User Certificate.
On the User Certificate Identifying Information page, do one of the following:
Comply to the message «No further identifying information is required. To complete your certificate, press Submit.»
Enter your identifying information for the certificate request.
(Optional) Click More Options to specify the cryptographic service provider (CSP) and choose if you want to enable strong private key protection. (You receive a prompt every time you use the private key that is associated with the certificate.)
Click Submit.
Do one of the following:
If you see the Certificate Pending page, the CA administrator will have to approve the request before you can retrieve and install the certificate.
If you see the Certificate Issued page, click Install this certificate.
Request a certificate with advanced options
To use Internet Explorer to create an advanced certificate request
In Internet Explorer, connect to https:// /certsrv, where is the host name of the computer running the CA Web Enrollment role service.
Click Request a certificate.
Click Advanced certificate request.
Click Create and submit a certificate request to this CA.
Fill in the requested identifying information and other options that you require.
Click Submit.
Do one of the following:
If you see the Certificate Pending page, the CA administrator will have to approve the request before you can retrieve and install the certificate.
If you see the Certificate Issued page, click Install this certificate.
Check a pending certificate request
To check a pending certificate request using Internet Explorer
In Internet Explorer, open https:// /certsrv, where is the hostname of the computer running the CA Web Enrollment role service.
Click View the status of a pending certificate request.
If there are no pending certificate requests, you will see a message to that effect. Otherwise, select the certificate request that you want to check, and click Next.
Check the following pending certificate requests:
Still pending. You must wait for the administrator of the certification authority to issue the certificate. To remove the certificate request, click Remove.
Issued. To install the certificate, click Install this certificate.
Denied. Contact the administrator of the certification authority for further information.
Retrieve the CA certificate
To retrieve a CA certificate by using Internet Explorer
In Internet Explorer, connect to https:// /certsrv, where is the name of the computer running the CA Web Enrollment role service.
Click Download a CA certificate, certificate chain, or CRL.
Do one of the following:
If you want to trust all the certificates that are issued by this CA, click Install this CA certificate chain.
If the CA has been renewed, you have the choice of which version of the CA certificate you want to download.
Select the encoding method that you want to use for the CRL: DER or Base 64.
Under CA Certificate, click the CA certificate that you want to download, and then click Download CA certificate or click Download CA certificate chain.
In File Download, click Open this file from its current location, and then click OK.
When the Certificate dialog box appears, click Install this certificate.
In the Certificate Import Wizard, click Automatically select the certificate store based on the type of certificate.
Retrieve the current base and delta CRLs
To retrieve a certificate revocation list by using Internet Explorer
In Internet Explorer, connect to https:// /certsrv, where is the name of the computer running the CA Web Enrollment role service.
Click Download a CA certificate, certificate chain, or CRL.
Click the encoding method that you want to use for the CRL, DER or Base 64.
Do one of the following:
Click Download CA certificate.
Click Download CA certificate chain.
Click Download latest base CRL.
Click Download latest delta CRL.
The latest base CRL must already be installed for the delta CRL to function.
When the File Download dialog box appears, click Save. Select a folder on your computer to store the .crl file, and then click Save.
Open Windows Explorer and locate the .crl file you just saved.
Right-click the .cer or .crl file and click Install Certificate or Install CRL, and then click Next.
When the Certificate Import Wizard opens, click Automatically select the certificate store based on the type of certificate.
Submit a certificate request by using a PKCS #10 file or a PKCS #7 file
To submit a certificate request by using a PKCS #10 or PKCS #7 file by using Internet Explorer
In Internet Explorer, connect to https:// /certsrv, where is the name of the computer running the CA Web Enrollment role service.
Click Request a certificate, and then click Advanced certificate request.
Click Submit a certificate request using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file.
In Notepad, click File, click Open, select the PKCS #10 or PKCS #7 file, click Edit, click Select all, click Edit, and then click Copy. On the Web page, click the Saved request scroll box. Click Edit, and then click Paste to paste the contents of certificate request into the scroll box.
If you are connected to an enterprise CA, choose the certificate template that you want to use. By default, the appropriate template is named Subordinate Certification Authority.
If you have any attributes to add to the certificate request, enter them into Additional Attributes.
Click Submit.
Do one of the following:
If you see the Certificate Pending web page, see Check a pending certificate request earlier in this document.
If you see the Certificate Issued web page, click Download certificate chain. Choose to save the file to your hard disk drive, and then import the certificate into your certificate store.