Инструменты для обеспечения безопасного соединения

При установке Сервера Dr.Web создаются следующие инструменты, обеспечивающие безопасное соединение между компонентами антивирусной сети:

1.Закрытый ключ шифрования Сервера Dr.Web drwcsd.pri.

Хранится на Сервере Dr.Web и не передается другим компонентам антивирусной сети.

При утере закрытого ключа соединение между компонентами антивирусной сети необходимо восстанавливать вручную (создавать все ключи и сертификаты, а также распространять их на все компоненты сети).

Закрытый ключ используется в следующих случаях:

a)Создание открытых ключей и сертификатов.

Открытый ключ шифрования и сертификат создаются автоматически из закрытого ключа в процессе установки Сервера Dr.Web. Закрытый ключ при этом может быть как создан новый, так и использован существующий (например, от предыдущей установки Сервера Dr.Web). Также ключи шифрования и сертификаты могут быть созданы в любое время при помощи серверной утилиты drwsign (см. документ Приложения, Ж7.1. Утилита генерации цифровых ключей и сертификатов).

Информация об открытых ключах и сертификатах приведена далее.

b)Аутентификация Сервера Dr.Web.

Аутентификация Сервера Dr.Web удаленными клиентами осуществляется на основе электронной цифровой подписи (однократно в рамках каждого соединения).

Сервер Dr.Web осуществляет цифровую подпись сообщения закрытым ключом и отправляет сообщение на сторону клиента. Клиент проверяет подпись полученного сообщения при помощи сертификата.

c)Расшифровка данных.

При шифровании трафика между Сервером Dr.Web и клиентами расшифровка данных, отправленных клиентом, осуществляется на Сервере Dr.Web при помощи закрытого ключа.

2.Открытый ключ шифрования Сервера Dr.Web *.pub.

Доступен всем компонентам антивирусной сети. Открытый ключ всегда может быть сгенерирован из закрытого ключа (см. выше). При каждой генерации из одного и того же закрытого ключа получается один и тот же открытый ключ.

Начиная с 11 версии Сервера Dr.Web открытый ключ используется для связи с клиентами предыдущих версий. Остальной функционал перенесен на сертификат, который, в том числе, содержит в себе открытый ключ шифрования.

3.Сертификат Сервера Dr.Web drwcsd-certificate.pem.

Доступен всем компонентам антивирусной сети. Сертификат содержит в себе открытый ключ шифрования. Сертификат может быть сгенерирован из закрытого ключа (см. выше). При каждой генерации из одного и того же закрытого ключа получается новый сертификат.

Клиенты, подключенные к Серверу Dr.Web, привязаны к конкретному сертификату, поэтому при утере сертификата на клиенте его возможно восстановить только в том случае, если тот же самый сертификат используется каким-либо другим компонентом сети: в таком случае сертификат можно скопировать на клиента с Сервера Dr.Web или другого клиента.

Сертификат используется в следующих случаях:

a)Аутентификация Сервера Dr.Web.

Аутентификация Сервера Dr.Web удаленными клиентами осуществляется на основе электронной цифровой подписи (однократно в рамках каждого соединения).

Сервер Dr.Web осуществляет цифровую подпись сообщения закрытым ключом и отправляет сообщение на сторону клиента. Клиент проверяет подпись полученного сообщения при помощи сертификата (в частности, открытого ключа, указанного в сертификате). В предыдущих версиях Сервера Dr.Web для этого использовался открытый ключ непосредственно.

Для этого необходимо наличие на клиенте одного или нескольких доверенных сертификатов от Серверов Dr.Web, к которым может подключаться клиент.

b)Зашифровка данных.

При шифровании трафика между Сервером Dr.Web и клиентами зашифровка данных осуществляется клиентом при помощи открытого ключа.

c)Реализация TLS-сессии между Сервером Dr.Web и удаленными клиентами.

d)Аутентификация Прокси-сервера.

Аутентификация Прокси-серверов Dr.Web удаленными клиентами осуществляется на основе электронной цифровой подписи (однократно в рамках каждого соединения).

Прокси-сервер подписывает свои сертификаты закрытым ключом и сертификатом Сервера Dr.Web. Клиент, который доверяет сертификату Сервера Dr.Web, автоматически будет доверять сертификатам, которые им подписаны.

4.Закрытый ключ веб-сервера.

Хранится на Сервере Dr.Web и не передается другим компонентам антивирусной сети. Подробности использования приведены далее.

5.Сертификат веб-сервера.

Доступен всем компонентам антивирусной сети.

Используется для реализации TLS-сессии между веб-сервером и браузером (по HTTPS).

При установке Сервера Dr.Web на основе закрытого ключа веб-сервера генерируется самоподписанный сертификат, который не будет принят веб-браузерами, поскольку не был выпущен общеизвестным центром сертификации.

Чтобы защищенное соединение (HTTPS) было доступно, необходимо выполнить одно из следующих действий:

Добавить самоподписанный сертификат в доверенные, либо в исключения для всех станций и веб-браузеров, на которых открывается Центр управления.

Получить сертификат, подписанный общеизвестным центром сертификации.