SSL certifikáty v IIS 8 - vyšší výkon a zjednodušení

21. 10. 2013 | Jindřich Zechmeister

Nová verze Microsoft Windows Serveru 2012 přináší i novou verzi webového serveru IIS 8. Pojďte se s námi seznámit s hlavními novinkami, které zjednodušují práci se SSL certifikáty administrátorům i uživatelům.

IIS 8

Co je nového v IIS 8?

Na první pohled vypadá nové verze webového serveru stejně, jako předchůdce. Tím se však nenechte zmást, protože změny se odehrály hlavně "pod pokličkou".

Hlavní vylepšení v IIS 8:

  • Vylepšení HTTPS a práce s certifikáty
  • Lepší škálování SSL
  • IIS CPU Throttling (lepší využití CPU)
  • Podpora šifrovaného FTP (ochrana proti brute force útokům)
  • Podpora protokolu WebSockets (obousměrný přenos dat)
  • SNI (Server Name Indication)
  • Central Certificate Store (centrální a společné úložiště certifikátů)
  • Výkonnější "Web Hosting" store - zabírá méně paměti
  • Dynamic IP restrictions (lepší dynamická blokace IP, vhodné zejm. proti DoS útokům)
  • FTP logon restrictions
  • Open Web platform (webové standardy)
  • Application Initialization

Nás samozřejmě zajímá zejména vylepšení práce se SSL certifikáty a SSL/TLS protokolem. Microsoft zřejmě vyslyšel připomínky administrátorů a výrazně zjednodušil správu SSL certifikátů pod IIS 8. Nová verze IIS 8 umožňuje například centrální úložiště certifikátů. Dále přichází s podporou SNI, Central Certificate Store a Web hosting store; tyto funkce jsou nejen přínosem z pohledu správy, ale i výkonu serveru a využitých prostředků.

Pojďme si tedy popsat jednotlivé novinky, týkající se práce se SSL certifikáty a SSL/TLS protokolu.

SNI (Server Name Indication)

SNI rozšiřuje funkčnost webového serveru a odstraňuje nutnost použití samostatné IP adresy pro SSL certifikát. Dříve se před ustavením zašifrované komunikace klient se serverem nedokázal domluvit na doméně, kterou chce navštívit. Server musel klientovi předložit certifikát náhodně nebo první v pořadí dle konfigurace, což bylo většinou nesprávně a způsobilo bezpečnostní varování v prohlížeči návštěvníka. Řešením tohoto problému bylo například nastavení jiného portu, než 443,  nebo použití certifikátu s podporou více domény, například SSL certifikátu se SAN (DNS) názvy.

Požadavek na konkrétní doménu nebyl původně ani v protokolu HTTP, k specifikaci HOST v hlavičce došlo až ve verzi HTTP 1.1. SNI je možno označit za ekvivalent HTTP 1.1 hlavičky pro SSL protokol. S využitím SNI tedy není nutné přiřazovat každému certifikátu IP adresu či nestandardní port. Prohlížeč serveru oznámí předem, který certifikát chce obdržet.

Techničtěji můžeme SNI definovat jako rozšíření TLS protokolu, které umožní zahrnout (virtuální) doménu do SSL negociace (ustavení SSL spojení). Virtuální doména či hostname může použito k identifikování TCP koncového bodu, což je IP adresa a příslušný port.

Jedinou nevýhodou SNI je fakt, že Internet Explorer v systému Windows XP není s SNI kompatibilní.

Central Certificate Store

Central certificate store je revoluční ulehčení ve správě SSL certifikátů. Místo ukládání certifikátů na jednotlivých serverech je nyní možné certifikáty ukládat na jednom místě ve formátu PFX.

Formát PFX je, jak jistě víte, úložiště certifikátů včetně privátního klíče. V jednom souboru je tedy vše, co je pro nasazení certifikátu potřeba. Nyní můžete certifikát v PFX souboru uložit na jakékoliv úložiště souborů a libovolné množství serverů na toto úložiště odkázat. Tím ušetříte čas i práci, protože jedno úložiště může používat například celá serverová farma.

Server si příslušný certifikát v Central certificate store najde podle názvu, který jste mu dle příslušné konvence přidělili. Díky názvu pozná, pro jakou doménu je certifikát určen, a vybere vždy ten nejspecifičtější. Například pokud bude ve "storu" certifikát pro danou doménu a též hvězdičkový Wildcard certifikát, vybere ten "specifický" pro konkrétní doménové jméno.

Web Hosting store

Web hosting store je úložiště certifikátů, které funguje prakticky stejně, jak známý Personal store. Výhodou jsou však vylepšení výkonu. Úložiště šetří paměť serveru a dokáže načítat certifikáty rychleji. Jak je to možné?

Certifikáty uložené v Personal store se vždy načítají všechny. Pokud server potřebuje pouze jeden certifikát, musí načíst všechny certifikáty ve storu. To znamená až minutové prodlevy při načítání, a hlavně mnoho využité paměti serveru. Úložiště je tedy vhodné spíše pro menší počet certifikátů.

S novým úložištěm server načte pouze jeden konkrétní certifikát a šetří tak systémové prostředky a čas.

Ve znamení osmiček

Nové IIS 8 se nebojím označit za revoluční z pohledu práce s HTTPS a SSL certifikáty. Tematice tohoto webového serveru se budeme v budoucnu dále věnovat a přineseme vám zajímavé návody a postupy.

Výhod IIS 8 můžete využít i vy

Máte-li zájem vyzkoušet výše uvedené výhody v praxi a používat pro svůj webový projekt nejmodernější technologie Microsoft, doporučuji webhosting Windows od Czechia.com. Služby běží na poslední verzi Windows Serveru 2012 s IIS 8 a nahrazují dřívější verzi Windows Server 2008 R2.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz