Инструменты для обеспечения безопасного соединения |
При установке Сервера Dr.Web создаются следующие инструменты, обеспечивающие безопасное соединение между компонентами антивирусной сети: 1.Закрытый ключ шифрования Сервера drwcsd.pri. Хранится на Сервере и не передается другим компонентам антивирусной сети. При утере закрытого ключа соединение между компонентами антивирусной сети необходимо восстанавливать вручную (создавать все ключи и сертификаты, а также распространять их на все компоненты сети). Закрытый ключ используется в следующих случаях: a)Создание открытых ключей и сертификатов. Открытый ключ шифрования и сертификат создаются автоматически из закрытого ключа в процессе установки Сервера. Закрытый ключ при этом может быть как создан новый, так и использован существующий (например, от предыдущей установки Сервера). Также ключи шифрования и сертификаты могут быть созданы в любое время при помощи серверной утилиты drwsign (см. документ , п. H9.1. Утилита генерации цифровых ключей и сертификатов). Информация об открытых ключах и сертификатах приведена далее. b)Аутентификация Сервера. Аутентификация Сервера удаленными клиентами осуществляется на основе электронной цифровой подписи (однократно в рамках каждого соединения). Сервер осуществляет цифровую подпись сообщения закрытым ключом и отправляет сообщение на сторону клиента. Клиент проверяет подпись полученного сообщения при помощи сертификата. c)Расшифровка данных. При шифровании трафика между Сервером и клиентами расшифровка данных, отправленных клиентом, осуществляется на Сервере при помощи закрытого ключа. 2.Открытый ключ шифрования Сервера drwcsd.pub. Доступен всем компонентам антивирусной сети. Открытый ключ всегда может быть сгенерирован из закрытого ключа (см. выше). При каждой генерации из одного и того же закрытого ключа получается один и тот же открытый ключ. Начиная с 11 версии Сервера открытый ключ используется для связи с клиентами предыдущих версий. Остальной функционал перенесен на сертификат, который, в том числе, содержит в себе открытый ключ шифрования. 3.Сертификат Сервера drwcsd-certificate.pem. Доступен всем компонентам антивирусной сети. Сертификат содержит в себе открытый ключ шифрования. Сертификат может быть сгенерирован из закрытого ключа (см. выше). При каждой генерации из одного и того же закрытого ключа получается новый сертификат. Клиенты, подключенные к Серверу, привязаны к конкретному сертификату, поэтому при утере сертификата на клиенте его возможно восстановить только в том случае, если тот же самый сертификат используется каким-либо другим компонентом сети: в таком случае сертификат можно скопировать на клиента с Сервера или другого клиента. Сертификат используется в следующих случаях: a)Аутентификация Сервера. Аутентификация Сервера удаленными клиентами осуществляется на основе электронной цифровой подписи (однократно в рамках каждого соединения). Сервер осуществляет цифровую подпись сообщения закрытым ключом и отправляет сообщение на сторону клиента. Клиент проверяет подпись полученного сообщения при помощи сертификата (в частности, открытого ключа, указанного в сертификате). В предыдущих версиях Сервера для этого использовался открытый ключ непосредственно. Для этого необходимо наличие на клиенте одного или нескольких доверенных сертификатов от Серверов, к которым может подключаться клиент. b)Зашифровка данных. При шифровании трафика между Сервером и клиентами зашифровка данных осуществляется клиентом при помощи открытого ключа. c)Реализация TLS-сессии между Сервером и удаленными клиентами. d)Аутентификация Прокси-сервера. Аутентификация Прокси-серверов Dr.Web удаленными клиентами осуществляется на основе электронной цифровой подписи (однократно в рамках каждого соединения). Прокси-сервер подписывает свои сертификаты закрытым ключом и сертификатом Сервера Dr.Web. Клиент, который доверяет сертификату Сервера Dr.Web, автоматически будет доверять сертификатам, которые им подписаны. 4.Закрытый ключ веб-сервера. Хранится на Сервере и не передается другим компонентам антивирусной сети. Подробности использования приведены далее. 5.Сертификат веб-сервера. Доступен всем компонентам антивирусной сети. Используется для реализации TLS-сессии между веб-сервером и браузером (по HTTPS). При установке Сервера на основе закрытого ключа веб-сервера генерируется самоподписанный сертификат, который не будет принят веб-браузерами, поскольку не был выпущен общеизвестным центром сертификации. Чтобы защищенное соединение (HTTPS) было доступно, необходимо выполнить одно из следующих действий: •Добавить самоподписанный сертификат в доверенные, либо в исключения для всех станций и веб-браузеров, на которых открывается Центр управления. •Получить сертификат, подписанный общеизвестным центром сертификации. |