11.1  Volby pro WWW rozhraní

Základní parametry WWW rozhraní WinRoute lze nastavit v sekci Konfigurace → Další volby, záložka WWW rozhraní.

Poznámka: Horní část záložky WWW rozhraní / SSL-VPN slouží k nastavení parametrů Kerio SSL-VPN. Tato komponenta je podrobně popsána v kapitole 24  Kerio Clientless SSL-VPN.

Nastavení parametrů WWW rozhraní WinRoute

Obrázek 11.1. Nastavení parametrů WWW rozhraní WinRoute


Povolit server Kerio SSL-VPN

Tato volba zapíná rozhraní Kerio Clientless SSL-VPN. Podrobnosti naleznete v kapitole 24  Kerio Clientless SSL-VPN.

Povolit WWW rozhraní (HTTP)

Tato volba zapíná nezabezpečenou (HTTP) verzi WWW rozhraní. Výchozí port nezabezpečeného WWW rozhraní je 4080.

Poznámka: Nevýhodou nezabezpečeného WWW rozhraní je možnost odposlechu síťové komunikace a následného zneužití přihlašovacích informací uživatelů. Z tohoto důvodu by mělo být preferováno použití zabezpečeného WWW rozhraní.

Povolit zabezpečené WWW rozhraní (HTTPS)

Tato volba zapíná zabezpečenou (HTTPS) verzi WWW rozhraní. Výchozí port zabezpečeného WWW rozhraní je 4081.

Jméno serveru...

DNS jméno serveru, které bude použito pro účely WWW rozhraní (např. server.firma.cz). Toto jméno nemusí být vždy totožné s názvem počítače, ale musí pro něj existovat odpovídající záznam v DNS. Rovněž SSL certifikát pro zabezpečené WWW rozhraní (viz dále) by měl být vystaven na toto jméno serveru.

Zadané jméno serveru se rovněž používá, pokud WinRoute potřebuje přesměrovat prohlížeč uživatele na přihlašovací stránku (např. pokud neověřený uživatel přistupuje na WWW stránku, pro kterou je vyžadováno ověření — viz kapitoly 10.1  Ověřování uživatelů na firewallu12.2  Pravidla pro URL).

Poznámka: Pokud všichni klienti, kteří na WWW rozhraní přistupují, používají jako DNS server DNS forwarder ve WinRoute, pak není nutné jméno serveru do DNS přidávat — DNS forwarder jej přečte automaticky z této položky (a provede rovněž kombinaci se jménem lokální domény — viz kapitola 8.1  DNS forwarder).

Povolit přístup pouze z těchto IP adres

Výběr skupiny IP adres, z níž bude k WWW rozhraní povolen přístup (typicky lokální síť). Tlačítkem Změnit lze upravit vybranou skupinu IP adres nebo vytvořit novou (podrobnosti viz kapitola 14.1  Skupiny IP adres).

Omezení přístupu se vztahuje k nezabezpečené i zabezpečené verzi WWW rozhraní.

Tlačítko Upřesnění otevírá dialog pro nastavení dalších parametrů WWW rozhraní.

Nastavení portů WWW rozhraní

Sekce TCP porty umožňuje nastavit čísla portů nezabezpečeného a zabezpečeného WWW rozhraní (výchozí porty jsou 4080 pro nezabezpečené rozhraní a 4081 pro zabezpečené rozhraní).

Nastavení portů WWW rozhraní WinRoute

Obrázek 11.2. Nastavení portů WWW rozhraní WinRoute


Tip: Pokud na počítači s WinRoute není provozován žádný WWW server, pak lze pro nezabezpečené WWW rozhraní WinRoute použít standardní port protokolu HTTP (tj. port 80). Při použití standardního portu není nutné uvádět číslo portu v URL stránek WWW rozhraní. Standardní port protokolu HTTPS (443) ovšem využívá rozhraní Clientless SSL-VPN (viz kapitola 24  Kerio Clientless SSL-VPN), a proto jej ve výchozí konfiguraci nelze použít pro zabezpečené WWW rozhraní.

Upozornění

Zadáte-li do některé z uvedených položek port, který již používá jiná služba nebo aplikace, pak po stisknutí tlačítka Použít (v sekci Konfigurace → Další volby) WinRoute tento port sice akceptuje, ale WWW rozhraní se na něm nespustí a do záznamu Error (viz kapitola 22.8  Záznam Error) se vypíše chybové hlášení v této podobě:

Socket error: Unable to bind socket for service to port 80. (5002) Failed to start service "WebInterface" bound to address 192.168.1.10.

Pokud nemáte jistotu, že zadané porty jsou skutečně volné, pak bezprostředně po stisknutí tlačítka Použít zkontrolujte záznam Error, zda se v něm takovéto hlášení neobjevilo.

SSL certifikát pro WWW rozhraní

Princip zabezpečeného WWW rozhraní WinRoute spočívá v tom, že se celé spojení mezi klientem a serverem šifruje, aby bylo zabráněno odposlechu a zneužití přenášených informací. Protokol SSL, který je k tomuto účelu využit, používá nejprve asymetrickou šifru pro výměnu symetrického šifrovacího klíče, kterým se pak šifrují vlastní přenášená data.

Asymetrická šifra používá dva klíče: veřejný pro šifrování a privátní pro dešifrování. Jak už jejich názvy napovídají, veřejný (šifrovací) klíč má k dispozici kdokoliv, kdo chce navázat se serverem spojení, zatímco privátní (dešifrovací) klíč má k dispozici pouze server a musí zůstat utajen. Klient ale také potřebuje mít možnost, jak si ověřit identitu serveru (zda je to skutečně on, zda se za něj pouze někdo nevydává). K tomu slouží tzv. certifikát. Certifikát v sobě obsahuje veřejný klíč serveru, jméno serveru, dobu platnosti a některé další údaje. Aby byla zaručena pravost certifikátu, musí být ověřen a podepsán třetí stranou, tzv. certifikační autoritou.

Komunikace mezi klientem a serverem pak vypadá následovně: Klient vygeneruje klíč pro symetrickou šifru a zašifruje ho veřejným klíčem serveru (ten získá z certifikátu serveru). Server jej svým privátním klíčem (který má jen on) dešifruje. Tak znají symetrický klíč jen oni dva a nikdo jiný. Tento klíč se pak použije pro šifrování a dešifrování veškeré další komunikace.

Import nebo vytvoření SSL certifikátu

Při instalaci WinRoute je automaticky vytvořen testovací certifikát pro zabezpečené WWW rozhraní (certifikát je uložen v podadresáři sslcert instalačního adresáře WinRoute v souboru server.crt, odpovídající privátní klíč v souboru server.key). Vytvořený certifikát je unikátní, je však vystaven na fiktivní jméno serveru a není vydán důvěryhodnou certifikační autoritou. Tento certifikát slouží pouze k zajištění funkce zabezpečeného WWW rozhraní (typicky pro zkušební účely) do chvíle, než vytvoříte nový certifikát nebo importujete certifikát vystavený veřejnou certifikační autoritou.

Po stisknutí tlačítka Změnit SSL certifikát (v dialogu pro nastavení upřesňujících parametrů WWW rozhraní) se zobrazí dialog s aktuálním certifikátem serveru. Volbou Pole (položka certifikátu) lze zobrazit údaje buď o vydavateli certifikátu nebo o subjektu — tedy vašem serveru.

SSL certifikát WWW rozhraní WinRoute

Obrázek 11.3. SSL certifikát WWW rozhraní WinRoute


Vlastní originální certifikát, který bude skutečně prokazovat identitu vašeho serveru, můžete získat dvěma způsoby.

Můžete si vytvořit vlastní, tzv. self-signed certifikát („podepsaný sám sebou“). To lze provést stisknutím tlačítka Vytvořit certifikát v dialogu, kde se zobrazuje aktuální certifikát serveru. V dialogu, který se zobrazí, je třeba vyplnit údaje o serveru a vaší společnosti. Povinné jsou pouze položky označené hvězdičkou (*).

Vytvoření nového self-signed certifikátu pro WWW rozhraní WinRoute

Obrázek 11.4. Vytvoření nového „self-signed“ certifikátu pro WWW rozhraní WinRoute


Po stisknutí tlačítka OK se nově vytvořený certifikát zobrazí v dialogu SSL certifikát serveru a ihned se začne používat (není třeba nic restartovat). Vytvořený certifikát bude uložen do souboru server.crt a odpovídající privátní klíč do souboru server.key.

Vytvořený certifikát je originální a je vystaven vaší firmou vaší firmě na jméno vašeho serveru (self-signed certifikát — certifikujete sami sebe). Narozdíl od testovacího certifikátu, tento certifikát již zajišťuje vašim klientům bezpečnost, protože je unikátní a prokazuje identitu vašeho serveru. Klienti budou ve svých prohlížečích upozorněni již pouze na to, že certifikát nevystavila důvěryhodná certifikační autorita. Protože však vědí, kdo tento certifikát vytvořil a proč, mohou si jej do prohlížeče nainstalovat. Tím mají zajištěnu bezpečnou komunikaci a žádné varování se jim již zobrazovat nebude, protože váš certifikát nyní splňuje všechny potřebné náležitosti.

Druhou možností je zakoupit plnohodnotný certifikát od některé veřejné certifikační autority (např. Verisign, Thawte, SecureSign, SecureNet, Microsoft Authenticode apod.).

Při importu certifikátu je třeba načíst soubor s certifikátem (*.crt) a odpovídající privátní klíč (*.key). Tyto soubory WinRoute uloží do podadresáře sslcert ve svém instalačním adresáři.

Průběh certifikace je poměrně složitý a vyžaduje určité odborné znalosti. Jeho popis je nad rámec tohoto manuálu.