Инструменты для обеспечения безопасного соединения |
При установке Сервера Dr.Web создаются следующие инструменты, обеспечивающие безопасное соединение между компонентами антивирусной сети: 1.Закрытый ключ шифрования Сервера Dr.Web drwcsd.pri. Хранится на Сервере Dr.Web и не передается другим компонентам антивирусной сети. При утере закрытого ключа соединение между компонентами антивирусной сети необходимо восстанавливать вручную (создавать все ключи и сертификаты, а также распространять их на все компоненты сети). Закрытый ключ используется в следующих случаях: a)Создание открытых ключей и сертификатов. Открытый ключ шифрования и сертификат создаются автоматически из закрытого ключа в процессе установки Сервера Dr.Web. Закрытый ключ при этом может быть как создан новый, так и использован существующий (например, от предыдущей установки Сервера Dr.Web). Также ключи шифрования и сертификаты могут быть созданы в любое время при помощи серверной утилиты drwsign (см. документ , Ж7.1. Утилита генерации цифровых ключей и сертификатов). Информация об открытых ключах и сертификатах приведена далее. b)Аутентификация Сервера Dr.Web. Аутентификация Сервера Dr.Web удаленными клиентами осуществляется на основе электронной цифровой подписи (однократно в рамках каждого соединения). Сервер Dr.Web осуществляет цифровую подпись сообщения закрытым ключом и отправляет сообщение на сторону клиента. Клиент проверяет подпись полученного сообщения при помощи сертификата. c)Расшифровка данных. При шифровании трафика между Сервером Dr.Web и клиентами расшифровка данных, отправленных клиентом, осуществляется на Сервере Dr.Web при помощи закрытого ключа. 2.Открытый ключ шифрования Сервера Dr.Web *.pub. Доступен всем компонентам антивирусной сети. Открытый ключ всегда может быть сгенерирован из закрытого ключа (см. выше). При каждой генерации из одного и того же закрытого ключа получается один и тот же открытый ключ. Начиная с 11 версии Сервера Dr.Web открытый ключ используется для связи с клиентами предыдущих версий. Остальной функционал перенесен на сертификат, который, в том числе, содержит в себе открытый ключ шифрования. 3.Сертификат Сервера Dr.Web drwcsd-certificate.pem. Доступен всем компонентам антивирусной сети. Сертификат содержит в себе открытый ключ шифрования. Сертификат может быть сгенерирован из закрытого ключа (см. выше). При каждой генерации из одного и того же закрытого ключа получается новый сертификат. Клиенты, подключенные к Серверу Dr.Web, привязаны к конкретному сертификату, поэтому при утере сертификата на клиенте его возможно восстановить только в том случае, если тот же самый сертификат используется каким-либо другим компонентом сети: в таком случае сертификат можно скопировать на клиента с Сервера Dr.Web или другого клиента. Сертификат используется в следующих случаях: a)Аутентификация Сервера Dr.Web. Аутентификация Сервера Dr.Web удаленными клиентами осуществляется на основе электронной цифровой подписи (однократно в рамках каждого соединения). Сервер Dr.Web осуществляет цифровую подпись сообщения закрытым ключом и отправляет сообщение на сторону клиента. Клиент проверяет подпись полученного сообщения при помощи сертификата (в частности, открытого ключа, указанного в сертификате). В предыдущих версиях Сервера Dr.Web для этого использовался открытый ключ непосредственно. Для этого необходимо наличие на клиенте одного или нескольких доверенных сертификатов от Серверов Dr.Web, к которым может подключаться клиент. b)Зашифровка данных. При шифровании трафика между Сервером Dr.Web и клиентами зашифровка данных осуществляется клиентом при помощи открытого ключа. c)Реализация TLS-сессии между Сервером Dr.Web и удаленными клиентами. d)Аутентификация Прокси-сервера. Аутентификация Прокси-серверов Dr.Web удаленными клиентами осуществляется на основе электронной цифровой подписи (однократно в рамках каждого соединения). Прокси-сервер подписывает свои сертификаты закрытым ключом и сертификатом Сервера Dr.Web. Клиент, который доверяет сертификату Сервера Dr.Web, автоматически будет доверять сертификатам, которые им подписаны. 4.Закрытый ключ веб-сервера. Хранится на Сервере Dr.Web и не передается другим компонентам антивирусной сети. Подробности использования приведены далее. 5.Сертификат веб-сервера. Доступен всем компонентам антивирусной сети. Используется для реализации TLS-сессии между веб-сервером и браузером (по HTTPS). При установке Сервера Dr.Web на основе закрытого ключа веб-сервера генерируется самоподписанный сертификат, который не будет принят веб-браузерами, поскольку не был выпущен общеизвестным центром сертификации. Чтобы защищенное соединение (HTTPS) было доступно, необходимо выполнить одно из следующих действий: •Добавить самоподписанный сертификат в доверенные, либо в исключения для всех станций и веб-браузеров, на которых открывается Центр управления. •Получить сертификат, подписанный общеизвестным центром сертификации. |