Файл запроса

Имя создаваемого файла запроса.

4. После заполнения формы нажмите кнопку «OK».

5. Повторно введите пароль, указанный в форме, и нажмите кнопку «OK».

В процессе создания ключа на экране отображается анимация, после которой появится окно, содержащее сведения о новом ключе и порядке получения сертификата.

6. После прочтения сведений в окне Информация о новом ключе нажмите кнопку «OK».

7. Чтобы сохранить новый ключ в меню Серверы выберите команду Применить изменения.

8. Чтобы применить изменения, нажмите кнопку «OK».

Новый ключ отображается непосредственно под именем компьютера, для которого он был создан. По умолчанию ключ создается для локального компьютера.

Примечание.При вводе данных в поля нельзя использовать запятую. Запятая будет интерпретироваться как окончание данных поля, что приведет к ошибке при обработке запроса.

Создание пары ключей на другом компьютере

Можно создать пару ключей и установить сертификат на другом компьютере. В меню Серверы выберите команду Подключиться к серверу и выполните процедуру создания пары ключей из предыдущего раздела.

После создания пары ключей необходимо получить и установить сертификат. Дополнительные сведения о получении сертификата см. в разделах «Получение сертификата» и «Установка сертификата с помощью пары ключей».

Получение сертификата

Ключ, созданный диспетчером ключей, нельзя использовать в Интернете до получения сертификата (например VeriSign). Для получения сертификата следует послать файл запроса в агентство сертификации (Certificate Authority). Дополнительные сведения о сертификате см. на узле Web по адресу http://www.verisign.com/microsoft/.

Установка сертификата с помощью пары ключей

После отправки файла запроса вы получите сертификат, заверенный агентством сертификации (Certificate Authority). Диспетчер ключей создаст файл, подобный следующему:

-----BEGIN CERTIFICATE-----

------END CERTIFICATE-----

Чтобы установить сертификат

1. В подменю Службы узла Web Microsoft выберите команду Диспетчер ключей.

2. В окне диспетчера ключей выделите пару ключей, которая соответствует заверенному сертификату.

Если была создана резервная копия файла ключей, загрузите необходимый ключ. Дополнительные сведение см. в разделе «Загрузка сохраненных ключей» этой главы.

3. В меню Ключ выберите команду Установить сертификат ключа.

4. Выделите файл сертификата (например Certif.txt) и нажмите кнопку «Открыть».

5. Введите пароль, назначенный при создании пары ключей.

Ключ и сертификат будут объединены и сохранены в системном реестре сервера.

6. В меню Серверы выберите команду Применить изменения.

7. Чтобы применить изменения, нажмите кнопку «OK».

Можно создать резервную копию комбинации ключа и сертификата с помощью процедуры, описанной в разделе «Резервное копирование ключей» этой главы.

Настройка каталога на применение протокола SSL

После получения сертификата следует разрешить использование протокола SSL в диспетчере служб Интернета. Протокол SSL может применяться в любой виртуальной папке, доступной на узле Web (включение протокола выполняется с помощью вкладки «Каталоги» окна свойств.

Чтобы применить протокол SSL

1. В диспетчере служб Интернета дважды щелкните службу WWW для открытия окна свойств, затем укажите вкладку «Каталоги».

2. Выделите необходимую папку и нажмите кнопку «Свойства».

3. Установите флажок «Требуется защищенный канал SSL» и нажмите кнопку «OK».

Перемещение пары ключей на другой сервер

После создания пары ключей ее можно переместить на другой сервер с помощью диспетчера ключей.

Чтобы переместить пару ключей на другой сервер

1. В меню Серверы выберите команду Подключиться к серверу, введите имя сервера, на который следует переместить пару ключей и нажмите кнопку «OK».

Имя сервера отображается в списке серверов (левый столбец).

2. Выделите перемещаемый ключ.

3. В меню Правка выберите команду Вырезать.

4. Выделите сервер, на который следует переместить пару ключей.

5. В меню Правка выберите команду Вставить.

Копирование пары ключей выполняется с помощью аналогичной процедуры (вместо команды Вырезать следует применить команду Копировать).

Резервное копирование ключей

В диспетчере ключей можно скопировать данные из системного реестра в файл на жестком диске и, далее, переместить или скопировать этот файл на гибкий диск или магнитную ленту для хранения. Предусмотрено создание резервных копий как файла личных ключей, так и ключа с заверенным сертификатом.

Чтобы создать резервную копию ключа или файла личных ключей

1. В меню Ключ диспетчера ключей выберите пункт Экспорт ключей, затем команду Файл архива.

2. После прочтения предупреждения о размещении на жестком диске компьютера данных, способных повлиять на работу системы, нажмите кнопку «OK».

3. Введите имя ключа в поле «Имя файла» и нажмите кнопку «Сохранить».

Файл архива получает расширение REQ и сохраняется на жестком диске компьютера. Скопируйте или переместите созданную резервную копию на гибкий диск или магнитную ленту для хранения.

Загрузка сохраненных ключей

Загрузка файла личных ключей или ключа с заверенным сертификатом осуществляется в диспетчере ключей с помощью команды Импорт ключей.

Чтобы загрузить сохраненный ключ

1. В меню Ключ диспетчера ключей выберите пункт Импорт ключей, затем команду Файл архива.

2. Выделите необходимый файл архива и нажмите кнопку «Открыть».

Загрузка ключа, созданного с помощью программ Keygen.exe и Setkey.exe

Если ключ создан с помощью программы Keygen.exe и сертификат установлен программой Setkey.exe, их можно загрузить в диспетчере ключей с помощью команды Импорт ключей.

Чтобы загрузить ключ

1. В меню Ключ диспетчера ключей выберите пункт Импорт ключей, затем команду Файлы определения ключей.

2. В поле Файл личного парного ключа введите имя файла пары ключей или нажмите кнопку «Обзор» для поиска этого файла.

3. В поле Файл сертификата введите имя файла сертификата или нажмите кнопку «Обзор» для поиска этого файла.

4. Нажмите кнопку «OK».

5. Введите пароль личного ключа в поле Пароль личного ключа и нажмите кнопку «OK».

Рекомендации по настройке и применению протокола SSL

Microsoft советует использовать разные каталоги для хранения защищаемых и общедоступных документов (например C:\Inetsrv\Wwwroot\Secure-Content и C:\InetsrvWwwroot\Public-Content).

Храните файл личных ключей в безопасном месте на случай, если он понадобится в будущем. Лучше всего скопировать файл личных ключей на дискету и удалить его из локального компьютера после завершения всех процедур установки. Не забудьте пароль, присвоенный этому файлу.

ГЛАВА 6

Управление каталогами публикации

На простых узлах Web документы обычно содержатся в одном иерархическом каталоге. На более сложных узлах файлы HTML, приложения Web и базы данных могут располагаться в независимых каталогах отдельного компьютера или на нескольких компьютерах в локальной сети. Чтобы содержимое таких каталогов сделать доступным на узле Web, следует воспользоваться механизмом виртуальных каталогов.

В этой главе объясняется, как:

· настроить доступ в отдельный каталог;

· задать документ для передачи по умолчанию и разрешить просмотр каталога;

· задать основной каталог;

· создать виртуальные каталоги.

Дополнительные сведения о защите данных и использовании файловой системы Windows NT (NTFS) см. в главе 5 Защита узла от недозволенного доступа.

Настройка доступа в отдельный каталог

Если файлы HTML (Hypertext Markup Language) находятся в одном иерархическом каталоге, достаточно скопировать его в основной каталог World Wide Web (по умолчанию Wwwroot) или соответствующим образом изменить имя основного каталога. Если файлы находятся в независимых каталогах отдельного компьютера или на нескольких компьютерах в локальной сети, чтобы разместить их на узле Web, следует использовать виртуальные каталоги.

Задание документа для передачи по умолчанию и разрешение просмотра каталога

Если удаленный пользователь посылает запрос без указания имени файла (например http://www.microsoft.com/), служба WWW вернет специально назначенный документ, если этот документ существует в данном каталоге. В каждом каталоге можно указать файл для передачи по умолчанию.

Если такой документ отсутствует и запрещен просмотр каталога, служба WWW вернет ошибку. Если просмотр разрешен, будет передан список файлов и папок данного каталога.

Документ для передачи по умолчанию можно поместить во все каталоги WWW. На вкладке «Каталоги» в окне свойств службы WWW введите в поле «Документ» имя необходимого файла. Часто для этой цели назначается индексный файл (Index.htm) данного каталога или узла Web целиком. По умолчанию в поле «Документ» указано имя Default.htm.

Таким образом, пользователю, не указавшему в запросе имя загружаемого файла, может быть возвращен специальный документ и содержимое каталога.

Просмотр каталога в службе WWW подобен просмотру в службе FTP (File Transfer Protocol). Это действие полезно для ускорения работы с большим количеством файлов без преобразования их в формат HTML (Hypertext Markup Language).

Примечание.Виртуальные каталоги не выводятся в список при просмотре содержимого каталога в службе WWW. Для доступа в виртуальный каталог пользователь должен указать псевдоним этого каталога в адресе URL в средстве просмотра. В службе WWW можно создать ссылки на страницы HTML, в службе Gopher — использовать файлы ссылок для доступа в дополнительные каталоги, в службе FTP — вынести список дополнительных каталогов в примечание.

Управление каталогами

Для сложного узла с помощью диспетчера служб Интернета можно настроить службу WWW для публикации информации в независимых каталогах. На вкладке «Каталоги» отображается список каталогов, используемых в службе WWW.

Столбец «Каталог» отображает местоположения ресурсов узла.
Столбец «Псевдоним» содержит путь к ресурсу для пользователей службы.

Для настройки отдельных каталогов службы WWW на вкладке «Каталоги» применяются кнопки «Добавить» и «Свойства».

Основной каталог

Каждая служба Интернета публикует информацию, хранящуюся в одном или нескольких каталогах. Администратор задает эти каталоги на вкладке «Каталоги» окна свойств в диспетчере служб Интернета. При добавлении каталога на эту вкладку клиенты соответствующей службы получают доступ к данным в этом каталоге и во всех его подкаталогах. Если каталог отсутствует на вкладке «Каталоги», его содержимое не доступно для клиентов.

Каждая служба должна иметь основной каталог. Основной каталог является корневым каталогом службы. Корневой каталог не имеет имени. По умолчанию основной каталог и все его папки доступны клиентам.

Чтобы изменить основной каталог

1. В диспетчере служб Интернета дважды щелкните службу, в которой необходимо изменить основной каталог; на экране отобразится окно свойств.

2. Укажите вкладку «Каталоги».

3. В столбце «Каталог» укажите каталог с псевдонимом <Основной>.

4. Нажмите кнопку «Свойства».

5. В поле «Каталог» введите новое имя или выберите каталог с помощью кнопки «Обзор».

6. В группе «Доступ» задайте разрешения на доступ пользователей в этот каталог.

7. Нажмите кнопку «OK».

8. Нажмите кнопку «Применить», затем кнопку «OK».

Чтобы добавить каталог

1. В диспетчере служб Интернета дважды щелкните службу, в которую необходимо добавить каталог; на экране отобразится окно свойств.

2. Укажите вкладку «Каталоги».

3. Нажмите кнопку «Добавить».

4. В поле «Каталог» введите новое имя или выберите каталог с помощью кнопки «Обзор».

5. В группе «Доступ» (если возможно) задайте разрешения на доступ пользователей в этот каталог.

6. Нажмите кнопку «OK».

7. Нажмите кнопку «Применить», затем кнопку «OK».

Чтобы удалить каталог

1. В диспетчере служб Интернета дважды щелкните службу, в которой необходимо удалить каталог; на экране отобразится окно свойств.

2. Укажите вкладку «Каталоги».

3. В списке «Каталог» выделите удаляемый каталог.

4. Нажмите кнопку «Удалить».

5. Нажмите кнопку «Применить», затем кнопку «OK».

Примечание.Удаление виртуального каталога не сопровождается удалением содержащихся в нем каталогов и файлов.

Один каталог (или несколько — при использовании виртуальных каталогов) в списке каталогов на вкладке «Каталоги» помечается как основной (иногда он называется корневым каталогом). Для ссылки на основной каталог в клиентском запросе применяется косая черта (/). Если клиентский запрос содержит символ /, для обработки запроса сервер Web использует основной каталог (после символа / можно указать полный путь к ресурсу). Например, все следующие адреса URL ссылаются на основной каталог сервера Web.

http://inetsrvr.microsoft.com

http://inetsrvr.microsoft.com/

http://inetsrvr.microsoft.com/content.htm

Действие, выполняемое сервером Web для первых двух адресов URL (см. выше), зависит от параметров «Задать документ по умолчанию» и «Разрешить обзор каталогов»на вкладке «Каталоги» диспетчера служб Интернета. В третьем примере файл Content.htm формата HTML из основного каталога отправляется клиенту. Если файл с таким именем отсутствует в основном каталоге, сервер возвращает клиенту сообщение об ошибке. При этом другие каталоги для поиска файла не просматриваются.

При подключении клиента к службе FTP в основном каталоге просматривается подкаталог с именем подключившегося пользователя. При анонимных подключениях просматривается подкаталог Anonymous. Если такой подкаталог существует, он будет использоваться в начатом сеансе в качестве текущего. Если подкаталог отсутствует, текущим становится основной каталог.

Подкаталоги основного каталога доступны для клиентов. Например, если служба WWW использует основной каталог C:\Wwwroot, при обработке запроса URL

http://inetsrvr.microsoft.com/data/content.htm

выполняется поиск файла content.htm в каталоге C:\Wwwroot\Data. Если подкаталог Data не существует или файл отсутствует в нем, сервер WWW вернет клиенту сообщение об ошибке. В службе FTP в качестве текущего каталога можно назначать любой подкаталог основного каталога (с помощью команды cd), в службе Gopher для обращения к объектам в подкаталогах основного каталога применяются селекторы.

Виртуальный каталог

Любая служба Интернета может публиковать информацию в нескольких независимых каталогах. Каждый каталог для публикации располагается локально или в сети (для обращения к каталогу используется система UNC), при этом для разрешения доступа к нему проверяется имя пользователя и пароль. Такой сервер имеет один основной каталог и произвольное число дополнительных каталогов. Эти дополнительные каталоги называются виртуальными.

Для упрощения задания адресов URL полный набор каталогов для публикации представляется в виде простой иерархии, в которой основной каталог является корневым, а виртуальные каталоги являются подкаталогами основного каталога. Кроме того, клиенту доступны все подкаталоги виртуальных каталогов. Только служба WWW поддерживает механизм виртуальных каталогов; службы FTP и Gopher его не используют.

Примечание.Виртуальные каталоги не выводятся в список при просмотре содержимого каталога в службе WWW. Для доступа в виртуальный каталог пользователь должен указать псевдоним этого каталога в адресе URL в средстве просмотра. В службе WWW можно создать ссылки на страницы HTML, в службе Gopher — использовать файлы ссылок для доступа в дополнительные каталоги, в службе FTP — вынести список дополнительных каталогов в примечание.

При создании виртуального каталога в диспетчере служб Интернета назначается псевдоним. Псевдоним — это имя подкаталога, используемое клиентом для доступа к данным виртуального каталога. Если псевдоним не задан явно, он назначается автоматически диспетчером служб Интернета.

Предположим, например, что администратор создал два каталога для службы WWW:

C:\Inetsrv\Wwwroot <Основной>

D:\Webdata Псевдоним = data

Если C:\Wwwroot содержит подкаталог C:\Wwwroot\Scripts\, а D:\Webdata —подкаталог D:\Webdata\Images\, клиентом Web могут быть составлены следующие адреса URL:

http://inetsrvr.microsoft.com/schedule.htm

http://inetsrvr.microsoft.com/scripts/query1.htm

http://inetsrvr.microsoft.com/data/stocks.htm

http://inetsrvr.microsoft.com/data/images/graph1.htm

В следующем примере виртуальные каталоги используются для публикации данных из разных каталогов, каждый из которых хранится на отдельном жестком диске сервера WWW.

В средствах просмотра виртуальные каталоги отображаются в виде подкаталогов основного каталога. Для представления виртуального каталога средство просмотра использует псевдоним.

Примечание.Чтобы получить доступ в виртуальный каталог, необходимо создать соответствующий запрос URL. Это можно сделать, щелкнув гиперссылку, содержащую адрес URL, или введя его в строке адреса URL средства просмотра.

Создание виртуальных каталогов

Можно создавать неограниченное число виртуальных каталогов (наличие слишком большого числа каталогов может уменьшить производительность системы).

Чтобы создать виртуальный каталог

1. В диспетчере служб Интернета дважды щелкните службу, в которую необходимо добавить виртуальный каталог; на экране отобразится окно свойств.

2. Укажите вкладку «Каталоги».

3. Нажмите кнопку «Добавить».

4. Нажмите кнопку «Обзор», чтобы выбрать каталог.

5. Установите переключатель в положение «Виртуальный каталог», затем введите имя виртуального каталога в поле «Псевдоним».

6. Задайте разрешения на доступ.

7. Нажмите кнопку «OK».

8. Нажмите кнопку «Применить», затем кнопку «OK».

Примечание.Виртуальные каталоги не выводятся в список при просмотре содержимого каталога в службе WWW. Для доступа в виртуальный каталог пользователь должен указать псевдоним этого каталога в адресе URL в средстве просмотра. В службе WWW можно создать ссылки на страницы HTML, в службе Gopher — использовать файлы ссылок для доступа в дополнительные каталоги, в службе FTP — вынести список дополнительных каталогов в примечание.

Сведения об учетной записи

Параметры учетной записи используются, если каталог указывается с помощью системы UNC (универсального соглашения об именах), например \\Research4\Public\Wwwfiles. Для доступа к сетевому ресурсу следует ввести имя и пароль учетной записи, имеющей необходимые разрешения.

Группа флажков разрешения доступа

Флажок «Чтение» должен быть установлен для каталога, содержащего публикуемые данные.

В службе FTP флажок «Запись» должен быть установлен для каталога, принимающего данные от пользователя. Осмотрительно предоставляйте право записи (вам могут прислать ненужные файлы или удалить важные файлы).

В службе WWW флажок«Выполнение» должен быть установлен для каталога, содержащего программы, сценарии и приложения ISAPI (Internet Server API). Снимите флажок «Чтение» для защиты содержимого исполняемых файлов от просмотра.

В службе WWW флажок«Требуется защищенный канал SSL» должен быть установлен для каталога, использующего шифрование при передаче данных. Дополнительные сведения о протоколе SSL (Secure Sockets Layer) см. в главе 5 Защита узла от недозволенного доступа.

ГЛАВА 7

Ведение журнала узла Web

Службы узла Web могут сохранять сведения о подключавшихся клиентах и запрашивавшихся ресурсах в специальном журнале. Эти сведения могут помочь при настройке параметров работы узла, планировании числа подключений, оценки содержимого узла и проверки его системы защиты.

Средство ведения журнала узла Web позволяет изменять:

· формат журнала:

стандартный формат EMWAC (European Microsoft Windows NT Academic Centre) или общий формат NCSA (National Center for Supercomputing);

· местоположение файла журнала;

· условия создания нового файла журнала:

новый файл может заводиться при достижении текущим файлом заданного размера, ежедневно, еженедельно или ежемесячно.

В этой главе объясняется, как:

· настраивать параметры ведения журнала;

· читать записи журнала;

· преобразовывать файл журнала в другой формат.

Настройка параметров ведения журнала

При установке служб узла Web можно включить режим ведения журнала, в который будут заноситься сведения о подключавшихся пользователях и запрашивавшихся ресурсах.

Чтобы настроить параметры ведения журнала, следует:

· определить папку для размещения журнала;

· задать период для открытия нового журнала (ежедневно, еженедельно, ежемесячно и т.д.);

· выбрать средство для изучения записей журнала.

В диспетчере служб Интернета дважды щелкните необходимую службу для открытия окна свойств. Параметры ведения журнала задаются на вкладке Журнал.

Параметры ведения журнала

Чтобы начать ведение журнала, установите флажок Вести журнал на вкладке Журнал. Чтобы остановить ведение журнала, снимите этот флажок. Для создания журнала в текстовом файле установите переключатель в положение Файл.

Формат

Список Формат служит для выбора формата журнала. Журнал может быть иметь стандартный формат или общий формат NCSA (National Center for Supercomputing Applications).

Заводить новый журнал

Переключатель Заводить новый журнал служит для задания периода открытия нового журнала. Если этот параметр не определен, файл журнала может вырасти до существенных размеров.

Каталог файла журнала

Поле Каталог файла журнала служит для определения каталога для размещения файла журнала.

Имя файла журнала

Надпись Имя файла журнала указывает текущий файл журнала. Если нескольким службам назначен один каталог для размещения журнала, они будут использовать один и тот же файл.

Чтобы начать ведение журнала

1. В диспетчере служб Интернета дважды щелкните необходимую службу для открытия окна свойств, затем укажите вкладку Журнал.

2. Установите флажок Вести журнал.

3. Установите переключатель в положение Файл.

4. В списке Формат выберите формат журнала (Стандартный или NCSA).

5. Для задания периода открытия нового журнала установите флажок Заводить новый журнал.

Служба будет закрывать текущий журнал и открывать новый с другим именем при достижении файлом указанного размера или по окончании заданного интервала времени. Файлы журнала используют следующие имена:

· Inetsv1.log, если флажок Заводить новый журнал не установлен;

· Inetsvnnn.log (nnn — последовательно возрастающий номер), если переключатель установлен в положение При превышении размера;

· Inmmddyy.log (mmddyy — месяц, день и год начала журнала), если переключатель установлен в положение Ежедневно, Каждую неделю или Каждый месяц.

Для вариантов Ежедневно, Каждую неделю и Каждый месяц новый журнал открывается при создании первой после полуночи записи, если истек срок ведения текущего журнала. Имя нового файла содержит дату начала журнала.

Для варианта При превышении размера при закрытии текущего журнала и открытии нового число в имени файла возрастает на единицу.

Размер одной записи журнала в текстовом файле ограничен 1200 байтами. Каждое поле может занимать 150 байт.

Чтение файла журнала

Следующие три записи журнала соответствуют запросам, обработанным службами WWW, Gopher и FTP (записи оформлены в виде двух таблиц).

Дата добавления: 2015-07-26; просмотров: 365; Нарушение авторских прав

Мы поможем в написании ваших работ!