Základní parametry WWW rozhraní WinRoute lze nastavit v sekci Konfigurace → Další volby, záložka WWW rozhraní.
Poznámka: Horní část záložky WWW rozhraní / SSL-VPN slouží k nastavení parametrů Kerio SSL-VPN. Tato komponenta je podrobně popsána v kapitole 24 Kerio Clientless SSL-VPN.
Tato volba zapíná rozhraní Kerio Clientless SSL-VPN. Podrobnosti naleznete v kapitole 24 Kerio Clientless SSL-VPN.
Tato volba zapíná nezabezpečenou (HTTP) verzi WWW rozhraní.
Výchozí port nezabezpečeného WWW rozhraní je 4080
.
Poznámka: Nevýhodou nezabezpečeného WWW rozhraní je možnost odposlechu síťové komunikace a následného zneužití přihlašovacích informací uživatelů. Z tohoto důvodu by mělo být preferováno použití zabezpečeného WWW rozhraní.
Tato volba zapíná zabezpečenou (HTTPS) verzi WWW rozhraní.
Výchozí port zabezpečeného WWW rozhraní je 4081
.
DNS jméno serveru, které bude použito pro účely WWW rozhraní
(např. server.firma.cz
). Toto jméno nemusí být vždy totožné
s názvem počítače, ale musí pro něj existovat odpovídající záznam
v DNS. Rovněž SSL certifikát pro zabezpečené WWW rozhraní (viz dále) by
měl být vystaven na toto jméno serveru.
Zadané jméno serveru se rovněž používá, pokud WinRoute potřebuje přesměrovat prohlížeč uživatele na přihlašovací stránku (např. pokud neověřený uživatel přistupuje na WWW stránku, pro kterou je vyžadováno ověření — viz kapitoly 10.1 Ověřování uživatelů na firewallu a 12.2 Pravidla pro URL).
Poznámka: Pokud všichni klienti, kteří na WWW rozhraní přistupují, používají jako DNS server DNS forwarder ve WinRoute, pak není nutné jméno serveru do DNS přidávat — DNS forwarder jej přečte automaticky z této položky (a provede rovněž kombinaci se jménem lokální domény — viz kapitola 8.1 DNS forwarder).
Výběr skupiny IP adres, z níž bude k WWW rozhraní povolen přístup (typicky lokální síť). Tlačítkem 14.1 Skupiny IP adres).
lze upravit vybranou skupinu IP adres nebo vytvořit novou (podrobnosti viz kapitolaOmezení přístupu se vztahuje k nezabezpečené i zabezpečené verzi WWW rozhraní.
Tlačítko
otevírá dialog pro nastavení dalších parametrů WWW rozhraní.
Sekce TCP porty
umožňuje nastavit čísla portů nezabezpečeného a zabezpečeného WWW rozhraní
(výchozí porty jsou 4080
pro nezabezpečené rozhraní a
4081
pro zabezpečené rozhraní).
Tip:
Pokud na počítači
s WinRoute není provozován žádný WWW server, pak lze
pro nezabezpečené WWW rozhraní WinRoute použít standardní
port protokolu HTTP (tj. port 80
). Při použití standardního
portu není nutné uvádět číslo portu v URL stránek WWW rozhraní. Standardní
port protokolu HTTPS (443
) ovšem využívá rozhraní
Clientless SSL-VPN (viz kapitola 24 Kerio Clientless SSL-VPN), a proto jej ve výchozí konfiguraci nelze použít pro
zabezpečené WWW rozhraní.
Zadáte-li do některé z uvedených položek port, který již používá jiná služba nebo aplikace, pak po stisknutí tlačítka Konfigurace → Další volby) WinRoute tento port sice akceptuje, ale WWW rozhraní se na něm nespustí a do záznamu Error (viz kapitola 22.8 Záznam Error) se vypíše chybové hlášení v této podobě:
(v sekciSocket error: Unable to bind socket for service
to port 80.
(5002) Failed to start service "WebInterface"
bound to address 192.168.1.10.
Pokud nemáte jistotu, že zadané porty jsou skutečně volné, pak bezprostředně po stisknutí tlačítka Error, zda se v něm takovéto hlášení neobjevilo.
zkontrolujte záznamPrincip zabezpečeného WWW rozhraní WinRoute spočívá v tom, že se celé spojení mezi klientem a serverem šifruje, aby bylo zabráněno odposlechu a zneužití přenášených informací. Protokol SSL, který je k tomuto účelu využit, používá nejprve asymetrickou šifru pro výměnu symetrického šifrovacího klíče, kterým se pak šifrují vlastní přenášená data.
Asymetrická šifra používá dva klíče: veřejný pro šifrování a privátní pro dešifrování. Jak už jejich názvy napovídají, veřejný (šifrovací) klíč má k dispozici kdokoliv, kdo chce navázat se serverem spojení, zatímco privátní (dešifrovací) klíč má k dispozici pouze server a musí zůstat utajen. Klient ale také potřebuje mít možnost, jak si ověřit identitu serveru (zda je to skutečně on, zda se za něj pouze někdo nevydává). K tomu slouží tzv. certifikát. Certifikát v sobě obsahuje veřejný klíč serveru, jméno serveru, dobu platnosti a některé další údaje. Aby byla zaručena pravost certifikátu, musí být ověřen a podepsán třetí stranou, tzv. certifikační autoritou.
Komunikace mezi klientem a serverem pak vypadá následovně: Klient vygeneruje klíč pro symetrickou šifru a zašifruje ho veřejným klíčem serveru (ten získá z certifikátu serveru). Server jej svým privátním klíčem (který má jen on) dešifruje. Tak znají symetrický klíč jen oni dva a nikdo jiný. Tento klíč se pak použije pro šifrování a dešifrování veškeré další komunikace.
Při instalaci WinRoute je automaticky vytvořen
testovací certifikát pro zabezpečené WWW rozhraní (certifikát je uložen
v podadresáři sslcert
instalačního adresáře
WinRoute v souboru server.crt
,
odpovídající privátní klíč v souboru server.key
).
Vytvořený certifikát je unikátní, je však vystaven na fiktivní jméno serveru a
není vydán důvěryhodnou certifikační autoritou. Tento certifikát slouží pouze
k zajištění funkce zabezpečeného WWW rozhraní (typicky pro zkušební účely)
do chvíle, než vytvoříte nový certifikát nebo importujete certifikát vystavený
veřejnou certifikační autoritou.
Po stisknutí tlačítka Pole (položka certifikátu) lze zobrazit údaje buď o vydavateli certifikátu nebo o subjektu — tedy vašem serveru.
(v dialogu pro nastavení upřesňujících parametrů WWW rozhraní) se zobrazí dialog s aktuálním certifikátem serveru. VolbouVlastní originální certifikát, který bude skutečně prokazovat identitu vašeho serveru, můžete získat dvěma způsoby.
Můžete si vytvořit vlastní, tzv. self-signed certifikát
(„podepsaný sám sebou“). To lze provést stisknutím tlačítka
v dialogu, kde se zobrazuje
aktuální certifikát serveru. V dialogu, který se zobrazí, je třeba vyplnit
údaje o serveru a vaší společnosti. Povinné jsou pouze položky označené
hvězdičkou (*
).
Po stisknutí tlačítka SSL certifikát serveru a
ihned se začne používat (není třeba nic restartovat). Vytvořený certifikát bude
uložen do souboru server.crt
a odpovídající privátní klíč
do souboru server.key
.
Vytvořený certifikát je originální a je vystaven vaší firmou vaší firmě na jméno vašeho serveru (self-signed certifikát — certifikujete sami sebe). Narozdíl od testovacího certifikátu, tento certifikát již zajišťuje vašim klientům bezpečnost, protože je unikátní a prokazuje identitu vašeho serveru. Klienti budou ve svých prohlížečích upozorněni již pouze na to, že certifikát nevystavila důvěryhodná certifikační autorita. Protože však vědí, kdo tento certifikát vytvořil a proč, mohou si jej do prohlížeče nainstalovat. Tím mají zajištěnu bezpečnou komunikaci a žádné varování se jim již zobrazovat nebude, protože váš certifikát nyní splňuje všechny potřebné náležitosti.
Druhou možností je zakoupit plnohodnotný certifikát od některé veřejné certifikační autority (např. Verisign, Thawte, SecureSign, SecureNet, Microsoft Authenticode apod.).
Při importu certifikátu je třeba načíst soubor s certifikátem
(*.crt
) a odpovídající privátní klíč
(*.key
). Tyto soubory WinRoute uloží
do podadresáře sslcert
ve svém instalačním adresáři.
Průběh certifikace je poměrně složitý a vyžaduje určité odborné znalosti. Jeho popis je nad rámec tohoto manuálu.