Использование самоподписанных сертификатов в мобильной платформе :: Методическая поддержка для разработчиков и администраторов 1С:Предприятия 8

Использование самоподписанных сертификатов в мобильной платформе :: Методическая поддержка для разработчиков и администраторов 1С:Предприятия 8 Сертификаты

1с-битрикс – ssl-сертификаты: что это такое и как правильно выбрать

Коллеги! С вами , руководитель интернет-агентства .

Последнее время SSL-технологии вызывают большой интерес, их доля в доменных зонах растет. Несмотря на популярность, многие не понимают, что это такое. Мы расскажем, что называют SSL-сертификатами, зачем они нужны и как их выбирать.

Показать скрытое содержимое

Для чего нужен SSL-сертификат

SSL-сертификат — это своеобразное «удостоверение» сайта, подтверждающее его безопасность для пользователей. На сайте с SSL-сертификатом пользователи могут совершать покупки и вводить пароли, не опасаясь, что их данные перехватят злоумышленники. Сам сертификат представляет собой набор файлов, установленных на сервер.

Сударь, защищайте свой сайт!

Как узнать, установлен ли на сайте SSL-сертификат

Замок или зеленая строка рядом с доменным именем в браузерной строке означают, что на сайте установлен SSL-сертификат и вся информация передается по защищенному протоколу, значит, никто не украдет ваши пароли и другую конфиденциальную информацию.

Как работает технология SSL

Для безопасной передачи данных между пользовательским браузером и сервером используется инфраструктура ключей. Она позволяет зашифровать передаваемую информацию (необходим открытый ключ) и расшифровать ее (известный только владельцу закрытый ключ). Инфраструктура ключей подчиняется стандарту x.509, определяющему состав электронного сертификата:

  • номер версии (1-3);
  • порядковый номер;
  • название выдавшей сертификат компании;
  • идентификатор алгоритма подписи;
  • период действия;
  • имя владельца сертификата;
  • открытый ключ владельца;
  • цифровая подпись.

Нужно отметить, что стандарт x.509 не устанавливает определенного алгоритма шифрования; при этом наиболее часто используется RSA.

Подробнее остановимся на том, зачем используют сертификаты, и какие задачи они выполняют.

Каждый SSL-сертификат должен выполнять три функции, а именно:

  • шифровать передаваемую информацию;
  • проводить аутентификацию, т.е. проверять веб-ресурс на подлинность;
  • сохранять целостность передаваемых данных.

Все это помогает пользователю убедиться в том, что ресурс, к которому подключен сертификат, безопасен и ему можно доверять.

Не очень-то внушает доверие, да?

Рассмотрим на примере функции SSL-сертификатов

Представьте ситуацию: девушка Мария собирается купить авиабилет на сайте компании-перевозчика. Для этого ей нужно отправить данные своей банковской карты, защитив их от перехвата сторонними лицами. Чтобы не сомневаться в безопасности покупки, Мария проверяет, есть ли на сайте SSL-сертификат. Сделать это просто: надо убедиться, что в начале адресной строки обозначено https-соединение (его обычно выделяют зеленым цветом). Такое обозначение подтверждает, что данные между браузером пользователя и сервером авиакомпании зашифрованы. В этом случае у компании-перевозчика есть два ключа – общедоступный открытый и закрытый ключ, который известен только сотрудникам организации. Зашифрованную открытым ключом информацию может расшифровать только закрытый ключ и наоборот. Если выбранная Марией компания пользуется сертификатом, выданным действующим центром сертификации, то браузер покупательницы определит его как доверенный, т.е. произойдет аутентификация. После этого браузер при помощи открытого ключа зашифрует данные. Опасаться утечки информации не стоит, даже если мошенникам удастся перехватить данные: они не смогут их прочитать, поскольку у них нет доступа к закрытому ключу.

Самоподписанные сертификаты

SSL-сертификат действует в течение ограниченного времени, кроме того, чтобы его получить, нужно заплатить определенную сумму. Поэтому многие выбирают самоподписанные сертификаты, которые можно бесплатно сгенерировать на веб-сервере, воспользовавшись панелью управления. Однако такая экономия не всегда целесообразна.

Все браузеры проверяют, был ли сертификат выдан специальным центром. Если нет (как в случае с самоподписанным сертификатом), на экране появится надпись: «Сертификат безопасности сайта не является доверенным!».

Ваш сертификат подозрителен

Такое предупреждение с высокой вероятностью насторожит потенциальных клиентов, и они покинут ресурс. Вывод: самоподписанные сертификаты – плохой выбор для интернет-магазинов или сайтов с высоким трафиком. Однако они подходят для внутреннего использования, например, в небольшой компании, сотрудникам которой известно о происхождении сертификата, добавленного в доверенные. Помимо этого, самозаверенные сертификаты пригодны для разработки и тестирования приложений, если используется сервер Apache.

Виды SSL-сертификатов

Если вы хотите купить SSL-сертификат в центре сертификации, вам нужно знать об их разновидностях. При выборе необходимо учитывать несколько критериев:

  • желаемая степень доверия к сайту;
  • количество доменов и поддоменов, для которых нужен сертификат;
  • статус покупателя: физическое или юридическое лицо;
  • бюджет на приобретение сертификата.
Про сертификаты:  Как применять принцип 80

Остановимся на каждом из перечисленных пунктов более подробно.

Валидность ресурсов подтверждается одной из трех степеней проверки, поэтому SSL-сертификаты по типу валидации делятся на 3 разновидности:

  • Domain Validation. Сертификаты подтверждают право владения доменом.
  • Organization Validation. Сертификаты подтверждают не только домен, но и факт юридического существования компании.
  • Extended Validation. Сертификаты с расширенной проверкой компании.

Domain Validation

У доступных DV-сертификатов скромные возможности: они просто проверяют принадлежность домена владельцу сертификата. Domain Validation подходит для небольших сайтов, блогов со средним количеством посетителей и форумов.

DV-сертификат можно получить без предоставления дополнительных документов. Их выпускают в течение 5-10 минут, а стоимость сертификата колеблется от 1000 до 4000 рублей. Domain Validation доступен и физическим, и юридическим лицам и обеспечивает начальный уровень защиты.

Organization Validation

Солидные OV-сертификаты – это не только подтверждение бизнес-статуса компании, но и способ обеспечить доверие пользователей. Владельцам интернет-магазинов или другого онлайн-бизнеса рекомендуется выбирать именно этот вид сертификатов.

OV-сертификат – это обеспечение среднего уровня защиты. Сертификат доступен только для юрлиц, его выпускают в срок до 5 дней. Годовая стоимость сертификата — 4000-50000 рублей. Для получения OV-сертификата потребуются копии документов и номер телефона собственника организации и телефонной компании, где указано название фирмы.

Extended Validation

Высокая стоимость EV-сертификатов компенсируется их надежностью. Такие сертификаты – выбор крупных компаний, которые заботятся о безопасности и своем имидже. EV-сертификат обеспечивает более высокий уровень защиты в сравнении с другими сертификатами. Он доступен только юридическим лицам, поддерживает кириллические домены. Extended Validation выпускается в срок от 3 до 10 дней, а его годовая стоимость колеблется от 10 до 100 тысяч рублей.

Получить такой сертификат можно только при предъявлении ряда документов: уведомления о регистрации юрлица, извещения о регистрации в качестве страхователя и т.д.

Проверив документацию, провайдер может позвонить по указанному компанией номеру, и этот звонок станет дополнительным этапом проверки. Хотя получение EV-сертификата требует немало времени и усилий, это оправдано: сайт будет иметь высокий уровень доверия. У сайтов с EV-сертификатом в адресной строке есть панель зеленого цвета – свидетельство высокого статуса организации. Нажав на панель, пользователи могут также получить полные сведения о компании. Такие сертификаты надежно защищают от фишинга, поскольку мошенники не могут пройти все уровни проверки. Благодаря строгим правилам верификации, поддельные EV-сертификаты встречаются крайне редко.

Выбирая SSL-сертификат, учитывайте возможности своего бюджета и специфику вашего бизнеса. Используйте опыт своих партнеров и конкурентов, изучите крупные известные сайты. Например, WildBerries.ru пользуется SGC OV SSL Wildcard с максимальным уровнем защиты, а Tinkoff.ru — EV SSL от Thawte.

Тщательно проверяйте название организации: киберпреступники могут создать «липовую» фирму со схожим названием, привязав к ней сертификат.

При выборе сертификата часто возникает вопрос об одновременной защите нескольких поддоменов или разных доменов, расположенных на одном сервере. В таком случае лучше купить SAN (UCC) сертификат для мультидоменных проектов. Чтобы защитить только несколько поддоменов, подойдут Wildcard-сертификаты. С их помощью вы обеспечите шифрование как основного домена, так и поддоменов типа subdomain1.domain.com и т.д. Защита основного домена предусмотрена не для каждого Wildcard-сертификата – обратите на это внимание перед покупкой. Хотя такие сертификаты удобны и экономичны, иногда дешевле купить отдельные сертификаты для каждого поддомена.

Крупные поставщики SSL-услуг — Symantec, Thawte и Comodo. По сути, они продают практически идентичные продукты. Отличие заключается в сервисе. Symantec обладает большой пролонгированной гарантией — до 1,75 млн. долларов. Эта сумма полагается покупателю, если компания понесла убытки из-за нарушения обязательств со стороны Symantec. Кроме того, компания предлагает антивирусную защиту, которая ежедневно сканирует страницы на хосте покупателя и выявляет вредоносные программы. Такой привлекательный функционал стоит дорого – цена сертификатов от Symantec превышает стоимость продуктов от Thawte и Comodo. Thawte предлагает продукцию средней стоимости (без дополнительных функций), а Comodo является поставщиком с более демократичными ценами (плюс антивирусная защита и сервис PCI-анализа).

Отметим, что сегодня владельцы сайтов часто покупают SSL-сертификаты у хостинг-провайдеров.. Благодаря большим объемам продаж, стоимость сертификатов часто оказывается ниже стоимости продукта от прямого поставщика.

Важно: поддержка IDN предусмотрена не во всех сертификатах. Может случиться так, что сертификат с безупречным сочетанием цены, качества и функционала не подойдет для кириллического домена. Чтобы не ошибиться с выбором, приобретайте сертификаты с поддержкой IDN у GlobalSign, Thawte, Comodo или Symantec.

Про сертификаты:  B.3. Standard X.509 v3 Certificate Extension Reference Red Hat Certificate System 9 | Red Hat Customer Portal

Уязвимость SSL-сертификатов

SSL-сертификат – это не волшебная палочка, способная решить все вопросы безопасности. Несмотря на всю сложность механизмов криптографического шифрования, человеческий фактор все равно доминирует. Простой пример: в сентябре 2021 года Symantec выпустила целых 164 нелегитимных сертификата для 76 доменных имен. Это произошло из-за ошибки сотрудников компании.

Слежу за легитимностью твоего SSl

Хранение закрытого ключа тоже связано с некоторыми трудностями. Его не получится изолировать от всего мира: секретный ключ часто используется при https-соединении. Из-за этого есть риск взлома сервера с целью получения закрытого ключа. Здесь опять доминирует человеческий фактор: если происходит взлом, то в этом, вероятнее всего, виноват администратор, который не защитил сервер. Чтобы обезопасить закрытые ключи, их владельцы устанавливают пароли.

Поведем итоги

Несколько рекомендаций о том, как выбрать SSL-сертификат. Учитывайте опыт конкурентов. Обратите внимание, какими сертификатами пользуются компании с аналогичной продукцией, охватом аудитории и способом обмена данными с пользователями.

Не забывайте, что сайты с https ранжируются Google выше, чем другие. Сайты без сертификатов, которые принимают номера и пароли банковских карт, определяются Google Chrome как небезопасные. Это еще один веский довод в пользу приобретения SSL-сертификата. Сегодня https-соединение доступнее для пользователей, чем еще несколько лет назад. Некоторые компании проводят выгодные акции и иногда дарят сертификаты в качестве бонуса.

Напоминаем, что на линейку готовых решений INTEC: Universe действуют скидки:

Читайте другие наши статьи:

Замена cacert.pem

Самый быстрый вариант. Подойдет тем, кто ранее не вносил изменения в файл cacert.pem. Нужно взять файл cacert.pem, где сертификат DigiCert уже добавлен (архив доступен тут: cacert.pem), и заменить им файл с аналогичным именем в bin директории.

Добавление с помощью обработки

Обработка поможет тем, кто использует файловый вариант работы 1С:Предприятия и не хочет искать файл cacert.pem. Достаточно запустить обработку (архив с обработкой доступен тут: обработка.epf) и нажать на кнопку “Обновить cacert.pem”.

Если возникнет следующее предупреждение:

То, скорее всего, вам не хватает прав и нужно запустить “1С:Предприятие” от имени администратора, нажав правой кнопкой мыши на иконке и выбрав “Запуск от имени администратора”:

Создание сертификата сервера с помощью openssl

Создаем в нашем рабочем каталоге файл server.bat, который нам поможет создать сертификат сервера на основе нашего CA-сертификата (в приложенном архиве уже создан).

Копировать в буфер обмена
mkdir server 
SETFILENAME=serverserver
openssl.exe req -new -keyout %FILENAME%.key -out %FILENAME%.csr -sha256 -config SigningCA.cfg
openssl.exe ca -in %FILENAME%.csr -out %FILENAME%.crt -config SigningCA.cfg -extensions server_ext
openssl.exe pkcs12 -export -inkey %FILENAME%.key -in %FILENAME%.crt -out %FILENAME%.pfx

 Обратите внимание на раздел [ alternate_names ] в файле SigningCA.cfg. В нем следует перечислить все требуемые адреса, по которым будет доступен ваш сервер.

Добавление текстовым редактором

Универсальный вариант. Добавить информацию в cacert.pem можно любым текстовым редактором: например Notepad (Блокнот) в OS Windows или nano в ОС Linux.

Алгоритм добавления сводится к добавлению подготовленного текста сертификата в конец файла cacert.pem:

  1. В выбранном текстовом редакторе копируем весь текст из pem файла сертификата DigiCert (архив доступен тут: digicert.pem).
  2. Вставляем в конец файла cacert.pem скопированный текст, сохраняем cacert.pem.

Импорт server.pfx в веб-сервер

В нашем случае в качестве веб-сервера используется IIS 8.

Настроим привязки сайта отдельно по DNS и по IP (если используется) с нашим сертификатом.

Не забудьте перезапустить веб-сервер.

Установка сертификата удостоверяющего центра

Для проверки работоспособности сайта на ПК необходимо установить TestRootCA.crt в доверенные корневые центры сертификации.

Использование самоподписанных сертификатов в мобильной платформе :: Методическая поддержка для разработчиков и администраторов 1С:Предприятия 8

Работоспособность можно проверить в браузере Google Chrome. Браузер Internet Explorer при соединении по ip выдает ошибку.

Устанавливаем TestRootCAder.crt на устройство. На Android для этого подключаем устройство как USB-накопитель, копируем сертификат в корень и устанавливаем из настроек безопасности устройства. На iOS-устройство можно послать сертификат почтой или другими способами, но устанавливать сертификат следует из программ Apple, в противном случае, он не будет установлен.

Проверяем, что наш сайт стал доступен из браузера на устройстве. Так как сертификат удостоверяющих центров сделали самостоятельно, то браузеры могут ему не доверять. В ответ на предупреждение браузера нажимаем “Доверять”.

Примечание. Помните, что при соединении  iOS-устройство запоминает результат аутентификации. И смена сертификатов на сервере и устройстве может не повлиять на результат следующего соединения. Возможно, придется подождать, когда обновится кеш аутентификации.

Создание соединения из мобильного приложения

Создаем в конфигурации защищенное соединение (в качестве адреса указываем один из адресов раздела alternate_names файла SigningCA.cfg):

Авторизация с помощью сертификата ssl на nginx let’s encrypt

Загрузка и выгрузка в Excel Инструменты администратора БДv81cv8.cfБесплатно (free)

Решение проблемы, когда значения скопированных ячеек из табличных документов 1С в Excel воспринимаются последним как текст, т.е. без дополнительного форматирования значений невозможно применить арифметические операции. Поводом для публикации послужило понимание того, что целое предприятие с более сотней активных пользователей уже на протяжении года мучилось с такой, казалось бы на первый взгляд, тривиальной проблемой. Варианты решения, предложенные специалистами helpdesk, обслуживающими данное предприятие, а так же многочисленные обсуждения на форумах, только подтвердили убеждение в необходимости описания способа, который позволил мне качественно и быстро справиться с ситуацией.

15.01.2021   
35466   
itriot11   
27    

Генерация csr-запроса и заказ ssl-сертификата

Для установки SSL-сертификата вашего веб-сайта в CMS 1C-Битрикс необходимо сперва сгенерировать CSR-запрос и заказать SSL-сертификат через панель управления 1cloud. Так как система управления интернет проектами “1С-Битрикс” работает под управлением дистрибутива Linux CentOS, то для генерации CSR-запроса вы можете воспользоваться общей инструкцией для Linux (см. перечень команд для CentOS).

После генерации CSR-запроса и заказа SSL-сертификата через панель управления 1cloud необходимо установить полученные сертификаты .CRT и .CA на сервер 1C-Битрикс. 

После получения SSL-сертификата файлы для его установки появятся в панели управления 1cloud (меню SSL):.CA – файл цепочки сертификатов Центра Сертификации (Certificate Authority)..CRT – файл сертификата для вашего сайта (сайтов).

Загрузка необходимых файлов на веб-сервер

Прежде всего, необходимо загрузить представленные в панели 1cloud файлы .ca и .crt на веб-сервер 1С-Битрикс. Самый простой способ – загрузить эти файлы на другой компьютер, а затем перенести их на сервер одним из приведенных ниже способов.

Примечание: подразумевается, что необходимая для работы пара закрытый/открытый ключ была сгенерирована на том же веб-сервере 1С-Битрикс, на который вы будете переносить приобретенный сертификат. Если вы создавали ключи на другой машине, вам необходимо также перенести файл закрытого ключа .key на ваш веб-сервер по аналогии с описанной ниже процедурой копирования файлов сертификатов.

Настройка apache по ssl

4. Отлично. Apache установлен, теперь давайте настроем его работу по SSL.

Настройка сервера 1c-битрикс на использование ssl-сертификата

После копирования файлов сертификата сайта и Центра Сертификации необходимо отредактировать параметры вашего сервера 1С-Битрикс. Для этого подключитесь к вашему серверу по SSH от имени пользователя root и выполните следующие операции:

Обмен с сайтом 1с при использовании ssl на сайте

Условно 1С не понимает Ваш сертификат и не хочет  дружить с Вашим сайтом. Поэтому произведем следующие действия: Скачаем Ваш SSL сертифкат на компьютер ( Заходим на сайт, щелкаем по замку в адресной строке, видим клавишу “View certificate”, нажимаем на нее, далее щелкаем “Состав” и нажимаем “Копировать в файл”  и сохраняем в удобное место (В нашем случае это локальный диск D:) и называем удобным именем (В нашем случае это sert). Формат при сохранени Файлы Х.509 (.CER.) в кодировке DER. Теперь появлился файл сертификата, щелкаем по нему 2 раза переходим на вкладку “Путь сертификации” и видим цепочку из других сертификатов, нам их также нужно сохранить отдельными файлами X.509 (.CER.) в кодировке DER.  

Скачиваем и устанавливаем программу Win32 Open SSL  обязательно обращаем внимание на разрядность операционной системы.  

Теперь надо запустить Open SSL, идем C:OpenSSL-Win64bin и запускаем от имени Администратора openssl.exe . Получаем командную строку и пишем следующий текст: 

x509 -inform der -in D:sert.cer -out D:text.pem -text -fingerprint -md5

и нажимаем Enter. На диске D появится файл text.pem открываем его блокнотом, копируем внутренности. Далее заходим в папку bin 1С:Предприятие 8 и ищем файл cacert.pem, открываем его блокнотом и в конце добавляем скопированный текст из файл text.pem 

Данное действие нужно провести для каждого сертификата из цепочки (В цепочке 3 сертфиката на картинке, 1 мы скачали с сайта и 2 сохраним из  скаченного сертификата) 

Значит должно быть 3 файла- сертификата  sert,sert1,sert2 (Название не важно) и на выходе 3 файла text.pem,text1.pem,text2.pem. (Название файлов не важно) 

Сертификат1

Содержимое всех 3 файлов должно быть скопировано в файл cacert.pem платформы 1С на которой запускается конфигурация и производится обмен с сайтом. 

Перенос сертификатов с компьютера linux/mac os:

Самый простой способ загрузки сертификатов на сервер – опция SCP, встроенная в возможность терминала вашего компьютера:

Установка apache

Ну что же начнем…

Для начала установим Apache. Рассмотрим это для 1С:Предприятие x86-64 и для Windows.

Оцените статью
Мой сертификат
Добавить комментарий