View
4
Download
0
Category
Preview:
Citation preview
Installation einer Websitemit MS Windows NT40 und IIS40
Christian Zahler
1 Schritt
NT-Server installieren kein Domaumlnencontroller sondern bdquoallein-stehender Serverldquo (Dieser Punkt haumlngt natuumlrlich von der Struk-tur des zu verwaltenden Bereichs ab wenn eine Benutzerverwal-tung zu errichten ist koumlnnen einfachere Rechner die Funktion derDomaumlnencontroller uumlbernehmen)
2 Schritt
Windows NT Service Pack 3 (oder houmlher) installieren
3 Schritt
Microsoft Internet Explorer 40 (oder houmlher) installieren
4 Schritt
NT 4 Option Pack installieren
Lizenzvertrag annehmen
Man kann auch die Standard-Variante installieren wesentlichsind jedoch die Komponenten bdquoMicrosoft Script Debuggerldquo undbdquoIIS 4ldquo
Bei den Standardverzeichnissen am besten vorlaumlufig nichts aumln-dern
58 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Details zur Serverinstallation
1 Herstellen der Verbindung zu NovellNetware-Druckern
Um die Druckservices von Novell Netware-Servers nutzen zukoumlnnen muss der Gateway-Service und Client fuumlr Netware-Netz-werke installiert werden
Dazu rufen Sie die Eigenschaften der Netzwerkumgebung aufwaumlhlen die Karteikarte bdquoDiensteldquo und klicken dann auf dieSchaltflaumlche bdquoHinzufuumlgenldquo
Klicken Sie dann auf OK um den Dienst hinzuzufuumlgen DieKarteikarte bdquoDiensteldquo hat nun folgendes Aussehen
Funktionskontrolle In der Netzwerkumgebung sehen Sie jetztauch Novell-Server bzw unter dem Eintrag bdquoGesamtes Netzwerkldquosehen Sie auch Netware-kompatible Netzwerke
Nun koumlnnen Sie Netzwerkdrucker installieren
2 Herstellung der Anbindung ans Internet
Um die Anbindung an ein gegebenes Internet-Gateway zu erhal-ten sind folgende Eintraumlge notwendig
Klicken Sie in den Eigenschaften der Netzwerkumgebung auf dieKarteikarte bdquoProtokolleldquo und waumlhlen Sie das TCPIP-Protokoll aus
Klicken Sie dann auf die Schaltflaumlche bdquoEigenschaftenldquo und stellenSie folgendes ein
officezahlerat Christian Zahler PCNEWS-70 November 200059
Installation einer Website SYSTEM
Der Internet-Server-Administrator hat ein Routing fuumlr folgendenAdressbereich eingetragen
192168201100 192168201101 192168201115 Beispiel
Als Gateway dient die Adresse1921682011 Beispiel
In anderen Netzen sind die dort geltenden IP-Adressen anzuge-ben
Nun fehlt noch ein Eintrag fuumlr den Domain Name Server KlickenSie dazu auf die Karteikarte bdquoDNSldquo Dort klicken Sie aufbdquoHinzufuumlgenldquo und tragen die Adresse des DNS-Servers ein
Es sind im allgemeinen immer zwei DNS-Server definiert hier
1949613319496134
Dann fahren Sie den Rechner wieder hoch und probieren aus obSie das eben installierte Gateway nuumltzen koumlnnen um im Internetzu surfen
Domain Name Service (DNS) Zuordnen von Com-puternamen zu IP-Adressen
(a) uumlber einen DNS-Server
(b) dynamisch
DHCP-Server noumltig (DHCP = dynamic host configuration proto-col)
(c) Statisch
Datei HOSTS im VerzeichnisWINNTSYSTEM32DRIVERSETC
bearbeiten mit Editor Copyright (c) 1993-1995 Microsoft Corp This is a sample HOSTS file used by Microsoft TCPIP for Windows NT This file contains the mappings of IP addresses to host names Each entry should be kept on an individual line The IP address should be placed in the first column followed by the corresp host name The IP address and the host name should be separated by at least one space Additionally comments (such as these) may be inserted on individual lines or following the machine name denoted by a symbol For example 102549497 rhinoacmecom source server 38256310 xacmecom x client host127001 localhost19216801 ilgat
Diese Datei ordnet jeder IP-Adresse einen DNS-Namen (ldquofriendlynamerdquo) zu
Im selben Verzeichnis befindet sich auch die LMHOSTS-Dateidie die Zuordnung von IP-Adressen zu NetBIOS-Namen regelt(NetBIOS-Namen werden als ldquoPC-IDrdquo von Win-NT standardmauml-szligig verwendet)
Wichtig Jeder PC im Intranet muss dieselbe HOSTS-Datei be-kommen da sonst der Server nicht mit dem friendly name ange-sprochen werden kann (Also Datei auf jeden PC im Netz kopie-ren)
Diagnose- und Konfigurationsprogramme
1 PING
Versucht 4 IP-Pakete an einen Host-Rechner zu senden ZweckUumlberpruumlfung der Funktionsfaumlhigkeit von NetzwerkverbindungenCWINDOWSgtping 10006Ping wird ausgefuumlhrt fuumlr 10006 mit 32 Bytes DatenAntwort von 10006 Bytes=32 Zeitlt10ms TTL=128Antwort von 10006 Bytes=32 Zeitlt10ms TTL=128Antwort von 10006 Bytes=32 Zeitlt10ms TTL=128Antwort von 10006 Bytes=32 Zeitlt10ms TTL=128Ping-Statistik fuumlr 10006
Pakete Gesendet = 4 Empfangen = 4 Verloren = 0 (0 Verlust)Ca Zeitangaben in Millisek
Minimum = 0ms Maximum = 0ms Mittelwert = 0ms
2 IPCONFIG
Gibt Informationen uumlber die Windows IP-Konfiguration aus
Parameter ALL gibt auch Informationen uumlber die MAC-Adresseaus
Beispiel 1 Ausgabe ohne Parameter ALLWindows 98 IP-Konfiguration0 Ethernet Adapter
IP-Adresse 0000Subnet Mask 0000Standard-Gateway
1 Ethernet Adapter IP-Adresse 10006Subnet Mask 255000Standard-Gateway 19317024418
Beispiel 2 Ausgabe mit Parameter ALL
Windows 98 IP-KonfigurationHostname KKTNnoewifiatDNS-Server 19496133
60 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
19496135Knotentyp BroadcastNetBIOS-Bereichs-ID IP-Routing aktiviert NeinWINS-Proxy aktiviert NeinNetBIOS-Auflrdquosung mit DNS Nein
0 Ethernet Adapter
Beschreibung PPP AdapterPhysische Adresse 44-45-53-54-00-00DHCP aktiviert JaIP-Adresse 0000Subnet Mask 0000Standard-Gateway DHCP-Server 255255255255Erster WINS-Server Zweiter WINS-Server Guumlltig seit Guumlltig bis
1 Ethernet Adapter
Beschreibung PPP AdapterPhysische Adresse 44-45-53-54-00-01DHCP aktiviert JaIP-Adresse 0000Subnet Mask 0000Standard-Gateway DHCP-Server 255255255255Erster WINS-Server Zweiter WINS-Server Guumlltig seit Guumlltig bis
2 Ethernet Adapter
Beschreibung Novell 2000 AdapterPhysische Adresse 00-00-E8-2F-15-FADHCP aktiviert JaIP-Adresse 1949613190Subnet Mask 2552552550Standard-Gateway 19496131DHCP-Server 19496138Erster WINS-Server Zweiter WINS-Server Guumlltig seit 090500 093526Guumlltig bis 090500 094526
3 WINIPCFG
Am besten uumlber [Start] ndash [Ausfuumlhren] aufrufen
4 TRACERT
Zeigt die Route eines IP-Pakets anSyntax TRACERT [-d] [-h Abschnitte max] [-j Host-Liste] [-w Timeout]ZielnameOptions
-d Adressen nicht zu Hostnamen auswerten-h Abschnitte max Max Anzahl an Abschnitten bei Zielsuche-j Host-Liste Loose Source Route gemaumlszlig Host-Liste-w Timeout Timeout in Millisekunden fuumlr eine Antwort
BeispielRoute-Verfolgung zu wwwyahooakadnsnet [216327452]uumlber maximal 30Abschnitte1 2 ms 3 ms 3 ms vianet-stpolten-gw01viaat [1949621118]2 5 ms 5 ms 6 ms vianet-stpolten-gw00viaat [1949621117]3 16 ms 32 ms 12 ms vianet-head-gw04viaat [194962105]4 22 ms 23 ms 14 ms atlas-atm4-1-0-460utaat [19570250101]5 22 ms 15 ms 16 ms ronos-atm9-0-0-597utaat 212152192245]6 31 ms 32 ms 29 ms 16412833897 31 ms 32 ms 37 ms i79zhh-035-FastEthernet6-1-0ip-plusnet
[1641283667]8 120 ms 186 ms 126 ms i00ny-015-Pos0-0-0ip-plusnet
[16412835118]9 537 ms 120 ms 121 ms exodus-nycip-plusnet [16412823646]
10 121 ms 154 ms 136 ms bbr02g3-0jrcy01exodusnet [2096745254]11 129 ms 127 ms 135 ms bbr01-p5-0stng01exodusnet [209185998]12 130 ms 129 ms 162 ms dcr03-g9-0stng01exodusnet [2163396145]13 129 ms 131 ms 178 ms 21633981814 128 ms 134 ms 173 ms 2163521012215 136 ms 132 ms 128 ms wwwyahooakadnsnet [216327452]
Route-Verfolgung beendet
5 ARP (Adress Resolution Protocol)
Aumlndert und zeigt die Uumlbersetzungstabellen fuumlr IP-Adressenphysi-sche Adressen an die vom ARP (Address Resolution Protocol)verwendet werden
ParameterARP -s IP_Adr Eth_Adr [Schnittst]ARP -d IP_Adr [Schnittst]ARP -a [IP_Adr] [-N Schnittst]-a Zeigt aktuelle ARP-Eintraumlge durch Abfrage der Protokoll-
daten an Falls IP_Adr angegeben wurde werden die IP- undphysische Adresse fuumlr den angegebenen Computer angezeigtWenn mehr als eine Netzwerkschnittstelle ARP verwendetwerden die Eintraumlge fuumlr jede ARP-Tabelle angezeigt
-g Gleiche Funktion wie -aIP_Adr Gibt eine Internet-Adresse an-N Schnittst Zeigt die ARP-Eintraumlge fuumlr die angegebene Netzwerk-
schnittstelle an-d Loumlscht den durch IP_Adr angegebenen Host-Eintrag-s Fuumlgt einen Host-Eintr hinzu und ordnet die Internet-Adresse
der physischen Adresse zu Die physische Adresse wird durch6 hexadezimale durch Bindestrich getrennte Bytes angegebenDer Eintrag ist permanent
Eth_Adr Gibt eine physische Adresse (Ethernet-Adresse) anSchnittst Gibt falls vorhanden die Internet-Adresse der
Schnittstelle an deren Uumlbersetzungstabelle geaumlndert werdensoll Sonst wird die erste geeignete Schnittstelleverwendet
Beispielgt arp -s 1575585212 00-aa-00-62-c6-09 Fuumlgt einen statischen Eintrag hinzu
gt arp -a Zeigt die Arp-Tabelle an
6 NETSTAT
Zeigt bestehende Netzwerkverbindungen an
Beispiel fuumlr netstatCWIN98gtnetstatAktive VerbindungenProto Lokale Adresse Remote-Adresse StatusTCP nr1026 I406nbsession ESTABLISHEDTCP nr1037 wwwbrowserat80 ESTABLISHEDTCP nr1045 WWWIFI80 ESTABLISHED
officezahlerat Christian Zahler PCNEWS-70 November 200061
Installation einer Website SYSTEM
7 ROUTE
Manipulation und Anzeige der Routingtabelle des Betriebssys-tems
Beispiel fuumlr routeCWIN98gtroute printAktive RoutenNetzwerkadresse Subnet Mask Gateway Schnittstelle Anzahl
0000 0000 1921682100 1921682104 1127000 255000 127001 127001 1
19216820 2552552550 1921682104 1921682104 11921682104 255255255255 127001 127001 11921682255 255255255255 1921682104 1921682104 1
224000 224000 1921682104 1921682104 1255255255255 255255255255 1921682104 0000 1CWIN98gt
Der Internet Information Server
Waumlhlen Sie Start ndash Programme ndash Windows NT 40 Option Pack ndash
Microsoft Internet Information Server ndash Internet-Dienstmanager
Es wird die Microsoft Management Konsole (MMCEXE) aufge-rufen Die MMC ist ein allgemeines Werkzeug zur Verwaltung vonServerdiensten sie wird in Windows 2000 zu einem zentralenAdministrationstool
Die Konsole kann mit sogenannten ldquoSnap-Insrdquo fuumlr verschiedeneAdminis t ra t ionsaufgaben konf igur ier t werden (Menuuml
[Konsole]-[Snap-In hinzufuumlgenloumlschen] bzw laquoStrgraquolaquoMraquo) dieEinstellungen werden in Konfigurationsdateien gespeichert
Ruft man den Internet-Dienstmanager auf so wird bereits einevorkonfigurierte Einstellung (Datei IISMSC) aufgerufen die dieAdministration der Internet-Serverdienste stark vereinfacht
FTP-Server einrichten und testen
FTP von der Serverseite aus gesehen ndash Einrichten undKonfigurieren des FTP-Dienstes im Internet InformationServer
Schritt 1
Es ist oft sinnvoll einen Webauftritt eines Kunden uumlber eine eige-ne IP-Adresse zu realisieren Dazu muss es aber moumlglich seinder Netzwerkkarte des Webservers mehrere IP-Adressen zuzu-
weisen Dies realisiert man in den erweiterten TCPIP-Einstellun-gen
Start - Einstellungen - Systemsteuerung - Netzwerk - Protokolle -
TCPIP-Protokoll - Optionen - Hinzufuumlgen - IP-Adresse eingeben
Nicht vergessen auch in der HOSTS-Datei eintragen
Schritt 2
Im Explorer (inetpub) root-Verzeichnis anlegen
In diesem BeispielCINetPubKunde1_101
Schritt 3
Klicken Sie mit der rechten Maustaste auf den Servernamen (inder Abbildung etwa nt701) und waumlhlen Sie aus dem Kontextme-nuuml [Neu]-[FTP-Site]
62 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
officezahlerat Christian Zahler PCNEWS-70 November 200063
Installation einer Website SYSTEM
Schritt 4
Start - Programme - Verwaltung (allgemein) - Benutzermanager fuumlr
Domaumlnen
Benutzer - Neu - Ausfuumlllen - Einstellungen vornehmen - Hinzufuumlgen
Richtlinien - Benutzerrechte - lokale anmeldung waumlhlen - Hinzufuumlgen ndash
Benutzer anzeigen - auswaumlhlen - ok
Schritt 5
Start - Programme - NT Explorer - Kundenverzeichnis auswaumlhlen -
rechte Maustaste - Eigenschaften - Sicherheit - Berechtigungen
bdquoBerechtigungen fuumlr existierende Dateien ersetzenldquo auswaumlhlen
Einstellungen vornehmen
Schritt 6
Management Konsole ndash Kontextmenuuml des FTP-Dienstes des neuenKunden auswaumlhlen - Eigenschaften - Sicherheitskonten ndash bdquoNur
anonyme Verbindungen erlaubenldquo deaktivieren
FTP von der Anwenderseite aus gesehen ndash FTP-Ser-ver testen
Mit FTP koumlnnen Sie Dateien von Ihrem Rechner auf einen ent-fernten Server uumlbertragen (Upload) oder von einem entferntenServer Dateien auf Ihren Rechner laden (Download)
Der FTP-Dienst ist auf verschiedene Art und Weise nutzbar
a) FTP-Programme
Beispiele
WS-FTP
FTPVoyager
CuteFTP
Es soll hier das Programm WS-FTP95 kurz erlaumlutert werden
1 Starten Sie das Programm WS-FTP95
2 Legen Sie ein Profil mit folgenden Eintraumlgen an (Klicken Sieauf die Schaltflaumlche bdquoNewldquo)
3 Mit OK verbinden Sie sich zum PIAKREMS-FTP-Server Linkssehen Sie die Verzeichnis-Laufwerksstruktur Ihres eigenen
64 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Rechners rechts sehen Sie die Verzeichnisstruktur desFTP-Servers mit dem Sie verbunden sind
4 Mit den Pfeilen in der Mitte koumlnnen Sie markierte Dateien vonIhrer Festplatte (links) auf den Server (rechts) kopieren oder um-gekehrt
b) Manuelle FTP-Sitzung
Aufruf
ftp Servername
FTP-Befehle delete literal prompt send debug ls put statusappend dir mdelete pwd traceascii disconnect mdir quit typebell get mget quote userbinary glob mkdir recv verbosebye hash mls remotehelpcd help mput renameclose lcd open rmdir
dir remote Verzeichnis auflisten
cd lcd Verzeichnis wechseln remote local
pwd aktuelles Verzeichnis
get mget Dateien von remote nach local kopieren
put mput Dateien von local nach remote kopieren
binary auf binaumlren Transfer (Programme Images ) um-schalten
prompt Bestaumltigung abschalten
user als Benutzer einloggen
open close Verbindung oumlffnen schlieszligen
Hilfe anzeigen
quit bye Programm beenden
Beispiel fuumlr eine manuelle FTP-Sitzung (Benutzereingabensind kursiv dargestellt)
CWIN98gtftp off97noewifiatVerbindung mit off97noewifiat220 wifi2 Microsoft FTP Service (Version 30)Benutzer (off97noewifiat(none)) user401331 Password required for user401Kennwort230-Herzlich Willkommen am Wifi Ftp-Server 230 User user401 logged inFtpgt dir200 PORT command successful150 Opening ASCII mode data connection for binlsd--------- 1 owner group 0 Aug 19 1999 kidsd--------- 1 owner group 0 Feb 17 1998 kktn---------- 1 owner group 0 Aug 18 1999 testtxt---------- 1 owner group 0 Aug 19 1999test3txt226 Transfer complete
Ftp 269 Bytes empfangen in 016Sekunden 168KBSekFtpgt get testtxt200 PORT command successful150 Opening ASCII mode data connection for testtxt(0 bytes)226 Transfer completeFtpgt put xxxhtm
200 PORT command successful150 Opening ASCII mode data connection for xxxhtm226 Transfer completeFtp 1777 Bytes gesendet in 000Sekunden 177700000KBSekFtpgt pwd257 is current directoryFtpgt quit221 Auf Wiedersehen
Wenn Sie als anonymer FTP-Nutzer arbeiten wollen so gebenSie als Benutzername anonymous an als Kennwort Ihre eigeneE-Mail-Adresse (Es ist kein Passwort noumltig allerdings verlangendie Regeln der Netiquette eine derartige ndash freiwillige ndash Identifizie-rung)
c) FTP uumlber den Browser
Auch uumlber Browser-Software ist eingeschraumlnkter FTP-Betriebmoumlglich Waumlhrend Downloads problemlos moumlglich sind koumlnnenUploads nicht durchgefuumlhrt werden
Wichtig Sollten Sie fuumlr den FTP-Server einen Benutzernamenund ein Kennwort eingeben muumlssen dann waumlhlen Sie bitte fol-gende Syntax fuumlr die Adresszeile des BrowsersftpBenutzernameKennwortftpserverat
(Anmerkung Das Passwort in der obigen Abbildung wurde abge-deckt bzw veraumlndert)
Der WWW-Dienst im IIS
Zunaumlchst legt man fuumlr den Kunden einen virtuellen Webserver(Website) an
officezahlerat Christian Zahler PCNEWS-70 November 200065
Installation einer Website SYSTEM
bdquoHandelnldquo mit Websites
Besitzt man mehrere IP-Adressen so kann man damit bdquohandelnldquodh der Webseite eines Kunden eine eigene IP-Adresse zuweisen
Dafuumlr gibt es mehrere Varianten
a) Zuordnung in der HOSTS-Datei1921682229 501_k1ilgedu1921682229 501_k2ilgedu
b) Host-Header-Name im IIS
Dem Kunden wird zunaumlchst eine eigene Seite mit eigenerIP-Adresse zugewiesen
Klick auf bdquoErweitertldquo liefert die Moumlglichkeit dieser Seite einenoder mehrere bdquoHost-Header-Namenldquo zuzuweisen
Es ist also denkbar ein und dieselbe Webseite mit mehreren Do-main-Namen aufzurufen (Aumlltere Browser unterstuumltzen dieseFunktion allerdings nicht)
Es gibt 3 Moumlglichkeiten verschiedene Webs an einem Server zubetreiben
verschiedene IP-Adressen
verschiedene Ports
verschiedene Host-Header-Namen (virtuelle Server)
66 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Schutz von Kindern und Jugendlichen durch RSA-Ci-Filter und PICS-Labels
Quellen
wwww3orgPICS
wwwrsacorg oder wwwicraorg
RSACi = Recreational Software Advisory Council for the Internet
Das RSACi-System ist ein Filtersystem fuumlr jugendgefaumlhrdende In-halte im Web das von der ICRA (Internet Content Rating Associa-tion) verwaltet wird Ziel dieses Systems ist die Gewaumlhrleistungder bdquoRedefreiheitldquo im Internet einerseits der Schutz von Kindernund Jugendlichen vor gefaumlhrlichen oder anstoumlszligigen Inhaltenandererseits
Das RSACi-System ist im Internet Explorer integriert Eltern koumln-nen ndash gesichert durch ein Supervisor-Kennwort ndash den Level be-stimmen der angezeigt werden soll
Fuumlr jeden RSACi-Label gibt es vier Sicherheitsstufen
Gewalt Nacktheit Sex Sprache
Level 4 Vergewalt i-gungen oderwillkuumlrlichebrutale Ge-waltakte
provozieren-de Nacktauf-nahmen vonvorn fotogra-fiert
Sexua l ve r-brechen oderb r u t a l e deutliche se-xuel le Vor-gaumlnge
Rohe vulgauml-re Sprachefreizuumlgige se-xuel le An-spielungen
Level 3 Agg re s s i veGewalt oderToumlten vonMenschen
VollstaumlndigeN a c k t h e i t von vorn fo-tografiert
Sexuelle Vor-gaumlnge
Deftige vul-gaumlre oderhasser fuumll l teSprechweiseo b s z ouml n eKraftausdruuml-cke
Level 2 Ze r s touml rungrealistischerObjekte
Te i l w e i s eNacktheit
Sexuelle Be-r uuml h r u n g e nim bekleide-ten Zustand
Kraftausdruuml-cke nicht se-xuell bezoge-ne anatomi-sche Anspie-lungen
Level 1 V e r l e t z e nvon Men-schen
AufreizendeBekleidung
L e i d e n-scha f t l i cheKuumlsse
S c h w a c h eKraftausdruuml-cke mi ldeA u s d r uuml c k efuumlr Koumlrper-funktionen
Level 0 Keine derobigen oderim Zusam-menhang mitSport
Keine derobigen
Keine derobigen oderldquounschuldi-gerdquo KuumlsseRomantik
Keine derobigen
Eine genauere Beschreibung der ICRA finden Sie in einem Doku-ment bei der Web-Version dieses Beitrags (icratxt)
officezahlerat Christian Zahler PCNEWS-70 November 200067
Installation einer Website SYSTEM
SSL und HTTPS
Der Microsoft Certificate Server (SSL und HTTPS)
Grundlagen der Kryptographie
Die Sicherheit der Datenuumlbertragung uumlber das Internet laumlsst sichdeutlich erhoumlhen wenn die Dateien nicht im Klartext uumlbertragenwerden sondern durch Verschluumlsselungsalgorithmen unlesbargemacht werden
(Quelle Microsoft Hilfe)
Man unterscheidet zwei Gruppen von Verschluumlsselungsverfah-ren
Symmetrische Verfahren Hier wird derselbe Schluumlssel zur Ver-und Entschluumlsselung verwendet
Asymmetrische Verfahren Hier werden zwei verschiedene Schluumls-sel verwendet ein bdquooumlffentlicher Schluumlsselldquo (public key) und einbdquoprivater Schluumlsselldquo (private key)
(Quelle Microsoft Hilfe)
Der MS Certificate Server ist im MS Option Pack fuumlr Windows NT40 enthalten wird aber standardmaumlszligig nicht mit installiert Ermuss entweder nach installiert werden oder wurde bereits mitder Vollinstallation des Option Packs mit installiert
Der MS Certificate Server erzeugt Zertifikate im X509-Format
Bei der Installation des Zertifikatsservers wird ein ldquoNotarrdquo instal-liert der selbst Zertifikate ausstellen kann Ein solcher ldquoNotarrdquo(Zertifizierungsinstanz englisch Certificate Agency CA) benoumltigtselbst nur ein so genanntes Basiszertifikat Solche Zertifikate gel-ten als ldquoabsolut vertrauenswuumlrdigrdquo und werden durch keine wei-tere Instanz bestaumltigt Basiszertifikate haben international natuumlr-lich nur dann Gewicht wenn die Organisation einen hohen Be-kanntheitsgrad bzw ein hohes Vertrauen des Publikums genieszligt
Moumlchte man eine Seite international guumlltig zertifizieren lassen so
gibt es dazu anerkannte Zertifizierungsinstitute
httpwwwverisigncom
68 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Ab jetzt ist es moumlglich Schluumlssel zu erstellen die vom eben instal-lierten Zertifikatsserver ldquosigniertrdquo werden koumlnnen
Das Eigenzertifikat wird im angegebenen Freigabeordner (hierCcert) abgelegt
Uumlberpruumlfen der Schluumlsselkonfiguration
Cgtcertutil -dumpEintrag 0Name WIFIOrganisationseinheit EDVOrganisation WIFI NiederoesterreichOrt St PoeltenBundesland NiederoesterreichLand ATKonfiguration I1WIFIAustauschzertifikat I1_WIFI_ExchangecrtSignaturzertifikat I1_WIFIcrtBeschreibung Test-Instanz
Erstellen eines eigenen Schluumlssels
Der naumlchste Schritt ist die Erstellung eines eigenen Schluumlsselpaa-res Der Schluumlssel muss natuumlrlich von einer Zertifizierungsinstitu-tion bestaumltigt werden Wir koumlnnten die Anforderung entweder anVerisign schicken oder von unserem eigenen Zertifizierungsser-ver bestaumltigen lassen
Rufen Sie dazu von der Microsoft Management-Konsole aus denSchluumlssel-Manager auf
Klicken Sie den abzusichernden Dienst (im allgemeinen WWW)mit der rechten Maustaste an und waumlhlen Sie [Neuen Schluumlssel
erstellen]
Wir haben nun folgende Situation Es wurde ein Schluumlssel er-stellt der bereits zur Bestaumltigung der Zertifizierungsinstanz ist
officezahlerat Christian Zahler PCNEWS-70 November 200069
Installation einer Website SYSTEM
Gleichzeitig wurde der Schluumlssel in einer Zertifizierungsanforde-rungsdatei gespeichert in unserem Fall c101ilgtxt
Diese Datei sieht folgendermaszligen aus
Als naumlchster Schritt wird die Anforderung an der Zertifikatsservergeschickt (wir verwenden unseren eigenen) der eine Bestaumltigung(digitale Signatur) durchfuumlhren soll Dafuumlr gibt es vorinstallierteHilfsprogramme aufrufbar unter
70 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Nun ist der Schluumlssel vollstaumlndig und kann verwendet werden
Absichern eines Verzeichnisses durch SSL
Vorbereitung Erstellen Sie ein Verzeichnis unterhalb eines virtu-ellen Servers eines Kunden Legen Sie eine HTML-Datei in die-ses Verzeichnis
Im folgenden Beispiel wurde unterhalb des virtuellen WWW-Ser-vers Kunde1_i1_WWW ein Verzeichnis verz angelegt das eineDatei ssltesthtm enthaumllt
Rufen Sie die Ei-genschaften desabzus icherndenVerzeichnisses imI IS (MMC) aufdann waumlhlen Siedie Kar te ikar teldquoVerzeichnissicher-heitrdquo Dort klickenSie im AbschnittldquoSichere Kommu-nikationrdquo auf dieSchaltflaumlche ldquoBe-arbeitenrdquo
officezahlerat Christian Zahler PCNEWS-70 November 200071
Installation einer Website SYSTEM
Kennwort einge-ben (dasselbe wiebei der Erzeugungdes Schluumlssels)
Nun muss noch eine Portnummer fuumlr die SSL-Kommunikationvergeben werden wir verwenden 443
Tests
Eingabe von httpssltesthtm schlaumlgt fehl
Erst durch das Protokoll https ist eine Anzeige der Datei moumlg-lich
ArbeitsplanCertificate ServerHTTPS - Secure socket layer
Certificate Server von Option Disk installieren
CA-Zertifikat (Basiszertifikat Sitezertifikat) erstellen
Name der Zertifizierungsinstanz Elektronischer Notar x x steht fuumlr denComputernamen zB 701
Im Anforderungsformular fuumlr das CA-Zertifikat duumlrfen keine Beistricheverwendet werden Beistriche werden als Feldende interpretiert und eswird eine unguumlltige Anforderung ohne Fehlerwarnung erstellt
Uumlberpruumlfen der Konfigurationsinformation CertUtil -dump Gibt den In-halt der Datei CertSrvtxt aus
Browserinstallation des CA-Zertifikats
IE50 Extras Internetoptionen Inhalt Zertifikate VertrauenswuumlrdigeStammzertifizierungsstellen
Hinweise auf RegistryeintraumlgeHKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyMachineKeysHKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesHKEY_LOCAL_MACHINESYSTEMControlSetControlSecurityProviders
Ordner fuumlr Konfigurationsdateien cmscf
cacertshtm Liste der Zertifikate der Zertifizierungsinstanz
Internetdienstmanager
Schluumlsselmanager
WWW Rechtsklick - Neuen Schluumlssel erstellen
Anforderung als Datei speichern die an eine Instanz gesendet wirdcCertsNewKeyReqtxt zB 701ilgedureqtxt
Schluumlsselname Computername und key zB 701key
Bei allgemeinem Namen IP-Adresse oder friendly name angeben
ccerts certreq newkeyrqtxt neqkeyaw zB 701ilgeduaw
Schluumlsselmanager Schluumlsselzertifikat installieren
Verzeichnis mit Verzeichnissicherheit einrichten RegisterkarteVerzeichnissicherheit Beim Zugriff auf diese Ressource sicherenChannel verlangen mit HTTPS anwaumlhlen
Versuche
CA-Zertifikat ist nicht (im Browser) installiert Das Sicherheitszertifikatwurde von einer Firma ausgestellt die Sie nicht als vertrauenswuumlrdig ein-gestuft haben Untersuchen Sie das Zertifikat um festzustellen ob Sie derausstellenden Institution vertrauen moumlchten
Schlosssymbol in Statuszeile als Zeichen fuumlr sichere Kommunikation
Angaben bei Allgemeiner Name stimmt nicht mit Namen beiDNS-Suchvorgang uumlberein Meldung Der auf dem Sicherheitszertifikatangegebene Name stimmt nicht mit dem Namen der Site uumlberein
72 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Details zur Serverinstallation
1 Herstellen der Verbindung zu NovellNetware-Druckern
Um die Druckservices von Novell Netware-Servers nutzen zukoumlnnen muss der Gateway-Service und Client fuumlr Netware-Netz-werke installiert werden
Dazu rufen Sie die Eigenschaften der Netzwerkumgebung aufwaumlhlen die Karteikarte bdquoDiensteldquo und klicken dann auf dieSchaltflaumlche bdquoHinzufuumlgenldquo
Klicken Sie dann auf OK um den Dienst hinzuzufuumlgen DieKarteikarte bdquoDiensteldquo hat nun folgendes Aussehen
Funktionskontrolle In der Netzwerkumgebung sehen Sie jetztauch Novell-Server bzw unter dem Eintrag bdquoGesamtes Netzwerkldquosehen Sie auch Netware-kompatible Netzwerke
Nun koumlnnen Sie Netzwerkdrucker installieren
2 Herstellung der Anbindung ans Internet
Um die Anbindung an ein gegebenes Internet-Gateway zu erhal-ten sind folgende Eintraumlge notwendig
Klicken Sie in den Eigenschaften der Netzwerkumgebung auf dieKarteikarte bdquoProtokolleldquo und waumlhlen Sie das TCPIP-Protokoll aus
Klicken Sie dann auf die Schaltflaumlche bdquoEigenschaftenldquo und stellenSie folgendes ein
officezahlerat Christian Zahler PCNEWS-70 November 200059
Installation einer Website SYSTEM
Der Internet-Server-Administrator hat ein Routing fuumlr folgendenAdressbereich eingetragen
192168201100 192168201101 192168201115 Beispiel
Als Gateway dient die Adresse1921682011 Beispiel
In anderen Netzen sind die dort geltenden IP-Adressen anzuge-ben
Nun fehlt noch ein Eintrag fuumlr den Domain Name Server KlickenSie dazu auf die Karteikarte bdquoDNSldquo Dort klicken Sie aufbdquoHinzufuumlgenldquo und tragen die Adresse des DNS-Servers ein
Es sind im allgemeinen immer zwei DNS-Server definiert hier
1949613319496134
Dann fahren Sie den Rechner wieder hoch und probieren aus obSie das eben installierte Gateway nuumltzen koumlnnen um im Internetzu surfen
Domain Name Service (DNS) Zuordnen von Com-puternamen zu IP-Adressen
(a) uumlber einen DNS-Server
(b) dynamisch
DHCP-Server noumltig (DHCP = dynamic host configuration proto-col)
(c) Statisch
Datei HOSTS im VerzeichnisWINNTSYSTEM32DRIVERSETC
bearbeiten mit Editor Copyright (c) 1993-1995 Microsoft Corp This is a sample HOSTS file used by Microsoft TCPIP for Windows NT This file contains the mappings of IP addresses to host names Each entry should be kept on an individual line The IP address should be placed in the first column followed by the corresp host name The IP address and the host name should be separated by at least one space Additionally comments (such as these) may be inserted on individual lines or following the machine name denoted by a symbol For example 102549497 rhinoacmecom source server 38256310 xacmecom x client host127001 localhost19216801 ilgat
Diese Datei ordnet jeder IP-Adresse einen DNS-Namen (ldquofriendlynamerdquo) zu
Im selben Verzeichnis befindet sich auch die LMHOSTS-Dateidie die Zuordnung von IP-Adressen zu NetBIOS-Namen regelt(NetBIOS-Namen werden als ldquoPC-IDrdquo von Win-NT standardmauml-szligig verwendet)
Wichtig Jeder PC im Intranet muss dieselbe HOSTS-Datei be-kommen da sonst der Server nicht mit dem friendly name ange-sprochen werden kann (Also Datei auf jeden PC im Netz kopie-ren)
Diagnose- und Konfigurationsprogramme
1 PING
Versucht 4 IP-Pakete an einen Host-Rechner zu senden ZweckUumlberpruumlfung der Funktionsfaumlhigkeit von NetzwerkverbindungenCWINDOWSgtping 10006Ping wird ausgefuumlhrt fuumlr 10006 mit 32 Bytes DatenAntwort von 10006 Bytes=32 Zeitlt10ms TTL=128Antwort von 10006 Bytes=32 Zeitlt10ms TTL=128Antwort von 10006 Bytes=32 Zeitlt10ms TTL=128Antwort von 10006 Bytes=32 Zeitlt10ms TTL=128Ping-Statistik fuumlr 10006
Pakete Gesendet = 4 Empfangen = 4 Verloren = 0 (0 Verlust)Ca Zeitangaben in Millisek
Minimum = 0ms Maximum = 0ms Mittelwert = 0ms
2 IPCONFIG
Gibt Informationen uumlber die Windows IP-Konfiguration aus
Parameter ALL gibt auch Informationen uumlber die MAC-Adresseaus
Beispiel 1 Ausgabe ohne Parameter ALLWindows 98 IP-Konfiguration0 Ethernet Adapter
IP-Adresse 0000Subnet Mask 0000Standard-Gateway
1 Ethernet Adapter IP-Adresse 10006Subnet Mask 255000Standard-Gateway 19317024418
Beispiel 2 Ausgabe mit Parameter ALL
Windows 98 IP-KonfigurationHostname KKTNnoewifiatDNS-Server 19496133
60 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
19496135Knotentyp BroadcastNetBIOS-Bereichs-ID IP-Routing aktiviert NeinWINS-Proxy aktiviert NeinNetBIOS-Auflrdquosung mit DNS Nein
0 Ethernet Adapter
Beschreibung PPP AdapterPhysische Adresse 44-45-53-54-00-00DHCP aktiviert JaIP-Adresse 0000Subnet Mask 0000Standard-Gateway DHCP-Server 255255255255Erster WINS-Server Zweiter WINS-Server Guumlltig seit Guumlltig bis
1 Ethernet Adapter
Beschreibung PPP AdapterPhysische Adresse 44-45-53-54-00-01DHCP aktiviert JaIP-Adresse 0000Subnet Mask 0000Standard-Gateway DHCP-Server 255255255255Erster WINS-Server Zweiter WINS-Server Guumlltig seit Guumlltig bis
2 Ethernet Adapter
Beschreibung Novell 2000 AdapterPhysische Adresse 00-00-E8-2F-15-FADHCP aktiviert JaIP-Adresse 1949613190Subnet Mask 2552552550Standard-Gateway 19496131DHCP-Server 19496138Erster WINS-Server Zweiter WINS-Server Guumlltig seit 090500 093526Guumlltig bis 090500 094526
3 WINIPCFG
Am besten uumlber [Start] ndash [Ausfuumlhren] aufrufen
4 TRACERT
Zeigt die Route eines IP-Pakets anSyntax TRACERT [-d] [-h Abschnitte max] [-j Host-Liste] [-w Timeout]ZielnameOptions
-d Adressen nicht zu Hostnamen auswerten-h Abschnitte max Max Anzahl an Abschnitten bei Zielsuche-j Host-Liste Loose Source Route gemaumlszlig Host-Liste-w Timeout Timeout in Millisekunden fuumlr eine Antwort
BeispielRoute-Verfolgung zu wwwyahooakadnsnet [216327452]uumlber maximal 30Abschnitte1 2 ms 3 ms 3 ms vianet-stpolten-gw01viaat [1949621118]2 5 ms 5 ms 6 ms vianet-stpolten-gw00viaat [1949621117]3 16 ms 32 ms 12 ms vianet-head-gw04viaat [194962105]4 22 ms 23 ms 14 ms atlas-atm4-1-0-460utaat [19570250101]5 22 ms 15 ms 16 ms ronos-atm9-0-0-597utaat 212152192245]6 31 ms 32 ms 29 ms 16412833897 31 ms 32 ms 37 ms i79zhh-035-FastEthernet6-1-0ip-plusnet
[1641283667]8 120 ms 186 ms 126 ms i00ny-015-Pos0-0-0ip-plusnet
[16412835118]9 537 ms 120 ms 121 ms exodus-nycip-plusnet [16412823646]
10 121 ms 154 ms 136 ms bbr02g3-0jrcy01exodusnet [2096745254]11 129 ms 127 ms 135 ms bbr01-p5-0stng01exodusnet [209185998]12 130 ms 129 ms 162 ms dcr03-g9-0stng01exodusnet [2163396145]13 129 ms 131 ms 178 ms 21633981814 128 ms 134 ms 173 ms 2163521012215 136 ms 132 ms 128 ms wwwyahooakadnsnet [216327452]
Route-Verfolgung beendet
5 ARP (Adress Resolution Protocol)
Aumlndert und zeigt die Uumlbersetzungstabellen fuumlr IP-Adressenphysi-sche Adressen an die vom ARP (Address Resolution Protocol)verwendet werden
ParameterARP -s IP_Adr Eth_Adr [Schnittst]ARP -d IP_Adr [Schnittst]ARP -a [IP_Adr] [-N Schnittst]-a Zeigt aktuelle ARP-Eintraumlge durch Abfrage der Protokoll-
daten an Falls IP_Adr angegeben wurde werden die IP- undphysische Adresse fuumlr den angegebenen Computer angezeigtWenn mehr als eine Netzwerkschnittstelle ARP verwendetwerden die Eintraumlge fuumlr jede ARP-Tabelle angezeigt
-g Gleiche Funktion wie -aIP_Adr Gibt eine Internet-Adresse an-N Schnittst Zeigt die ARP-Eintraumlge fuumlr die angegebene Netzwerk-
schnittstelle an-d Loumlscht den durch IP_Adr angegebenen Host-Eintrag-s Fuumlgt einen Host-Eintr hinzu und ordnet die Internet-Adresse
der physischen Adresse zu Die physische Adresse wird durch6 hexadezimale durch Bindestrich getrennte Bytes angegebenDer Eintrag ist permanent
Eth_Adr Gibt eine physische Adresse (Ethernet-Adresse) anSchnittst Gibt falls vorhanden die Internet-Adresse der
Schnittstelle an deren Uumlbersetzungstabelle geaumlndert werdensoll Sonst wird die erste geeignete Schnittstelleverwendet
Beispielgt arp -s 1575585212 00-aa-00-62-c6-09 Fuumlgt einen statischen Eintrag hinzu
gt arp -a Zeigt die Arp-Tabelle an
6 NETSTAT
Zeigt bestehende Netzwerkverbindungen an
Beispiel fuumlr netstatCWIN98gtnetstatAktive VerbindungenProto Lokale Adresse Remote-Adresse StatusTCP nr1026 I406nbsession ESTABLISHEDTCP nr1037 wwwbrowserat80 ESTABLISHEDTCP nr1045 WWWIFI80 ESTABLISHED
officezahlerat Christian Zahler PCNEWS-70 November 200061
Installation einer Website SYSTEM
7 ROUTE
Manipulation und Anzeige der Routingtabelle des Betriebssys-tems
Beispiel fuumlr routeCWIN98gtroute printAktive RoutenNetzwerkadresse Subnet Mask Gateway Schnittstelle Anzahl
0000 0000 1921682100 1921682104 1127000 255000 127001 127001 1
19216820 2552552550 1921682104 1921682104 11921682104 255255255255 127001 127001 11921682255 255255255255 1921682104 1921682104 1
224000 224000 1921682104 1921682104 1255255255255 255255255255 1921682104 0000 1CWIN98gt
Der Internet Information Server
Waumlhlen Sie Start ndash Programme ndash Windows NT 40 Option Pack ndash
Microsoft Internet Information Server ndash Internet-Dienstmanager
Es wird die Microsoft Management Konsole (MMCEXE) aufge-rufen Die MMC ist ein allgemeines Werkzeug zur Verwaltung vonServerdiensten sie wird in Windows 2000 zu einem zentralenAdministrationstool
Die Konsole kann mit sogenannten ldquoSnap-Insrdquo fuumlr verschiedeneAdminis t ra t ionsaufgaben konf igur ier t werden (Menuuml
[Konsole]-[Snap-In hinzufuumlgenloumlschen] bzw laquoStrgraquolaquoMraquo) dieEinstellungen werden in Konfigurationsdateien gespeichert
Ruft man den Internet-Dienstmanager auf so wird bereits einevorkonfigurierte Einstellung (Datei IISMSC) aufgerufen die dieAdministration der Internet-Serverdienste stark vereinfacht
FTP-Server einrichten und testen
FTP von der Serverseite aus gesehen ndash Einrichten undKonfigurieren des FTP-Dienstes im Internet InformationServer
Schritt 1
Es ist oft sinnvoll einen Webauftritt eines Kunden uumlber eine eige-ne IP-Adresse zu realisieren Dazu muss es aber moumlglich seinder Netzwerkkarte des Webservers mehrere IP-Adressen zuzu-
weisen Dies realisiert man in den erweiterten TCPIP-Einstellun-gen
Start - Einstellungen - Systemsteuerung - Netzwerk - Protokolle -
TCPIP-Protokoll - Optionen - Hinzufuumlgen - IP-Adresse eingeben
Nicht vergessen auch in der HOSTS-Datei eintragen
Schritt 2
Im Explorer (inetpub) root-Verzeichnis anlegen
In diesem BeispielCINetPubKunde1_101
Schritt 3
Klicken Sie mit der rechten Maustaste auf den Servernamen (inder Abbildung etwa nt701) und waumlhlen Sie aus dem Kontextme-nuuml [Neu]-[FTP-Site]
62 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
officezahlerat Christian Zahler PCNEWS-70 November 200063
Installation einer Website SYSTEM
Schritt 4
Start - Programme - Verwaltung (allgemein) - Benutzermanager fuumlr
Domaumlnen
Benutzer - Neu - Ausfuumlllen - Einstellungen vornehmen - Hinzufuumlgen
Richtlinien - Benutzerrechte - lokale anmeldung waumlhlen - Hinzufuumlgen ndash
Benutzer anzeigen - auswaumlhlen - ok
Schritt 5
Start - Programme - NT Explorer - Kundenverzeichnis auswaumlhlen -
rechte Maustaste - Eigenschaften - Sicherheit - Berechtigungen
bdquoBerechtigungen fuumlr existierende Dateien ersetzenldquo auswaumlhlen
Einstellungen vornehmen
Schritt 6
Management Konsole ndash Kontextmenuuml des FTP-Dienstes des neuenKunden auswaumlhlen - Eigenschaften - Sicherheitskonten ndash bdquoNur
anonyme Verbindungen erlaubenldquo deaktivieren
FTP von der Anwenderseite aus gesehen ndash FTP-Ser-ver testen
Mit FTP koumlnnen Sie Dateien von Ihrem Rechner auf einen ent-fernten Server uumlbertragen (Upload) oder von einem entferntenServer Dateien auf Ihren Rechner laden (Download)
Der FTP-Dienst ist auf verschiedene Art und Weise nutzbar
a) FTP-Programme
Beispiele
WS-FTP
FTPVoyager
CuteFTP
Es soll hier das Programm WS-FTP95 kurz erlaumlutert werden
1 Starten Sie das Programm WS-FTP95
2 Legen Sie ein Profil mit folgenden Eintraumlgen an (Klicken Sieauf die Schaltflaumlche bdquoNewldquo)
3 Mit OK verbinden Sie sich zum PIAKREMS-FTP-Server Linkssehen Sie die Verzeichnis-Laufwerksstruktur Ihres eigenen
64 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Rechners rechts sehen Sie die Verzeichnisstruktur desFTP-Servers mit dem Sie verbunden sind
4 Mit den Pfeilen in der Mitte koumlnnen Sie markierte Dateien vonIhrer Festplatte (links) auf den Server (rechts) kopieren oder um-gekehrt
b) Manuelle FTP-Sitzung
Aufruf
ftp Servername
FTP-Befehle delete literal prompt send debug ls put statusappend dir mdelete pwd traceascii disconnect mdir quit typebell get mget quote userbinary glob mkdir recv verbosebye hash mls remotehelpcd help mput renameclose lcd open rmdir
dir remote Verzeichnis auflisten
cd lcd Verzeichnis wechseln remote local
pwd aktuelles Verzeichnis
get mget Dateien von remote nach local kopieren
put mput Dateien von local nach remote kopieren
binary auf binaumlren Transfer (Programme Images ) um-schalten
prompt Bestaumltigung abschalten
user als Benutzer einloggen
open close Verbindung oumlffnen schlieszligen
Hilfe anzeigen
quit bye Programm beenden
Beispiel fuumlr eine manuelle FTP-Sitzung (Benutzereingabensind kursiv dargestellt)
CWIN98gtftp off97noewifiatVerbindung mit off97noewifiat220 wifi2 Microsoft FTP Service (Version 30)Benutzer (off97noewifiat(none)) user401331 Password required for user401Kennwort230-Herzlich Willkommen am Wifi Ftp-Server 230 User user401 logged inFtpgt dir200 PORT command successful150 Opening ASCII mode data connection for binlsd--------- 1 owner group 0 Aug 19 1999 kidsd--------- 1 owner group 0 Feb 17 1998 kktn---------- 1 owner group 0 Aug 18 1999 testtxt---------- 1 owner group 0 Aug 19 1999test3txt226 Transfer complete
Ftp 269 Bytes empfangen in 016Sekunden 168KBSekFtpgt get testtxt200 PORT command successful150 Opening ASCII mode data connection for testtxt(0 bytes)226 Transfer completeFtpgt put xxxhtm
200 PORT command successful150 Opening ASCII mode data connection for xxxhtm226 Transfer completeFtp 1777 Bytes gesendet in 000Sekunden 177700000KBSekFtpgt pwd257 is current directoryFtpgt quit221 Auf Wiedersehen
Wenn Sie als anonymer FTP-Nutzer arbeiten wollen so gebenSie als Benutzername anonymous an als Kennwort Ihre eigeneE-Mail-Adresse (Es ist kein Passwort noumltig allerdings verlangendie Regeln der Netiquette eine derartige ndash freiwillige ndash Identifizie-rung)
c) FTP uumlber den Browser
Auch uumlber Browser-Software ist eingeschraumlnkter FTP-Betriebmoumlglich Waumlhrend Downloads problemlos moumlglich sind koumlnnenUploads nicht durchgefuumlhrt werden
Wichtig Sollten Sie fuumlr den FTP-Server einen Benutzernamenund ein Kennwort eingeben muumlssen dann waumlhlen Sie bitte fol-gende Syntax fuumlr die Adresszeile des BrowsersftpBenutzernameKennwortftpserverat
(Anmerkung Das Passwort in der obigen Abbildung wurde abge-deckt bzw veraumlndert)
Der WWW-Dienst im IIS
Zunaumlchst legt man fuumlr den Kunden einen virtuellen Webserver(Website) an
officezahlerat Christian Zahler PCNEWS-70 November 200065
Installation einer Website SYSTEM
bdquoHandelnldquo mit Websites
Besitzt man mehrere IP-Adressen so kann man damit bdquohandelnldquodh der Webseite eines Kunden eine eigene IP-Adresse zuweisen
Dafuumlr gibt es mehrere Varianten
a) Zuordnung in der HOSTS-Datei1921682229 501_k1ilgedu1921682229 501_k2ilgedu
b) Host-Header-Name im IIS
Dem Kunden wird zunaumlchst eine eigene Seite mit eigenerIP-Adresse zugewiesen
Klick auf bdquoErweitertldquo liefert die Moumlglichkeit dieser Seite einenoder mehrere bdquoHost-Header-Namenldquo zuzuweisen
Es ist also denkbar ein und dieselbe Webseite mit mehreren Do-main-Namen aufzurufen (Aumlltere Browser unterstuumltzen dieseFunktion allerdings nicht)
Es gibt 3 Moumlglichkeiten verschiedene Webs an einem Server zubetreiben
verschiedene IP-Adressen
verschiedene Ports
verschiedene Host-Header-Namen (virtuelle Server)
66 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Schutz von Kindern und Jugendlichen durch RSA-Ci-Filter und PICS-Labels
Quellen
wwww3orgPICS
wwwrsacorg oder wwwicraorg
RSACi = Recreational Software Advisory Council for the Internet
Das RSACi-System ist ein Filtersystem fuumlr jugendgefaumlhrdende In-halte im Web das von der ICRA (Internet Content Rating Associa-tion) verwaltet wird Ziel dieses Systems ist die Gewaumlhrleistungder bdquoRedefreiheitldquo im Internet einerseits der Schutz von Kindernund Jugendlichen vor gefaumlhrlichen oder anstoumlszligigen Inhaltenandererseits
Das RSACi-System ist im Internet Explorer integriert Eltern koumln-nen ndash gesichert durch ein Supervisor-Kennwort ndash den Level be-stimmen der angezeigt werden soll
Fuumlr jeden RSACi-Label gibt es vier Sicherheitsstufen
Gewalt Nacktheit Sex Sprache
Level 4 Vergewalt i-gungen oderwillkuumlrlichebrutale Ge-waltakte
provozieren-de Nacktauf-nahmen vonvorn fotogra-fiert
Sexua l ve r-brechen oderb r u t a l e deutliche se-xuel le Vor-gaumlnge
Rohe vulgauml-re Sprachefreizuumlgige se-xuel le An-spielungen
Level 3 Agg re s s i veGewalt oderToumlten vonMenschen
VollstaumlndigeN a c k t h e i t von vorn fo-tografiert
Sexuelle Vor-gaumlnge
Deftige vul-gaumlre oderhasser fuumll l teSprechweiseo b s z ouml n eKraftausdruuml-cke
Level 2 Ze r s touml rungrealistischerObjekte
Te i l w e i s eNacktheit
Sexuelle Be-r uuml h r u n g e nim bekleide-ten Zustand
Kraftausdruuml-cke nicht se-xuell bezoge-ne anatomi-sche Anspie-lungen
Level 1 V e r l e t z e nvon Men-schen
AufreizendeBekleidung
L e i d e n-scha f t l i cheKuumlsse
S c h w a c h eKraftausdruuml-cke mi ldeA u s d r uuml c k efuumlr Koumlrper-funktionen
Level 0 Keine derobigen oderim Zusam-menhang mitSport
Keine derobigen
Keine derobigen oderldquounschuldi-gerdquo KuumlsseRomantik
Keine derobigen
Eine genauere Beschreibung der ICRA finden Sie in einem Doku-ment bei der Web-Version dieses Beitrags (icratxt)
officezahlerat Christian Zahler PCNEWS-70 November 200067
Installation einer Website SYSTEM
SSL und HTTPS
Der Microsoft Certificate Server (SSL und HTTPS)
Grundlagen der Kryptographie
Die Sicherheit der Datenuumlbertragung uumlber das Internet laumlsst sichdeutlich erhoumlhen wenn die Dateien nicht im Klartext uumlbertragenwerden sondern durch Verschluumlsselungsalgorithmen unlesbargemacht werden
(Quelle Microsoft Hilfe)
Man unterscheidet zwei Gruppen von Verschluumlsselungsverfah-ren
Symmetrische Verfahren Hier wird derselbe Schluumlssel zur Ver-und Entschluumlsselung verwendet
Asymmetrische Verfahren Hier werden zwei verschiedene Schluumls-sel verwendet ein bdquooumlffentlicher Schluumlsselldquo (public key) und einbdquoprivater Schluumlsselldquo (private key)
(Quelle Microsoft Hilfe)
Der MS Certificate Server ist im MS Option Pack fuumlr Windows NT40 enthalten wird aber standardmaumlszligig nicht mit installiert Ermuss entweder nach installiert werden oder wurde bereits mitder Vollinstallation des Option Packs mit installiert
Der MS Certificate Server erzeugt Zertifikate im X509-Format
Bei der Installation des Zertifikatsservers wird ein ldquoNotarrdquo instal-liert der selbst Zertifikate ausstellen kann Ein solcher ldquoNotarrdquo(Zertifizierungsinstanz englisch Certificate Agency CA) benoumltigtselbst nur ein so genanntes Basiszertifikat Solche Zertifikate gel-ten als ldquoabsolut vertrauenswuumlrdigrdquo und werden durch keine wei-tere Instanz bestaumltigt Basiszertifikate haben international natuumlr-lich nur dann Gewicht wenn die Organisation einen hohen Be-kanntheitsgrad bzw ein hohes Vertrauen des Publikums genieszligt
Moumlchte man eine Seite international guumlltig zertifizieren lassen so
gibt es dazu anerkannte Zertifizierungsinstitute
httpwwwverisigncom
68 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Ab jetzt ist es moumlglich Schluumlssel zu erstellen die vom eben instal-lierten Zertifikatsserver ldquosigniertrdquo werden koumlnnen
Das Eigenzertifikat wird im angegebenen Freigabeordner (hierCcert) abgelegt
Uumlberpruumlfen der Schluumlsselkonfiguration
Cgtcertutil -dumpEintrag 0Name WIFIOrganisationseinheit EDVOrganisation WIFI NiederoesterreichOrt St PoeltenBundesland NiederoesterreichLand ATKonfiguration I1WIFIAustauschzertifikat I1_WIFI_ExchangecrtSignaturzertifikat I1_WIFIcrtBeschreibung Test-Instanz
Erstellen eines eigenen Schluumlssels
Der naumlchste Schritt ist die Erstellung eines eigenen Schluumlsselpaa-res Der Schluumlssel muss natuumlrlich von einer Zertifizierungsinstitu-tion bestaumltigt werden Wir koumlnnten die Anforderung entweder anVerisign schicken oder von unserem eigenen Zertifizierungsser-ver bestaumltigen lassen
Rufen Sie dazu von der Microsoft Management-Konsole aus denSchluumlssel-Manager auf
Klicken Sie den abzusichernden Dienst (im allgemeinen WWW)mit der rechten Maustaste an und waumlhlen Sie [Neuen Schluumlssel
erstellen]
Wir haben nun folgende Situation Es wurde ein Schluumlssel er-stellt der bereits zur Bestaumltigung der Zertifizierungsinstanz ist
officezahlerat Christian Zahler PCNEWS-70 November 200069
Installation einer Website SYSTEM
Gleichzeitig wurde der Schluumlssel in einer Zertifizierungsanforde-rungsdatei gespeichert in unserem Fall c101ilgtxt
Diese Datei sieht folgendermaszligen aus
Als naumlchster Schritt wird die Anforderung an der Zertifikatsservergeschickt (wir verwenden unseren eigenen) der eine Bestaumltigung(digitale Signatur) durchfuumlhren soll Dafuumlr gibt es vorinstallierteHilfsprogramme aufrufbar unter
70 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Nun ist der Schluumlssel vollstaumlndig und kann verwendet werden
Absichern eines Verzeichnisses durch SSL
Vorbereitung Erstellen Sie ein Verzeichnis unterhalb eines virtu-ellen Servers eines Kunden Legen Sie eine HTML-Datei in die-ses Verzeichnis
Im folgenden Beispiel wurde unterhalb des virtuellen WWW-Ser-vers Kunde1_i1_WWW ein Verzeichnis verz angelegt das eineDatei ssltesthtm enthaumllt
Rufen Sie die Ei-genschaften desabzus icherndenVerzeichnisses imI IS (MMC) aufdann waumlhlen Siedie Kar te ikar teldquoVerzeichnissicher-heitrdquo Dort klickenSie im AbschnittldquoSichere Kommu-nikationrdquo auf dieSchaltflaumlche ldquoBe-arbeitenrdquo
officezahlerat Christian Zahler PCNEWS-70 November 200071
Installation einer Website SYSTEM
Kennwort einge-ben (dasselbe wiebei der Erzeugungdes Schluumlssels)
Nun muss noch eine Portnummer fuumlr die SSL-Kommunikationvergeben werden wir verwenden 443
Tests
Eingabe von httpssltesthtm schlaumlgt fehl
Erst durch das Protokoll https ist eine Anzeige der Datei moumlg-lich
ArbeitsplanCertificate ServerHTTPS - Secure socket layer
Certificate Server von Option Disk installieren
CA-Zertifikat (Basiszertifikat Sitezertifikat) erstellen
Name der Zertifizierungsinstanz Elektronischer Notar x x steht fuumlr denComputernamen zB 701
Im Anforderungsformular fuumlr das CA-Zertifikat duumlrfen keine Beistricheverwendet werden Beistriche werden als Feldende interpretiert und eswird eine unguumlltige Anforderung ohne Fehlerwarnung erstellt
Uumlberpruumlfen der Konfigurationsinformation CertUtil -dump Gibt den In-halt der Datei CertSrvtxt aus
Browserinstallation des CA-Zertifikats
IE50 Extras Internetoptionen Inhalt Zertifikate VertrauenswuumlrdigeStammzertifizierungsstellen
Hinweise auf RegistryeintraumlgeHKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyMachineKeysHKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesHKEY_LOCAL_MACHINESYSTEMControlSetControlSecurityProviders
Ordner fuumlr Konfigurationsdateien cmscf
cacertshtm Liste der Zertifikate der Zertifizierungsinstanz
Internetdienstmanager
Schluumlsselmanager
WWW Rechtsklick - Neuen Schluumlssel erstellen
Anforderung als Datei speichern die an eine Instanz gesendet wirdcCertsNewKeyReqtxt zB 701ilgedureqtxt
Schluumlsselname Computername und key zB 701key
Bei allgemeinem Namen IP-Adresse oder friendly name angeben
ccerts certreq newkeyrqtxt neqkeyaw zB 701ilgeduaw
Schluumlsselmanager Schluumlsselzertifikat installieren
Verzeichnis mit Verzeichnissicherheit einrichten RegisterkarteVerzeichnissicherheit Beim Zugriff auf diese Ressource sicherenChannel verlangen mit HTTPS anwaumlhlen
Versuche
CA-Zertifikat ist nicht (im Browser) installiert Das Sicherheitszertifikatwurde von einer Firma ausgestellt die Sie nicht als vertrauenswuumlrdig ein-gestuft haben Untersuchen Sie das Zertifikat um festzustellen ob Sie derausstellenden Institution vertrauen moumlchten
Schlosssymbol in Statuszeile als Zeichen fuumlr sichere Kommunikation
Angaben bei Allgemeiner Name stimmt nicht mit Namen beiDNS-Suchvorgang uumlberein Meldung Der auf dem Sicherheitszertifikatangegebene Name stimmt nicht mit dem Namen der Site uumlberein
72 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Der Internet-Server-Administrator hat ein Routing fuumlr folgendenAdressbereich eingetragen
192168201100 192168201101 192168201115 Beispiel
Als Gateway dient die Adresse1921682011 Beispiel
In anderen Netzen sind die dort geltenden IP-Adressen anzuge-ben
Nun fehlt noch ein Eintrag fuumlr den Domain Name Server KlickenSie dazu auf die Karteikarte bdquoDNSldquo Dort klicken Sie aufbdquoHinzufuumlgenldquo und tragen die Adresse des DNS-Servers ein
Es sind im allgemeinen immer zwei DNS-Server definiert hier
1949613319496134
Dann fahren Sie den Rechner wieder hoch und probieren aus obSie das eben installierte Gateway nuumltzen koumlnnen um im Internetzu surfen
Domain Name Service (DNS) Zuordnen von Com-puternamen zu IP-Adressen
(a) uumlber einen DNS-Server
(b) dynamisch
DHCP-Server noumltig (DHCP = dynamic host configuration proto-col)
(c) Statisch
Datei HOSTS im VerzeichnisWINNTSYSTEM32DRIVERSETC
bearbeiten mit Editor Copyright (c) 1993-1995 Microsoft Corp This is a sample HOSTS file used by Microsoft TCPIP for Windows NT This file contains the mappings of IP addresses to host names Each entry should be kept on an individual line The IP address should be placed in the first column followed by the corresp host name The IP address and the host name should be separated by at least one space Additionally comments (such as these) may be inserted on individual lines or following the machine name denoted by a symbol For example 102549497 rhinoacmecom source server 38256310 xacmecom x client host127001 localhost19216801 ilgat
Diese Datei ordnet jeder IP-Adresse einen DNS-Namen (ldquofriendlynamerdquo) zu
Im selben Verzeichnis befindet sich auch die LMHOSTS-Dateidie die Zuordnung von IP-Adressen zu NetBIOS-Namen regelt(NetBIOS-Namen werden als ldquoPC-IDrdquo von Win-NT standardmauml-szligig verwendet)
Wichtig Jeder PC im Intranet muss dieselbe HOSTS-Datei be-kommen da sonst der Server nicht mit dem friendly name ange-sprochen werden kann (Also Datei auf jeden PC im Netz kopie-ren)
Diagnose- und Konfigurationsprogramme
1 PING
Versucht 4 IP-Pakete an einen Host-Rechner zu senden ZweckUumlberpruumlfung der Funktionsfaumlhigkeit von NetzwerkverbindungenCWINDOWSgtping 10006Ping wird ausgefuumlhrt fuumlr 10006 mit 32 Bytes DatenAntwort von 10006 Bytes=32 Zeitlt10ms TTL=128Antwort von 10006 Bytes=32 Zeitlt10ms TTL=128Antwort von 10006 Bytes=32 Zeitlt10ms TTL=128Antwort von 10006 Bytes=32 Zeitlt10ms TTL=128Ping-Statistik fuumlr 10006
Pakete Gesendet = 4 Empfangen = 4 Verloren = 0 (0 Verlust)Ca Zeitangaben in Millisek
Minimum = 0ms Maximum = 0ms Mittelwert = 0ms
2 IPCONFIG
Gibt Informationen uumlber die Windows IP-Konfiguration aus
Parameter ALL gibt auch Informationen uumlber die MAC-Adresseaus
Beispiel 1 Ausgabe ohne Parameter ALLWindows 98 IP-Konfiguration0 Ethernet Adapter
IP-Adresse 0000Subnet Mask 0000Standard-Gateway
1 Ethernet Adapter IP-Adresse 10006Subnet Mask 255000Standard-Gateway 19317024418
Beispiel 2 Ausgabe mit Parameter ALL
Windows 98 IP-KonfigurationHostname KKTNnoewifiatDNS-Server 19496133
60 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
19496135Knotentyp BroadcastNetBIOS-Bereichs-ID IP-Routing aktiviert NeinWINS-Proxy aktiviert NeinNetBIOS-Auflrdquosung mit DNS Nein
0 Ethernet Adapter
Beschreibung PPP AdapterPhysische Adresse 44-45-53-54-00-00DHCP aktiviert JaIP-Adresse 0000Subnet Mask 0000Standard-Gateway DHCP-Server 255255255255Erster WINS-Server Zweiter WINS-Server Guumlltig seit Guumlltig bis
1 Ethernet Adapter
Beschreibung PPP AdapterPhysische Adresse 44-45-53-54-00-01DHCP aktiviert JaIP-Adresse 0000Subnet Mask 0000Standard-Gateway DHCP-Server 255255255255Erster WINS-Server Zweiter WINS-Server Guumlltig seit Guumlltig bis
2 Ethernet Adapter
Beschreibung Novell 2000 AdapterPhysische Adresse 00-00-E8-2F-15-FADHCP aktiviert JaIP-Adresse 1949613190Subnet Mask 2552552550Standard-Gateway 19496131DHCP-Server 19496138Erster WINS-Server Zweiter WINS-Server Guumlltig seit 090500 093526Guumlltig bis 090500 094526
3 WINIPCFG
Am besten uumlber [Start] ndash [Ausfuumlhren] aufrufen
4 TRACERT
Zeigt die Route eines IP-Pakets anSyntax TRACERT [-d] [-h Abschnitte max] [-j Host-Liste] [-w Timeout]ZielnameOptions
-d Adressen nicht zu Hostnamen auswerten-h Abschnitte max Max Anzahl an Abschnitten bei Zielsuche-j Host-Liste Loose Source Route gemaumlszlig Host-Liste-w Timeout Timeout in Millisekunden fuumlr eine Antwort
BeispielRoute-Verfolgung zu wwwyahooakadnsnet [216327452]uumlber maximal 30Abschnitte1 2 ms 3 ms 3 ms vianet-stpolten-gw01viaat [1949621118]2 5 ms 5 ms 6 ms vianet-stpolten-gw00viaat [1949621117]3 16 ms 32 ms 12 ms vianet-head-gw04viaat [194962105]4 22 ms 23 ms 14 ms atlas-atm4-1-0-460utaat [19570250101]5 22 ms 15 ms 16 ms ronos-atm9-0-0-597utaat 212152192245]6 31 ms 32 ms 29 ms 16412833897 31 ms 32 ms 37 ms i79zhh-035-FastEthernet6-1-0ip-plusnet
[1641283667]8 120 ms 186 ms 126 ms i00ny-015-Pos0-0-0ip-plusnet
[16412835118]9 537 ms 120 ms 121 ms exodus-nycip-plusnet [16412823646]
10 121 ms 154 ms 136 ms bbr02g3-0jrcy01exodusnet [2096745254]11 129 ms 127 ms 135 ms bbr01-p5-0stng01exodusnet [209185998]12 130 ms 129 ms 162 ms dcr03-g9-0stng01exodusnet [2163396145]13 129 ms 131 ms 178 ms 21633981814 128 ms 134 ms 173 ms 2163521012215 136 ms 132 ms 128 ms wwwyahooakadnsnet [216327452]
Route-Verfolgung beendet
5 ARP (Adress Resolution Protocol)
Aumlndert und zeigt die Uumlbersetzungstabellen fuumlr IP-Adressenphysi-sche Adressen an die vom ARP (Address Resolution Protocol)verwendet werden
ParameterARP -s IP_Adr Eth_Adr [Schnittst]ARP -d IP_Adr [Schnittst]ARP -a [IP_Adr] [-N Schnittst]-a Zeigt aktuelle ARP-Eintraumlge durch Abfrage der Protokoll-
daten an Falls IP_Adr angegeben wurde werden die IP- undphysische Adresse fuumlr den angegebenen Computer angezeigtWenn mehr als eine Netzwerkschnittstelle ARP verwendetwerden die Eintraumlge fuumlr jede ARP-Tabelle angezeigt
-g Gleiche Funktion wie -aIP_Adr Gibt eine Internet-Adresse an-N Schnittst Zeigt die ARP-Eintraumlge fuumlr die angegebene Netzwerk-
schnittstelle an-d Loumlscht den durch IP_Adr angegebenen Host-Eintrag-s Fuumlgt einen Host-Eintr hinzu und ordnet die Internet-Adresse
der physischen Adresse zu Die physische Adresse wird durch6 hexadezimale durch Bindestrich getrennte Bytes angegebenDer Eintrag ist permanent
Eth_Adr Gibt eine physische Adresse (Ethernet-Adresse) anSchnittst Gibt falls vorhanden die Internet-Adresse der
Schnittstelle an deren Uumlbersetzungstabelle geaumlndert werdensoll Sonst wird die erste geeignete Schnittstelleverwendet
Beispielgt arp -s 1575585212 00-aa-00-62-c6-09 Fuumlgt einen statischen Eintrag hinzu
gt arp -a Zeigt die Arp-Tabelle an
6 NETSTAT
Zeigt bestehende Netzwerkverbindungen an
Beispiel fuumlr netstatCWIN98gtnetstatAktive VerbindungenProto Lokale Adresse Remote-Adresse StatusTCP nr1026 I406nbsession ESTABLISHEDTCP nr1037 wwwbrowserat80 ESTABLISHEDTCP nr1045 WWWIFI80 ESTABLISHED
officezahlerat Christian Zahler PCNEWS-70 November 200061
Installation einer Website SYSTEM
7 ROUTE
Manipulation und Anzeige der Routingtabelle des Betriebssys-tems
Beispiel fuumlr routeCWIN98gtroute printAktive RoutenNetzwerkadresse Subnet Mask Gateway Schnittstelle Anzahl
0000 0000 1921682100 1921682104 1127000 255000 127001 127001 1
19216820 2552552550 1921682104 1921682104 11921682104 255255255255 127001 127001 11921682255 255255255255 1921682104 1921682104 1
224000 224000 1921682104 1921682104 1255255255255 255255255255 1921682104 0000 1CWIN98gt
Der Internet Information Server
Waumlhlen Sie Start ndash Programme ndash Windows NT 40 Option Pack ndash
Microsoft Internet Information Server ndash Internet-Dienstmanager
Es wird die Microsoft Management Konsole (MMCEXE) aufge-rufen Die MMC ist ein allgemeines Werkzeug zur Verwaltung vonServerdiensten sie wird in Windows 2000 zu einem zentralenAdministrationstool
Die Konsole kann mit sogenannten ldquoSnap-Insrdquo fuumlr verschiedeneAdminis t ra t ionsaufgaben konf igur ier t werden (Menuuml
[Konsole]-[Snap-In hinzufuumlgenloumlschen] bzw laquoStrgraquolaquoMraquo) dieEinstellungen werden in Konfigurationsdateien gespeichert
Ruft man den Internet-Dienstmanager auf so wird bereits einevorkonfigurierte Einstellung (Datei IISMSC) aufgerufen die dieAdministration der Internet-Serverdienste stark vereinfacht
FTP-Server einrichten und testen
FTP von der Serverseite aus gesehen ndash Einrichten undKonfigurieren des FTP-Dienstes im Internet InformationServer
Schritt 1
Es ist oft sinnvoll einen Webauftritt eines Kunden uumlber eine eige-ne IP-Adresse zu realisieren Dazu muss es aber moumlglich seinder Netzwerkkarte des Webservers mehrere IP-Adressen zuzu-
weisen Dies realisiert man in den erweiterten TCPIP-Einstellun-gen
Start - Einstellungen - Systemsteuerung - Netzwerk - Protokolle -
TCPIP-Protokoll - Optionen - Hinzufuumlgen - IP-Adresse eingeben
Nicht vergessen auch in der HOSTS-Datei eintragen
Schritt 2
Im Explorer (inetpub) root-Verzeichnis anlegen
In diesem BeispielCINetPubKunde1_101
Schritt 3
Klicken Sie mit der rechten Maustaste auf den Servernamen (inder Abbildung etwa nt701) und waumlhlen Sie aus dem Kontextme-nuuml [Neu]-[FTP-Site]
62 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
officezahlerat Christian Zahler PCNEWS-70 November 200063
Installation einer Website SYSTEM
Schritt 4
Start - Programme - Verwaltung (allgemein) - Benutzermanager fuumlr
Domaumlnen
Benutzer - Neu - Ausfuumlllen - Einstellungen vornehmen - Hinzufuumlgen
Richtlinien - Benutzerrechte - lokale anmeldung waumlhlen - Hinzufuumlgen ndash
Benutzer anzeigen - auswaumlhlen - ok
Schritt 5
Start - Programme - NT Explorer - Kundenverzeichnis auswaumlhlen -
rechte Maustaste - Eigenschaften - Sicherheit - Berechtigungen
bdquoBerechtigungen fuumlr existierende Dateien ersetzenldquo auswaumlhlen
Einstellungen vornehmen
Schritt 6
Management Konsole ndash Kontextmenuuml des FTP-Dienstes des neuenKunden auswaumlhlen - Eigenschaften - Sicherheitskonten ndash bdquoNur
anonyme Verbindungen erlaubenldquo deaktivieren
FTP von der Anwenderseite aus gesehen ndash FTP-Ser-ver testen
Mit FTP koumlnnen Sie Dateien von Ihrem Rechner auf einen ent-fernten Server uumlbertragen (Upload) oder von einem entferntenServer Dateien auf Ihren Rechner laden (Download)
Der FTP-Dienst ist auf verschiedene Art und Weise nutzbar
a) FTP-Programme
Beispiele
WS-FTP
FTPVoyager
CuteFTP
Es soll hier das Programm WS-FTP95 kurz erlaumlutert werden
1 Starten Sie das Programm WS-FTP95
2 Legen Sie ein Profil mit folgenden Eintraumlgen an (Klicken Sieauf die Schaltflaumlche bdquoNewldquo)
3 Mit OK verbinden Sie sich zum PIAKREMS-FTP-Server Linkssehen Sie die Verzeichnis-Laufwerksstruktur Ihres eigenen
64 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Rechners rechts sehen Sie die Verzeichnisstruktur desFTP-Servers mit dem Sie verbunden sind
4 Mit den Pfeilen in der Mitte koumlnnen Sie markierte Dateien vonIhrer Festplatte (links) auf den Server (rechts) kopieren oder um-gekehrt
b) Manuelle FTP-Sitzung
Aufruf
ftp Servername
FTP-Befehle delete literal prompt send debug ls put statusappend dir mdelete pwd traceascii disconnect mdir quit typebell get mget quote userbinary glob mkdir recv verbosebye hash mls remotehelpcd help mput renameclose lcd open rmdir
dir remote Verzeichnis auflisten
cd lcd Verzeichnis wechseln remote local
pwd aktuelles Verzeichnis
get mget Dateien von remote nach local kopieren
put mput Dateien von local nach remote kopieren
binary auf binaumlren Transfer (Programme Images ) um-schalten
prompt Bestaumltigung abschalten
user als Benutzer einloggen
open close Verbindung oumlffnen schlieszligen
Hilfe anzeigen
quit bye Programm beenden
Beispiel fuumlr eine manuelle FTP-Sitzung (Benutzereingabensind kursiv dargestellt)
CWIN98gtftp off97noewifiatVerbindung mit off97noewifiat220 wifi2 Microsoft FTP Service (Version 30)Benutzer (off97noewifiat(none)) user401331 Password required for user401Kennwort230-Herzlich Willkommen am Wifi Ftp-Server 230 User user401 logged inFtpgt dir200 PORT command successful150 Opening ASCII mode data connection for binlsd--------- 1 owner group 0 Aug 19 1999 kidsd--------- 1 owner group 0 Feb 17 1998 kktn---------- 1 owner group 0 Aug 18 1999 testtxt---------- 1 owner group 0 Aug 19 1999test3txt226 Transfer complete
Ftp 269 Bytes empfangen in 016Sekunden 168KBSekFtpgt get testtxt200 PORT command successful150 Opening ASCII mode data connection for testtxt(0 bytes)226 Transfer completeFtpgt put xxxhtm
200 PORT command successful150 Opening ASCII mode data connection for xxxhtm226 Transfer completeFtp 1777 Bytes gesendet in 000Sekunden 177700000KBSekFtpgt pwd257 is current directoryFtpgt quit221 Auf Wiedersehen
Wenn Sie als anonymer FTP-Nutzer arbeiten wollen so gebenSie als Benutzername anonymous an als Kennwort Ihre eigeneE-Mail-Adresse (Es ist kein Passwort noumltig allerdings verlangendie Regeln der Netiquette eine derartige ndash freiwillige ndash Identifizie-rung)
c) FTP uumlber den Browser
Auch uumlber Browser-Software ist eingeschraumlnkter FTP-Betriebmoumlglich Waumlhrend Downloads problemlos moumlglich sind koumlnnenUploads nicht durchgefuumlhrt werden
Wichtig Sollten Sie fuumlr den FTP-Server einen Benutzernamenund ein Kennwort eingeben muumlssen dann waumlhlen Sie bitte fol-gende Syntax fuumlr die Adresszeile des BrowsersftpBenutzernameKennwortftpserverat
(Anmerkung Das Passwort in der obigen Abbildung wurde abge-deckt bzw veraumlndert)
Der WWW-Dienst im IIS
Zunaumlchst legt man fuumlr den Kunden einen virtuellen Webserver(Website) an
officezahlerat Christian Zahler PCNEWS-70 November 200065
Installation einer Website SYSTEM
bdquoHandelnldquo mit Websites
Besitzt man mehrere IP-Adressen so kann man damit bdquohandelnldquodh der Webseite eines Kunden eine eigene IP-Adresse zuweisen
Dafuumlr gibt es mehrere Varianten
a) Zuordnung in der HOSTS-Datei1921682229 501_k1ilgedu1921682229 501_k2ilgedu
b) Host-Header-Name im IIS
Dem Kunden wird zunaumlchst eine eigene Seite mit eigenerIP-Adresse zugewiesen
Klick auf bdquoErweitertldquo liefert die Moumlglichkeit dieser Seite einenoder mehrere bdquoHost-Header-Namenldquo zuzuweisen
Es ist also denkbar ein und dieselbe Webseite mit mehreren Do-main-Namen aufzurufen (Aumlltere Browser unterstuumltzen dieseFunktion allerdings nicht)
Es gibt 3 Moumlglichkeiten verschiedene Webs an einem Server zubetreiben
verschiedene IP-Adressen
verschiedene Ports
verschiedene Host-Header-Namen (virtuelle Server)
66 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Schutz von Kindern und Jugendlichen durch RSA-Ci-Filter und PICS-Labels
Quellen
wwww3orgPICS
wwwrsacorg oder wwwicraorg
RSACi = Recreational Software Advisory Council for the Internet
Das RSACi-System ist ein Filtersystem fuumlr jugendgefaumlhrdende In-halte im Web das von der ICRA (Internet Content Rating Associa-tion) verwaltet wird Ziel dieses Systems ist die Gewaumlhrleistungder bdquoRedefreiheitldquo im Internet einerseits der Schutz von Kindernund Jugendlichen vor gefaumlhrlichen oder anstoumlszligigen Inhaltenandererseits
Das RSACi-System ist im Internet Explorer integriert Eltern koumln-nen ndash gesichert durch ein Supervisor-Kennwort ndash den Level be-stimmen der angezeigt werden soll
Fuumlr jeden RSACi-Label gibt es vier Sicherheitsstufen
Gewalt Nacktheit Sex Sprache
Level 4 Vergewalt i-gungen oderwillkuumlrlichebrutale Ge-waltakte
provozieren-de Nacktauf-nahmen vonvorn fotogra-fiert
Sexua l ve r-brechen oderb r u t a l e deutliche se-xuel le Vor-gaumlnge
Rohe vulgauml-re Sprachefreizuumlgige se-xuel le An-spielungen
Level 3 Agg re s s i veGewalt oderToumlten vonMenschen
VollstaumlndigeN a c k t h e i t von vorn fo-tografiert
Sexuelle Vor-gaumlnge
Deftige vul-gaumlre oderhasser fuumll l teSprechweiseo b s z ouml n eKraftausdruuml-cke
Level 2 Ze r s touml rungrealistischerObjekte
Te i l w e i s eNacktheit
Sexuelle Be-r uuml h r u n g e nim bekleide-ten Zustand
Kraftausdruuml-cke nicht se-xuell bezoge-ne anatomi-sche Anspie-lungen
Level 1 V e r l e t z e nvon Men-schen
AufreizendeBekleidung
L e i d e n-scha f t l i cheKuumlsse
S c h w a c h eKraftausdruuml-cke mi ldeA u s d r uuml c k efuumlr Koumlrper-funktionen
Level 0 Keine derobigen oderim Zusam-menhang mitSport
Keine derobigen
Keine derobigen oderldquounschuldi-gerdquo KuumlsseRomantik
Keine derobigen
Eine genauere Beschreibung der ICRA finden Sie in einem Doku-ment bei der Web-Version dieses Beitrags (icratxt)
officezahlerat Christian Zahler PCNEWS-70 November 200067
Installation einer Website SYSTEM
SSL und HTTPS
Der Microsoft Certificate Server (SSL und HTTPS)
Grundlagen der Kryptographie
Die Sicherheit der Datenuumlbertragung uumlber das Internet laumlsst sichdeutlich erhoumlhen wenn die Dateien nicht im Klartext uumlbertragenwerden sondern durch Verschluumlsselungsalgorithmen unlesbargemacht werden
(Quelle Microsoft Hilfe)
Man unterscheidet zwei Gruppen von Verschluumlsselungsverfah-ren
Symmetrische Verfahren Hier wird derselbe Schluumlssel zur Ver-und Entschluumlsselung verwendet
Asymmetrische Verfahren Hier werden zwei verschiedene Schluumls-sel verwendet ein bdquooumlffentlicher Schluumlsselldquo (public key) und einbdquoprivater Schluumlsselldquo (private key)
(Quelle Microsoft Hilfe)
Der MS Certificate Server ist im MS Option Pack fuumlr Windows NT40 enthalten wird aber standardmaumlszligig nicht mit installiert Ermuss entweder nach installiert werden oder wurde bereits mitder Vollinstallation des Option Packs mit installiert
Der MS Certificate Server erzeugt Zertifikate im X509-Format
Bei der Installation des Zertifikatsservers wird ein ldquoNotarrdquo instal-liert der selbst Zertifikate ausstellen kann Ein solcher ldquoNotarrdquo(Zertifizierungsinstanz englisch Certificate Agency CA) benoumltigtselbst nur ein so genanntes Basiszertifikat Solche Zertifikate gel-ten als ldquoabsolut vertrauenswuumlrdigrdquo und werden durch keine wei-tere Instanz bestaumltigt Basiszertifikate haben international natuumlr-lich nur dann Gewicht wenn die Organisation einen hohen Be-kanntheitsgrad bzw ein hohes Vertrauen des Publikums genieszligt
Moumlchte man eine Seite international guumlltig zertifizieren lassen so
gibt es dazu anerkannte Zertifizierungsinstitute
httpwwwverisigncom
68 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Ab jetzt ist es moumlglich Schluumlssel zu erstellen die vom eben instal-lierten Zertifikatsserver ldquosigniertrdquo werden koumlnnen
Das Eigenzertifikat wird im angegebenen Freigabeordner (hierCcert) abgelegt
Uumlberpruumlfen der Schluumlsselkonfiguration
Cgtcertutil -dumpEintrag 0Name WIFIOrganisationseinheit EDVOrganisation WIFI NiederoesterreichOrt St PoeltenBundesland NiederoesterreichLand ATKonfiguration I1WIFIAustauschzertifikat I1_WIFI_ExchangecrtSignaturzertifikat I1_WIFIcrtBeschreibung Test-Instanz
Erstellen eines eigenen Schluumlssels
Der naumlchste Schritt ist die Erstellung eines eigenen Schluumlsselpaa-res Der Schluumlssel muss natuumlrlich von einer Zertifizierungsinstitu-tion bestaumltigt werden Wir koumlnnten die Anforderung entweder anVerisign schicken oder von unserem eigenen Zertifizierungsser-ver bestaumltigen lassen
Rufen Sie dazu von der Microsoft Management-Konsole aus denSchluumlssel-Manager auf
Klicken Sie den abzusichernden Dienst (im allgemeinen WWW)mit der rechten Maustaste an und waumlhlen Sie [Neuen Schluumlssel
erstellen]
Wir haben nun folgende Situation Es wurde ein Schluumlssel er-stellt der bereits zur Bestaumltigung der Zertifizierungsinstanz ist
officezahlerat Christian Zahler PCNEWS-70 November 200069
Installation einer Website SYSTEM
Gleichzeitig wurde der Schluumlssel in einer Zertifizierungsanforde-rungsdatei gespeichert in unserem Fall c101ilgtxt
Diese Datei sieht folgendermaszligen aus
Als naumlchster Schritt wird die Anforderung an der Zertifikatsservergeschickt (wir verwenden unseren eigenen) der eine Bestaumltigung(digitale Signatur) durchfuumlhren soll Dafuumlr gibt es vorinstallierteHilfsprogramme aufrufbar unter
70 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Nun ist der Schluumlssel vollstaumlndig und kann verwendet werden
Absichern eines Verzeichnisses durch SSL
Vorbereitung Erstellen Sie ein Verzeichnis unterhalb eines virtu-ellen Servers eines Kunden Legen Sie eine HTML-Datei in die-ses Verzeichnis
Im folgenden Beispiel wurde unterhalb des virtuellen WWW-Ser-vers Kunde1_i1_WWW ein Verzeichnis verz angelegt das eineDatei ssltesthtm enthaumllt
Rufen Sie die Ei-genschaften desabzus icherndenVerzeichnisses imI IS (MMC) aufdann waumlhlen Siedie Kar te ikar teldquoVerzeichnissicher-heitrdquo Dort klickenSie im AbschnittldquoSichere Kommu-nikationrdquo auf dieSchaltflaumlche ldquoBe-arbeitenrdquo
officezahlerat Christian Zahler PCNEWS-70 November 200071
Installation einer Website SYSTEM
Kennwort einge-ben (dasselbe wiebei der Erzeugungdes Schluumlssels)
Nun muss noch eine Portnummer fuumlr die SSL-Kommunikationvergeben werden wir verwenden 443
Tests
Eingabe von httpssltesthtm schlaumlgt fehl
Erst durch das Protokoll https ist eine Anzeige der Datei moumlg-lich
ArbeitsplanCertificate ServerHTTPS - Secure socket layer
Certificate Server von Option Disk installieren
CA-Zertifikat (Basiszertifikat Sitezertifikat) erstellen
Name der Zertifizierungsinstanz Elektronischer Notar x x steht fuumlr denComputernamen zB 701
Im Anforderungsformular fuumlr das CA-Zertifikat duumlrfen keine Beistricheverwendet werden Beistriche werden als Feldende interpretiert und eswird eine unguumlltige Anforderung ohne Fehlerwarnung erstellt
Uumlberpruumlfen der Konfigurationsinformation CertUtil -dump Gibt den In-halt der Datei CertSrvtxt aus
Browserinstallation des CA-Zertifikats
IE50 Extras Internetoptionen Inhalt Zertifikate VertrauenswuumlrdigeStammzertifizierungsstellen
Hinweise auf RegistryeintraumlgeHKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyMachineKeysHKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesHKEY_LOCAL_MACHINESYSTEMControlSetControlSecurityProviders
Ordner fuumlr Konfigurationsdateien cmscf
cacertshtm Liste der Zertifikate der Zertifizierungsinstanz
Internetdienstmanager
Schluumlsselmanager
WWW Rechtsklick - Neuen Schluumlssel erstellen
Anforderung als Datei speichern die an eine Instanz gesendet wirdcCertsNewKeyReqtxt zB 701ilgedureqtxt
Schluumlsselname Computername und key zB 701key
Bei allgemeinem Namen IP-Adresse oder friendly name angeben
ccerts certreq newkeyrqtxt neqkeyaw zB 701ilgeduaw
Schluumlsselmanager Schluumlsselzertifikat installieren
Verzeichnis mit Verzeichnissicherheit einrichten RegisterkarteVerzeichnissicherheit Beim Zugriff auf diese Ressource sicherenChannel verlangen mit HTTPS anwaumlhlen
Versuche
CA-Zertifikat ist nicht (im Browser) installiert Das Sicherheitszertifikatwurde von einer Firma ausgestellt die Sie nicht als vertrauenswuumlrdig ein-gestuft haben Untersuchen Sie das Zertifikat um festzustellen ob Sie derausstellenden Institution vertrauen moumlchten
Schlosssymbol in Statuszeile als Zeichen fuumlr sichere Kommunikation
Angaben bei Allgemeiner Name stimmt nicht mit Namen beiDNS-Suchvorgang uumlberein Meldung Der auf dem Sicherheitszertifikatangegebene Name stimmt nicht mit dem Namen der Site uumlberein
72 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
19496135Knotentyp BroadcastNetBIOS-Bereichs-ID IP-Routing aktiviert NeinWINS-Proxy aktiviert NeinNetBIOS-Auflrdquosung mit DNS Nein
0 Ethernet Adapter
Beschreibung PPP AdapterPhysische Adresse 44-45-53-54-00-00DHCP aktiviert JaIP-Adresse 0000Subnet Mask 0000Standard-Gateway DHCP-Server 255255255255Erster WINS-Server Zweiter WINS-Server Guumlltig seit Guumlltig bis
1 Ethernet Adapter
Beschreibung PPP AdapterPhysische Adresse 44-45-53-54-00-01DHCP aktiviert JaIP-Adresse 0000Subnet Mask 0000Standard-Gateway DHCP-Server 255255255255Erster WINS-Server Zweiter WINS-Server Guumlltig seit Guumlltig bis
2 Ethernet Adapter
Beschreibung Novell 2000 AdapterPhysische Adresse 00-00-E8-2F-15-FADHCP aktiviert JaIP-Adresse 1949613190Subnet Mask 2552552550Standard-Gateway 19496131DHCP-Server 19496138Erster WINS-Server Zweiter WINS-Server Guumlltig seit 090500 093526Guumlltig bis 090500 094526
3 WINIPCFG
Am besten uumlber [Start] ndash [Ausfuumlhren] aufrufen
4 TRACERT
Zeigt die Route eines IP-Pakets anSyntax TRACERT [-d] [-h Abschnitte max] [-j Host-Liste] [-w Timeout]ZielnameOptions
-d Adressen nicht zu Hostnamen auswerten-h Abschnitte max Max Anzahl an Abschnitten bei Zielsuche-j Host-Liste Loose Source Route gemaumlszlig Host-Liste-w Timeout Timeout in Millisekunden fuumlr eine Antwort
BeispielRoute-Verfolgung zu wwwyahooakadnsnet [216327452]uumlber maximal 30Abschnitte1 2 ms 3 ms 3 ms vianet-stpolten-gw01viaat [1949621118]2 5 ms 5 ms 6 ms vianet-stpolten-gw00viaat [1949621117]3 16 ms 32 ms 12 ms vianet-head-gw04viaat [194962105]4 22 ms 23 ms 14 ms atlas-atm4-1-0-460utaat [19570250101]5 22 ms 15 ms 16 ms ronos-atm9-0-0-597utaat 212152192245]6 31 ms 32 ms 29 ms 16412833897 31 ms 32 ms 37 ms i79zhh-035-FastEthernet6-1-0ip-plusnet
[1641283667]8 120 ms 186 ms 126 ms i00ny-015-Pos0-0-0ip-plusnet
[16412835118]9 537 ms 120 ms 121 ms exodus-nycip-plusnet [16412823646]
10 121 ms 154 ms 136 ms bbr02g3-0jrcy01exodusnet [2096745254]11 129 ms 127 ms 135 ms bbr01-p5-0stng01exodusnet [209185998]12 130 ms 129 ms 162 ms dcr03-g9-0stng01exodusnet [2163396145]13 129 ms 131 ms 178 ms 21633981814 128 ms 134 ms 173 ms 2163521012215 136 ms 132 ms 128 ms wwwyahooakadnsnet [216327452]
Route-Verfolgung beendet
5 ARP (Adress Resolution Protocol)
Aumlndert und zeigt die Uumlbersetzungstabellen fuumlr IP-Adressenphysi-sche Adressen an die vom ARP (Address Resolution Protocol)verwendet werden
ParameterARP -s IP_Adr Eth_Adr [Schnittst]ARP -d IP_Adr [Schnittst]ARP -a [IP_Adr] [-N Schnittst]-a Zeigt aktuelle ARP-Eintraumlge durch Abfrage der Protokoll-
daten an Falls IP_Adr angegeben wurde werden die IP- undphysische Adresse fuumlr den angegebenen Computer angezeigtWenn mehr als eine Netzwerkschnittstelle ARP verwendetwerden die Eintraumlge fuumlr jede ARP-Tabelle angezeigt
-g Gleiche Funktion wie -aIP_Adr Gibt eine Internet-Adresse an-N Schnittst Zeigt die ARP-Eintraumlge fuumlr die angegebene Netzwerk-
schnittstelle an-d Loumlscht den durch IP_Adr angegebenen Host-Eintrag-s Fuumlgt einen Host-Eintr hinzu und ordnet die Internet-Adresse
der physischen Adresse zu Die physische Adresse wird durch6 hexadezimale durch Bindestrich getrennte Bytes angegebenDer Eintrag ist permanent
Eth_Adr Gibt eine physische Adresse (Ethernet-Adresse) anSchnittst Gibt falls vorhanden die Internet-Adresse der
Schnittstelle an deren Uumlbersetzungstabelle geaumlndert werdensoll Sonst wird die erste geeignete Schnittstelleverwendet
Beispielgt arp -s 1575585212 00-aa-00-62-c6-09 Fuumlgt einen statischen Eintrag hinzu
gt arp -a Zeigt die Arp-Tabelle an
6 NETSTAT
Zeigt bestehende Netzwerkverbindungen an
Beispiel fuumlr netstatCWIN98gtnetstatAktive VerbindungenProto Lokale Adresse Remote-Adresse StatusTCP nr1026 I406nbsession ESTABLISHEDTCP nr1037 wwwbrowserat80 ESTABLISHEDTCP nr1045 WWWIFI80 ESTABLISHED
officezahlerat Christian Zahler PCNEWS-70 November 200061
Installation einer Website SYSTEM
7 ROUTE
Manipulation und Anzeige der Routingtabelle des Betriebssys-tems
Beispiel fuumlr routeCWIN98gtroute printAktive RoutenNetzwerkadresse Subnet Mask Gateway Schnittstelle Anzahl
0000 0000 1921682100 1921682104 1127000 255000 127001 127001 1
19216820 2552552550 1921682104 1921682104 11921682104 255255255255 127001 127001 11921682255 255255255255 1921682104 1921682104 1
224000 224000 1921682104 1921682104 1255255255255 255255255255 1921682104 0000 1CWIN98gt
Der Internet Information Server
Waumlhlen Sie Start ndash Programme ndash Windows NT 40 Option Pack ndash
Microsoft Internet Information Server ndash Internet-Dienstmanager
Es wird die Microsoft Management Konsole (MMCEXE) aufge-rufen Die MMC ist ein allgemeines Werkzeug zur Verwaltung vonServerdiensten sie wird in Windows 2000 zu einem zentralenAdministrationstool
Die Konsole kann mit sogenannten ldquoSnap-Insrdquo fuumlr verschiedeneAdminis t ra t ionsaufgaben konf igur ier t werden (Menuuml
[Konsole]-[Snap-In hinzufuumlgenloumlschen] bzw laquoStrgraquolaquoMraquo) dieEinstellungen werden in Konfigurationsdateien gespeichert
Ruft man den Internet-Dienstmanager auf so wird bereits einevorkonfigurierte Einstellung (Datei IISMSC) aufgerufen die dieAdministration der Internet-Serverdienste stark vereinfacht
FTP-Server einrichten und testen
FTP von der Serverseite aus gesehen ndash Einrichten undKonfigurieren des FTP-Dienstes im Internet InformationServer
Schritt 1
Es ist oft sinnvoll einen Webauftritt eines Kunden uumlber eine eige-ne IP-Adresse zu realisieren Dazu muss es aber moumlglich seinder Netzwerkkarte des Webservers mehrere IP-Adressen zuzu-
weisen Dies realisiert man in den erweiterten TCPIP-Einstellun-gen
Start - Einstellungen - Systemsteuerung - Netzwerk - Protokolle -
TCPIP-Protokoll - Optionen - Hinzufuumlgen - IP-Adresse eingeben
Nicht vergessen auch in der HOSTS-Datei eintragen
Schritt 2
Im Explorer (inetpub) root-Verzeichnis anlegen
In diesem BeispielCINetPubKunde1_101
Schritt 3
Klicken Sie mit der rechten Maustaste auf den Servernamen (inder Abbildung etwa nt701) und waumlhlen Sie aus dem Kontextme-nuuml [Neu]-[FTP-Site]
62 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
officezahlerat Christian Zahler PCNEWS-70 November 200063
Installation einer Website SYSTEM
Schritt 4
Start - Programme - Verwaltung (allgemein) - Benutzermanager fuumlr
Domaumlnen
Benutzer - Neu - Ausfuumlllen - Einstellungen vornehmen - Hinzufuumlgen
Richtlinien - Benutzerrechte - lokale anmeldung waumlhlen - Hinzufuumlgen ndash
Benutzer anzeigen - auswaumlhlen - ok
Schritt 5
Start - Programme - NT Explorer - Kundenverzeichnis auswaumlhlen -
rechte Maustaste - Eigenschaften - Sicherheit - Berechtigungen
bdquoBerechtigungen fuumlr existierende Dateien ersetzenldquo auswaumlhlen
Einstellungen vornehmen
Schritt 6
Management Konsole ndash Kontextmenuuml des FTP-Dienstes des neuenKunden auswaumlhlen - Eigenschaften - Sicherheitskonten ndash bdquoNur
anonyme Verbindungen erlaubenldquo deaktivieren
FTP von der Anwenderseite aus gesehen ndash FTP-Ser-ver testen
Mit FTP koumlnnen Sie Dateien von Ihrem Rechner auf einen ent-fernten Server uumlbertragen (Upload) oder von einem entferntenServer Dateien auf Ihren Rechner laden (Download)
Der FTP-Dienst ist auf verschiedene Art und Weise nutzbar
a) FTP-Programme
Beispiele
WS-FTP
FTPVoyager
CuteFTP
Es soll hier das Programm WS-FTP95 kurz erlaumlutert werden
1 Starten Sie das Programm WS-FTP95
2 Legen Sie ein Profil mit folgenden Eintraumlgen an (Klicken Sieauf die Schaltflaumlche bdquoNewldquo)
3 Mit OK verbinden Sie sich zum PIAKREMS-FTP-Server Linkssehen Sie die Verzeichnis-Laufwerksstruktur Ihres eigenen
64 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Rechners rechts sehen Sie die Verzeichnisstruktur desFTP-Servers mit dem Sie verbunden sind
4 Mit den Pfeilen in der Mitte koumlnnen Sie markierte Dateien vonIhrer Festplatte (links) auf den Server (rechts) kopieren oder um-gekehrt
b) Manuelle FTP-Sitzung
Aufruf
ftp Servername
FTP-Befehle delete literal prompt send debug ls put statusappend dir mdelete pwd traceascii disconnect mdir quit typebell get mget quote userbinary glob mkdir recv verbosebye hash mls remotehelpcd help mput renameclose lcd open rmdir
dir remote Verzeichnis auflisten
cd lcd Verzeichnis wechseln remote local
pwd aktuelles Verzeichnis
get mget Dateien von remote nach local kopieren
put mput Dateien von local nach remote kopieren
binary auf binaumlren Transfer (Programme Images ) um-schalten
prompt Bestaumltigung abschalten
user als Benutzer einloggen
open close Verbindung oumlffnen schlieszligen
Hilfe anzeigen
quit bye Programm beenden
Beispiel fuumlr eine manuelle FTP-Sitzung (Benutzereingabensind kursiv dargestellt)
CWIN98gtftp off97noewifiatVerbindung mit off97noewifiat220 wifi2 Microsoft FTP Service (Version 30)Benutzer (off97noewifiat(none)) user401331 Password required for user401Kennwort230-Herzlich Willkommen am Wifi Ftp-Server 230 User user401 logged inFtpgt dir200 PORT command successful150 Opening ASCII mode data connection for binlsd--------- 1 owner group 0 Aug 19 1999 kidsd--------- 1 owner group 0 Feb 17 1998 kktn---------- 1 owner group 0 Aug 18 1999 testtxt---------- 1 owner group 0 Aug 19 1999test3txt226 Transfer complete
Ftp 269 Bytes empfangen in 016Sekunden 168KBSekFtpgt get testtxt200 PORT command successful150 Opening ASCII mode data connection for testtxt(0 bytes)226 Transfer completeFtpgt put xxxhtm
200 PORT command successful150 Opening ASCII mode data connection for xxxhtm226 Transfer completeFtp 1777 Bytes gesendet in 000Sekunden 177700000KBSekFtpgt pwd257 is current directoryFtpgt quit221 Auf Wiedersehen
Wenn Sie als anonymer FTP-Nutzer arbeiten wollen so gebenSie als Benutzername anonymous an als Kennwort Ihre eigeneE-Mail-Adresse (Es ist kein Passwort noumltig allerdings verlangendie Regeln der Netiquette eine derartige ndash freiwillige ndash Identifizie-rung)
c) FTP uumlber den Browser
Auch uumlber Browser-Software ist eingeschraumlnkter FTP-Betriebmoumlglich Waumlhrend Downloads problemlos moumlglich sind koumlnnenUploads nicht durchgefuumlhrt werden
Wichtig Sollten Sie fuumlr den FTP-Server einen Benutzernamenund ein Kennwort eingeben muumlssen dann waumlhlen Sie bitte fol-gende Syntax fuumlr die Adresszeile des BrowsersftpBenutzernameKennwortftpserverat
(Anmerkung Das Passwort in der obigen Abbildung wurde abge-deckt bzw veraumlndert)
Der WWW-Dienst im IIS
Zunaumlchst legt man fuumlr den Kunden einen virtuellen Webserver(Website) an
officezahlerat Christian Zahler PCNEWS-70 November 200065
Installation einer Website SYSTEM
bdquoHandelnldquo mit Websites
Besitzt man mehrere IP-Adressen so kann man damit bdquohandelnldquodh der Webseite eines Kunden eine eigene IP-Adresse zuweisen
Dafuumlr gibt es mehrere Varianten
a) Zuordnung in der HOSTS-Datei1921682229 501_k1ilgedu1921682229 501_k2ilgedu
b) Host-Header-Name im IIS
Dem Kunden wird zunaumlchst eine eigene Seite mit eigenerIP-Adresse zugewiesen
Klick auf bdquoErweitertldquo liefert die Moumlglichkeit dieser Seite einenoder mehrere bdquoHost-Header-Namenldquo zuzuweisen
Es ist also denkbar ein und dieselbe Webseite mit mehreren Do-main-Namen aufzurufen (Aumlltere Browser unterstuumltzen dieseFunktion allerdings nicht)
Es gibt 3 Moumlglichkeiten verschiedene Webs an einem Server zubetreiben
verschiedene IP-Adressen
verschiedene Ports
verschiedene Host-Header-Namen (virtuelle Server)
66 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Schutz von Kindern und Jugendlichen durch RSA-Ci-Filter und PICS-Labels
Quellen
wwww3orgPICS
wwwrsacorg oder wwwicraorg
RSACi = Recreational Software Advisory Council for the Internet
Das RSACi-System ist ein Filtersystem fuumlr jugendgefaumlhrdende In-halte im Web das von der ICRA (Internet Content Rating Associa-tion) verwaltet wird Ziel dieses Systems ist die Gewaumlhrleistungder bdquoRedefreiheitldquo im Internet einerseits der Schutz von Kindernund Jugendlichen vor gefaumlhrlichen oder anstoumlszligigen Inhaltenandererseits
Das RSACi-System ist im Internet Explorer integriert Eltern koumln-nen ndash gesichert durch ein Supervisor-Kennwort ndash den Level be-stimmen der angezeigt werden soll
Fuumlr jeden RSACi-Label gibt es vier Sicherheitsstufen
Gewalt Nacktheit Sex Sprache
Level 4 Vergewalt i-gungen oderwillkuumlrlichebrutale Ge-waltakte
provozieren-de Nacktauf-nahmen vonvorn fotogra-fiert
Sexua l ve r-brechen oderb r u t a l e deutliche se-xuel le Vor-gaumlnge
Rohe vulgauml-re Sprachefreizuumlgige se-xuel le An-spielungen
Level 3 Agg re s s i veGewalt oderToumlten vonMenschen
VollstaumlndigeN a c k t h e i t von vorn fo-tografiert
Sexuelle Vor-gaumlnge
Deftige vul-gaumlre oderhasser fuumll l teSprechweiseo b s z ouml n eKraftausdruuml-cke
Level 2 Ze r s touml rungrealistischerObjekte
Te i l w e i s eNacktheit
Sexuelle Be-r uuml h r u n g e nim bekleide-ten Zustand
Kraftausdruuml-cke nicht se-xuell bezoge-ne anatomi-sche Anspie-lungen
Level 1 V e r l e t z e nvon Men-schen
AufreizendeBekleidung
L e i d e n-scha f t l i cheKuumlsse
S c h w a c h eKraftausdruuml-cke mi ldeA u s d r uuml c k efuumlr Koumlrper-funktionen
Level 0 Keine derobigen oderim Zusam-menhang mitSport
Keine derobigen
Keine derobigen oderldquounschuldi-gerdquo KuumlsseRomantik
Keine derobigen
Eine genauere Beschreibung der ICRA finden Sie in einem Doku-ment bei der Web-Version dieses Beitrags (icratxt)
officezahlerat Christian Zahler PCNEWS-70 November 200067
Installation einer Website SYSTEM
SSL und HTTPS
Der Microsoft Certificate Server (SSL und HTTPS)
Grundlagen der Kryptographie
Die Sicherheit der Datenuumlbertragung uumlber das Internet laumlsst sichdeutlich erhoumlhen wenn die Dateien nicht im Klartext uumlbertragenwerden sondern durch Verschluumlsselungsalgorithmen unlesbargemacht werden
(Quelle Microsoft Hilfe)
Man unterscheidet zwei Gruppen von Verschluumlsselungsverfah-ren
Symmetrische Verfahren Hier wird derselbe Schluumlssel zur Ver-und Entschluumlsselung verwendet
Asymmetrische Verfahren Hier werden zwei verschiedene Schluumls-sel verwendet ein bdquooumlffentlicher Schluumlsselldquo (public key) und einbdquoprivater Schluumlsselldquo (private key)
(Quelle Microsoft Hilfe)
Der MS Certificate Server ist im MS Option Pack fuumlr Windows NT40 enthalten wird aber standardmaumlszligig nicht mit installiert Ermuss entweder nach installiert werden oder wurde bereits mitder Vollinstallation des Option Packs mit installiert
Der MS Certificate Server erzeugt Zertifikate im X509-Format
Bei der Installation des Zertifikatsservers wird ein ldquoNotarrdquo instal-liert der selbst Zertifikate ausstellen kann Ein solcher ldquoNotarrdquo(Zertifizierungsinstanz englisch Certificate Agency CA) benoumltigtselbst nur ein so genanntes Basiszertifikat Solche Zertifikate gel-ten als ldquoabsolut vertrauenswuumlrdigrdquo und werden durch keine wei-tere Instanz bestaumltigt Basiszertifikate haben international natuumlr-lich nur dann Gewicht wenn die Organisation einen hohen Be-kanntheitsgrad bzw ein hohes Vertrauen des Publikums genieszligt
Moumlchte man eine Seite international guumlltig zertifizieren lassen so
gibt es dazu anerkannte Zertifizierungsinstitute
httpwwwverisigncom
68 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Ab jetzt ist es moumlglich Schluumlssel zu erstellen die vom eben instal-lierten Zertifikatsserver ldquosigniertrdquo werden koumlnnen
Das Eigenzertifikat wird im angegebenen Freigabeordner (hierCcert) abgelegt
Uumlberpruumlfen der Schluumlsselkonfiguration
Cgtcertutil -dumpEintrag 0Name WIFIOrganisationseinheit EDVOrganisation WIFI NiederoesterreichOrt St PoeltenBundesland NiederoesterreichLand ATKonfiguration I1WIFIAustauschzertifikat I1_WIFI_ExchangecrtSignaturzertifikat I1_WIFIcrtBeschreibung Test-Instanz
Erstellen eines eigenen Schluumlssels
Der naumlchste Schritt ist die Erstellung eines eigenen Schluumlsselpaa-res Der Schluumlssel muss natuumlrlich von einer Zertifizierungsinstitu-tion bestaumltigt werden Wir koumlnnten die Anforderung entweder anVerisign schicken oder von unserem eigenen Zertifizierungsser-ver bestaumltigen lassen
Rufen Sie dazu von der Microsoft Management-Konsole aus denSchluumlssel-Manager auf
Klicken Sie den abzusichernden Dienst (im allgemeinen WWW)mit der rechten Maustaste an und waumlhlen Sie [Neuen Schluumlssel
erstellen]
Wir haben nun folgende Situation Es wurde ein Schluumlssel er-stellt der bereits zur Bestaumltigung der Zertifizierungsinstanz ist
officezahlerat Christian Zahler PCNEWS-70 November 200069
Installation einer Website SYSTEM
Gleichzeitig wurde der Schluumlssel in einer Zertifizierungsanforde-rungsdatei gespeichert in unserem Fall c101ilgtxt
Diese Datei sieht folgendermaszligen aus
Als naumlchster Schritt wird die Anforderung an der Zertifikatsservergeschickt (wir verwenden unseren eigenen) der eine Bestaumltigung(digitale Signatur) durchfuumlhren soll Dafuumlr gibt es vorinstallierteHilfsprogramme aufrufbar unter
70 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Nun ist der Schluumlssel vollstaumlndig und kann verwendet werden
Absichern eines Verzeichnisses durch SSL
Vorbereitung Erstellen Sie ein Verzeichnis unterhalb eines virtu-ellen Servers eines Kunden Legen Sie eine HTML-Datei in die-ses Verzeichnis
Im folgenden Beispiel wurde unterhalb des virtuellen WWW-Ser-vers Kunde1_i1_WWW ein Verzeichnis verz angelegt das eineDatei ssltesthtm enthaumllt
Rufen Sie die Ei-genschaften desabzus icherndenVerzeichnisses imI IS (MMC) aufdann waumlhlen Siedie Kar te ikar teldquoVerzeichnissicher-heitrdquo Dort klickenSie im AbschnittldquoSichere Kommu-nikationrdquo auf dieSchaltflaumlche ldquoBe-arbeitenrdquo
officezahlerat Christian Zahler PCNEWS-70 November 200071
Installation einer Website SYSTEM
Kennwort einge-ben (dasselbe wiebei der Erzeugungdes Schluumlssels)
Nun muss noch eine Portnummer fuumlr die SSL-Kommunikationvergeben werden wir verwenden 443
Tests
Eingabe von httpssltesthtm schlaumlgt fehl
Erst durch das Protokoll https ist eine Anzeige der Datei moumlg-lich
ArbeitsplanCertificate ServerHTTPS - Secure socket layer
Certificate Server von Option Disk installieren
CA-Zertifikat (Basiszertifikat Sitezertifikat) erstellen
Name der Zertifizierungsinstanz Elektronischer Notar x x steht fuumlr denComputernamen zB 701
Im Anforderungsformular fuumlr das CA-Zertifikat duumlrfen keine Beistricheverwendet werden Beistriche werden als Feldende interpretiert und eswird eine unguumlltige Anforderung ohne Fehlerwarnung erstellt
Uumlberpruumlfen der Konfigurationsinformation CertUtil -dump Gibt den In-halt der Datei CertSrvtxt aus
Browserinstallation des CA-Zertifikats
IE50 Extras Internetoptionen Inhalt Zertifikate VertrauenswuumlrdigeStammzertifizierungsstellen
Hinweise auf RegistryeintraumlgeHKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyMachineKeysHKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesHKEY_LOCAL_MACHINESYSTEMControlSetControlSecurityProviders
Ordner fuumlr Konfigurationsdateien cmscf
cacertshtm Liste der Zertifikate der Zertifizierungsinstanz
Internetdienstmanager
Schluumlsselmanager
WWW Rechtsklick - Neuen Schluumlssel erstellen
Anforderung als Datei speichern die an eine Instanz gesendet wirdcCertsNewKeyReqtxt zB 701ilgedureqtxt
Schluumlsselname Computername und key zB 701key
Bei allgemeinem Namen IP-Adresse oder friendly name angeben
ccerts certreq newkeyrqtxt neqkeyaw zB 701ilgeduaw
Schluumlsselmanager Schluumlsselzertifikat installieren
Verzeichnis mit Verzeichnissicherheit einrichten RegisterkarteVerzeichnissicherheit Beim Zugriff auf diese Ressource sicherenChannel verlangen mit HTTPS anwaumlhlen
Versuche
CA-Zertifikat ist nicht (im Browser) installiert Das Sicherheitszertifikatwurde von einer Firma ausgestellt die Sie nicht als vertrauenswuumlrdig ein-gestuft haben Untersuchen Sie das Zertifikat um festzustellen ob Sie derausstellenden Institution vertrauen moumlchten
Schlosssymbol in Statuszeile als Zeichen fuumlr sichere Kommunikation
Angaben bei Allgemeiner Name stimmt nicht mit Namen beiDNS-Suchvorgang uumlberein Meldung Der auf dem Sicherheitszertifikatangegebene Name stimmt nicht mit dem Namen der Site uumlberein
72 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
7 ROUTE
Manipulation und Anzeige der Routingtabelle des Betriebssys-tems
Beispiel fuumlr routeCWIN98gtroute printAktive RoutenNetzwerkadresse Subnet Mask Gateway Schnittstelle Anzahl
0000 0000 1921682100 1921682104 1127000 255000 127001 127001 1
19216820 2552552550 1921682104 1921682104 11921682104 255255255255 127001 127001 11921682255 255255255255 1921682104 1921682104 1
224000 224000 1921682104 1921682104 1255255255255 255255255255 1921682104 0000 1CWIN98gt
Der Internet Information Server
Waumlhlen Sie Start ndash Programme ndash Windows NT 40 Option Pack ndash
Microsoft Internet Information Server ndash Internet-Dienstmanager
Es wird die Microsoft Management Konsole (MMCEXE) aufge-rufen Die MMC ist ein allgemeines Werkzeug zur Verwaltung vonServerdiensten sie wird in Windows 2000 zu einem zentralenAdministrationstool
Die Konsole kann mit sogenannten ldquoSnap-Insrdquo fuumlr verschiedeneAdminis t ra t ionsaufgaben konf igur ier t werden (Menuuml
[Konsole]-[Snap-In hinzufuumlgenloumlschen] bzw laquoStrgraquolaquoMraquo) dieEinstellungen werden in Konfigurationsdateien gespeichert
Ruft man den Internet-Dienstmanager auf so wird bereits einevorkonfigurierte Einstellung (Datei IISMSC) aufgerufen die dieAdministration der Internet-Serverdienste stark vereinfacht
FTP-Server einrichten und testen
FTP von der Serverseite aus gesehen ndash Einrichten undKonfigurieren des FTP-Dienstes im Internet InformationServer
Schritt 1
Es ist oft sinnvoll einen Webauftritt eines Kunden uumlber eine eige-ne IP-Adresse zu realisieren Dazu muss es aber moumlglich seinder Netzwerkkarte des Webservers mehrere IP-Adressen zuzu-
weisen Dies realisiert man in den erweiterten TCPIP-Einstellun-gen
Start - Einstellungen - Systemsteuerung - Netzwerk - Protokolle -
TCPIP-Protokoll - Optionen - Hinzufuumlgen - IP-Adresse eingeben
Nicht vergessen auch in der HOSTS-Datei eintragen
Schritt 2
Im Explorer (inetpub) root-Verzeichnis anlegen
In diesem BeispielCINetPubKunde1_101
Schritt 3
Klicken Sie mit der rechten Maustaste auf den Servernamen (inder Abbildung etwa nt701) und waumlhlen Sie aus dem Kontextme-nuuml [Neu]-[FTP-Site]
62 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
officezahlerat Christian Zahler PCNEWS-70 November 200063
Installation einer Website SYSTEM
Schritt 4
Start - Programme - Verwaltung (allgemein) - Benutzermanager fuumlr
Domaumlnen
Benutzer - Neu - Ausfuumlllen - Einstellungen vornehmen - Hinzufuumlgen
Richtlinien - Benutzerrechte - lokale anmeldung waumlhlen - Hinzufuumlgen ndash
Benutzer anzeigen - auswaumlhlen - ok
Schritt 5
Start - Programme - NT Explorer - Kundenverzeichnis auswaumlhlen -
rechte Maustaste - Eigenschaften - Sicherheit - Berechtigungen
bdquoBerechtigungen fuumlr existierende Dateien ersetzenldquo auswaumlhlen
Einstellungen vornehmen
Schritt 6
Management Konsole ndash Kontextmenuuml des FTP-Dienstes des neuenKunden auswaumlhlen - Eigenschaften - Sicherheitskonten ndash bdquoNur
anonyme Verbindungen erlaubenldquo deaktivieren
FTP von der Anwenderseite aus gesehen ndash FTP-Ser-ver testen
Mit FTP koumlnnen Sie Dateien von Ihrem Rechner auf einen ent-fernten Server uumlbertragen (Upload) oder von einem entferntenServer Dateien auf Ihren Rechner laden (Download)
Der FTP-Dienst ist auf verschiedene Art und Weise nutzbar
a) FTP-Programme
Beispiele
WS-FTP
FTPVoyager
CuteFTP
Es soll hier das Programm WS-FTP95 kurz erlaumlutert werden
1 Starten Sie das Programm WS-FTP95
2 Legen Sie ein Profil mit folgenden Eintraumlgen an (Klicken Sieauf die Schaltflaumlche bdquoNewldquo)
3 Mit OK verbinden Sie sich zum PIAKREMS-FTP-Server Linkssehen Sie die Verzeichnis-Laufwerksstruktur Ihres eigenen
64 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Rechners rechts sehen Sie die Verzeichnisstruktur desFTP-Servers mit dem Sie verbunden sind
4 Mit den Pfeilen in der Mitte koumlnnen Sie markierte Dateien vonIhrer Festplatte (links) auf den Server (rechts) kopieren oder um-gekehrt
b) Manuelle FTP-Sitzung
Aufruf
ftp Servername
FTP-Befehle delete literal prompt send debug ls put statusappend dir mdelete pwd traceascii disconnect mdir quit typebell get mget quote userbinary glob mkdir recv verbosebye hash mls remotehelpcd help mput renameclose lcd open rmdir
dir remote Verzeichnis auflisten
cd lcd Verzeichnis wechseln remote local
pwd aktuelles Verzeichnis
get mget Dateien von remote nach local kopieren
put mput Dateien von local nach remote kopieren
binary auf binaumlren Transfer (Programme Images ) um-schalten
prompt Bestaumltigung abschalten
user als Benutzer einloggen
open close Verbindung oumlffnen schlieszligen
Hilfe anzeigen
quit bye Programm beenden
Beispiel fuumlr eine manuelle FTP-Sitzung (Benutzereingabensind kursiv dargestellt)
CWIN98gtftp off97noewifiatVerbindung mit off97noewifiat220 wifi2 Microsoft FTP Service (Version 30)Benutzer (off97noewifiat(none)) user401331 Password required for user401Kennwort230-Herzlich Willkommen am Wifi Ftp-Server 230 User user401 logged inFtpgt dir200 PORT command successful150 Opening ASCII mode data connection for binlsd--------- 1 owner group 0 Aug 19 1999 kidsd--------- 1 owner group 0 Feb 17 1998 kktn---------- 1 owner group 0 Aug 18 1999 testtxt---------- 1 owner group 0 Aug 19 1999test3txt226 Transfer complete
Ftp 269 Bytes empfangen in 016Sekunden 168KBSekFtpgt get testtxt200 PORT command successful150 Opening ASCII mode data connection for testtxt(0 bytes)226 Transfer completeFtpgt put xxxhtm
200 PORT command successful150 Opening ASCII mode data connection for xxxhtm226 Transfer completeFtp 1777 Bytes gesendet in 000Sekunden 177700000KBSekFtpgt pwd257 is current directoryFtpgt quit221 Auf Wiedersehen
Wenn Sie als anonymer FTP-Nutzer arbeiten wollen so gebenSie als Benutzername anonymous an als Kennwort Ihre eigeneE-Mail-Adresse (Es ist kein Passwort noumltig allerdings verlangendie Regeln der Netiquette eine derartige ndash freiwillige ndash Identifizie-rung)
c) FTP uumlber den Browser
Auch uumlber Browser-Software ist eingeschraumlnkter FTP-Betriebmoumlglich Waumlhrend Downloads problemlos moumlglich sind koumlnnenUploads nicht durchgefuumlhrt werden
Wichtig Sollten Sie fuumlr den FTP-Server einen Benutzernamenund ein Kennwort eingeben muumlssen dann waumlhlen Sie bitte fol-gende Syntax fuumlr die Adresszeile des BrowsersftpBenutzernameKennwortftpserverat
(Anmerkung Das Passwort in der obigen Abbildung wurde abge-deckt bzw veraumlndert)
Der WWW-Dienst im IIS
Zunaumlchst legt man fuumlr den Kunden einen virtuellen Webserver(Website) an
officezahlerat Christian Zahler PCNEWS-70 November 200065
Installation einer Website SYSTEM
bdquoHandelnldquo mit Websites
Besitzt man mehrere IP-Adressen so kann man damit bdquohandelnldquodh der Webseite eines Kunden eine eigene IP-Adresse zuweisen
Dafuumlr gibt es mehrere Varianten
a) Zuordnung in der HOSTS-Datei1921682229 501_k1ilgedu1921682229 501_k2ilgedu
b) Host-Header-Name im IIS
Dem Kunden wird zunaumlchst eine eigene Seite mit eigenerIP-Adresse zugewiesen
Klick auf bdquoErweitertldquo liefert die Moumlglichkeit dieser Seite einenoder mehrere bdquoHost-Header-Namenldquo zuzuweisen
Es ist also denkbar ein und dieselbe Webseite mit mehreren Do-main-Namen aufzurufen (Aumlltere Browser unterstuumltzen dieseFunktion allerdings nicht)
Es gibt 3 Moumlglichkeiten verschiedene Webs an einem Server zubetreiben
verschiedene IP-Adressen
verschiedene Ports
verschiedene Host-Header-Namen (virtuelle Server)
66 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Schutz von Kindern und Jugendlichen durch RSA-Ci-Filter und PICS-Labels
Quellen
wwww3orgPICS
wwwrsacorg oder wwwicraorg
RSACi = Recreational Software Advisory Council for the Internet
Das RSACi-System ist ein Filtersystem fuumlr jugendgefaumlhrdende In-halte im Web das von der ICRA (Internet Content Rating Associa-tion) verwaltet wird Ziel dieses Systems ist die Gewaumlhrleistungder bdquoRedefreiheitldquo im Internet einerseits der Schutz von Kindernund Jugendlichen vor gefaumlhrlichen oder anstoumlszligigen Inhaltenandererseits
Das RSACi-System ist im Internet Explorer integriert Eltern koumln-nen ndash gesichert durch ein Supervisor-Kennwort ndash den Level be-stimmen der angezeigt werden soll
Fuumlr jeden RSACi-Label gibt es vier Sicherheitsstufen
Gewalt Nacktheit Sex Sprache
Level 4 Vergewalt i-gungen oderwillkuumlrlichebrutale Ge-waltakte
provozieren-de Nacktauf-nahmen vonvorn fotogra-fiert
Sexua l ve r-brechen oderb r u t a l e deutliche se-xuel le Vor-gaumlnge
Rohe vulgauml-re Sprachefreizuumlgige se-xuel le An-spielungen
Level 3 Agg re s s i veGewalt oderToumlten vonMenschen
VollstaumlndigeN a c k t h e i t von vorn fo-tografiert
Sexuelle Vor-gaumlnge
Deftige vul-gaumlre oderhasser fuumll l teSprechweiseo b s z ouml n eKraftausdruuml-cke
Level 2 Ze r s touml rungrealistischerObjekte
Te i l w e i s eNacktheit
Sexuelle Be-r uuml h r u n g e nim bekleide-ten Zustand
Kraftausdruuml-cke nicht se-xuell bezoge-ne anatomi-sche Anspie-lungen
Level 1 V e r l e t z e nvon Men-schen
AufreizendeBekleidung
L e i d e n-scha f t l i cheKuumlsse
S c h w a c h eKraftausdruuml-cke mi ldeA u s d r uuml c k efuumlr Koumlrper-funktionen
Level 0 Keine derobigen oderim Zusam-menhang mitSport
Keine derobigen
Keine derobigen oderldquounschuldi-gerdquo KuumlsseRomantik
Keine derobigen
Eine genauere Beschreibung der ICRA finden Sie in einem Doku-ment bei der Web-Version dieses Beitrags (icratxt)
officezahlerat Christian Zahler PCNEWS-70 November 200067
Installation einer Website SYSTEM
SSL und HTTPS
Der Microsoft Certificate Server (SSL und HTTPS)
Grundlagen der Kryptographie
Die Sicherheit der Datenuumlbertragung uumlber das Internet laumlsst sichdeutlich erhoumlhen wenn die Dateien nicht im Klartext uumlbertragenwerden sondern durch Verschluumlsselungsalgorithmen unlesbargemacht werden
(Quelle Microsoft Hilfe)
Man unterscheidet zwei Gruppen von Verschluumlsselungsverfah-ren
Symmetrische Verfahren Hier wird derselbe Schluumlssel zur Ver-und Entschluumlsselung verwendet
Asymmetrische Verfahren Hier werden zwei verschiedene Schluumls-sel verwendet ein bdquooumlffentlicher Schluumlsselldquo (public key) und einbdquoprivater Schluumlsselldquo (private key)
(Quelle Microsoft Hilfe)
Der MS Certificate Server ist im MS Option Pack fuumlr Windows NT40 enthalten wird aber standardmaumlszligig nicht mit installiert Ermuss entweder nach installiert werden oder wurde bereits mitder Vollinstallation des Option Packs mit installiert
Der MS Certificate Server erzeugt Zertifikate im X509-Format
Bei der Installation des Zertifikatsservers wird ein ldquoNotarrdquo instal-liert der selbst Zertifikate ausstellen kann Ein solcher ldquoNotarrdquo(Zertifizierungsinstanz englisch Certificate Agency CA) benoumltigtselbst nur ein so genanntes Basiszertifikat Solche Zertifikate gel-ten als ldquoabsolut vertrauenswuumlrdigrdquo und werden durch keine wei-tere Instanz bestaumltigt Basiszertifikate haben international natuumlr-lich nur dann Gewicht wenn die Organisation einen hohen Be-kanntheitsgrad bzw ein hohes Vertrauen des Publikums genieszligt
Moumlchte man eine Seite international guumlltig zertifizieren lassen so
gibt es dazu anerkannte Zertifizierungsinstitute
httpwwwverisigncom
68 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Ab jetzt ist es moumlglich Schluumlssel zu erstellen die vom eben instal-lierten Zertifikatsserver ldquosigniertrdquo werden koumlnnen
Das Eigenzertifikat wird im angegebenen Freigabeordner (hierCcert) abgelegt
Uumlberpruumlfen der Schluumlsselkonfiguration
Cgtcertutil -dumpEintrag 0Name WIFIOrganisationseinheit EDVOrganisation WIFI NiederoesterreichOrt St PoeltenBundesland NiederoesterreichLand ATKonfiguration I1WIFIAustauschzertifikat I1_WIFI_ExchangecrtSignaturzertifikat I1_WIFIcrtBeschreibung Test-Instanz
Erstellen eines eigenen Schluumlssels
Der naumlchste Schritt ist die Erstellung eines eigenen Schluumlsselpaa-res Der Schluumlssel muss natuumlrlich von einer Zertifizierungsinstitu-tion bestaumltigt werden Wir koumlnnten die Anforderung entweder anVerisign schicken oder von unserem eigenen Zertifizierungsser-ver bestaumltigen lassen
Rufen Sie dazu von der Microsoft Management-Konsole aus denSchluumlssel-Manager auf
Klicken Sie den abzusichernden Dienst (im allgemeinen WWW)mit der rechten Maustaste an und waumlhlen Sie [Neuen Schluumlssel
erstellen]
Wir haben nun folgende Situation Es wurde ein Schluumlssel er-stellt der bereits zur Bestaumltigung der Zertifizierungsinstanz ist
officezahlerat Christian Zahler PCNEWS-70 November 200069
Installation einer Website SYSTEM
Gleichzeitig wurde der Schluumlssel in einer Zertifizierungsanforde-rungsdatei gespeichert in unserem Fall c101ilgtxt
Diese Datei sieht folgendermaszligen aus
Als naumlchster Schritt wird die Anforderung an der Zertifikatsservergeschickt (wir verwenden unseren eigenen) der eine Bestaumltigung(digitale Signatur) durchfuumlhren soll Dafuumlr gibt es vorinstallierteHilfsprogramme aufrufbar unter
70 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Nun ist der Schluumlssel vollstaumlndig und kann verwendet werden
Absichern eines Verzeichnisses durch SSL
Vorbereitung Erstellen Sie ein Verzeichnis unterhalb eines virtu-ellen Servers eines Kunden Legen Sie eine HTML-Datei in die-ses Verzeichnis
Im folgenden Beispiel wurde unterhalb des virtuellen WWW-Ser-vers Kunde1_i1_WWW ein Verzeichnis verz angelegt das eineDatei ssltesthtm enthaumllt
Rufen Sie die Ei-genschaften desabzus icherndenVerzeichnisses imI IS (MMC) aufdann waumlhlen Siedie Kar te ikar teldquoVerzeichnissicher-heitrdquo Dort klickenSie im AbschnittldquoSichere Kommu-nikationrdquo auf dieSchaltflaumlche ldquoBe-arbeitenrdquo
officezahlerat Christian Zahler PCNEWS-70 November 200071
Installation einer Website SYSTEM
Kennwort einge-ben (dasselbe wiebei der Erzeugungdes Schluumlssels)
Nun muss noch eine Portnummer fuumlr die SSL-Kommunikationvergeben werden wir verwenden 443
Tests
Eingabe von httpssltesthtm schlaumlgt fehl
Erst durch das Protokoll https ist eine Anzeige der Datei moumlg-lich
ArbeitsplanCertificate ServerHTTPS - Secure socket layer
Certificate Server von Option Disk installieren
CA-Zertifikat (Basiszertifikat Sitezertifikat) erstellen
Name der Zertifizierungsinstanz Elektronischer Notar x x steht fuumlr denComputernamen zB 701
Im Anforderungsformular fuumlr das CA-Zertifikat duumlrfen keine Beistricheverwendet werden Beistriche werden als Feldende interpretiert und eswird eine unguumlltige Anforderung ohne Fehlerwarnung erstellt
Uumlberpruumlfen der Konfigurationsinformation CertUtil -dump Gibt den In-halt der Datei CertSrvtxt aus
Browserinstallation des CA-Zertifikats
IE50 Extras Internetoptionen Inhalt Zertifikate VertrauenswuumlrdigeStammzertifizierungsstellen
Hinweise auf RegistryeintraumlgeHKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyMachineKeysHKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesHKEY_LOCAL_MACHINESYSTEMControlSetControlSecurityProviders
Ordner fuumlr Konfigurationsdateien cmscf
cacertshtm Liste der Zertifikate der Zertifizierungsinstanz
Internetdienstmanager
Schluumlsselmanager
WWW Rechtsklick - Neuen Schluumlssel erstellen
Anforderung als Datei speichern die an eine Instanz gesendet wirdcCertsNewKeyReqtxt zB 701ilgedureqtxt
Schluumlsselname Computername und key zB 701key
Bei allgemeinem Namen IP-Adresse oder friendly name angeben
ccerts certreq newkeyrqtxt neqkeyaw zB 701ilgeduaw
Schluumlsselmanager Schluumlsselzertifikat installieren
Verzeichnis mit Verzeichnissicherheit einrichten RegisterkarteVerzeichnissicherheit Beim Zugriff auf diese Ressource sicherenChannel verlangen mit HTTPS anwaumlhlen
Versuche
CA-Zertifikat ist nicht (im Browser) installiert Das Sicherheitszertifikatwurde von einer Firma ausgestellt die Sie nicht als vertrauenswuumlrdig ein-gestuft haben Untersuchen Sie das Zertifikat um festzustellen ob Sie derausstellenden Institution vertrauen moumlchten
Schlosssymbol in Statuszeile als Zeichen fuumlr sichere Kommunikation
Angaben bei Allgemeiner Name stimmt nicht mit Namen beiDNS-Suchvorgang uumlberein Meldung Der auf dem Sicherheitszertifikatangegebene Name stimmt nicht mit dem Namen der Site uumlberein
72 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
officezahlerat Christian Zahler PCNEWS-70 November 200063
Installation einer Website SYSTEM
Schritt 4
Start - Programme - Verwaltung (allgemein) - Benutzermanager fuumlr
Domaumlnen
Benutzer - Neu - Ausfuumlllen - Einstellungen vornehmen - Hinzufuumlgen
Richtlinien - Benutzerrechte - lokale anmeldung waumlhlen - Hinzufuumlgen ndash
Benutzer anzeigen - auswaumlhlen - ok
Schritt 5
Start - Programme - NT Explorer - Kundenverzeichnis auswaumlhlen -
rechte Maustaste - Eigenschaften - Sicherheit - Berechtigungen
bdquoBerechtigungen fuumlr existierende Dateien ersetzenldquo auswaumlhlen
Einstellungen vornehmen
Schritt 6
Management Konsole ndash Kontextmenuuml des FTP-Dienstes des neuenKunden auswaumlhlen - Eigenschaften - Sicherheitskonten ndash bdquoNur
anonyme Verbindungen erlaubenldquo deaktivieren
FTP von der Anwenderseite aus gesehen ndash FTP-Ser-ver testen
Mit FTP koumlnnen Sie Dateien von Ihrem Rechner auf einen ent-fernten Server uumlbertragen (Upload) oder von einem entferntenServer Dateien auf Ihren Rechner laden (Download)
Der FTP-Dienst ist auf verschiedene Art und Weise nutzbar
a) FTP-Programme
Beispiele
WS-FTP
FTPVoyager
CuteFTP
Es soll hier das Programm WS-FTP95 kurz erlaumlutert werden
1 Starten Sie das Programm WS-FTP95
2 Legen Sie ein Profil mit folgenden Eintraumlgen an (Klicken Sieauf die Schaltflaumlche bdquoNewldquo)
3 Mit OK verbinden Sie sich zum PIAKREMS-FTP-Server Linkssehen Sie die Verzeichnis-Laufwerksstruktur Ihres eigenen
64 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Rechners rechts sehen Sie die Verzeichnisstruktur desFTP-Servers mit dem Sie verbunden sind
4 Mit den Pfeilen in der Mitte koumlnnen Sie markierte Dateien vonIhrer Festplatte (links) auf den Server (rechts) kopieren oder um-gekehrt
b) Manuelle FTP-Sitzung
Aufruf
ftp Servername
FTP-Befehle delete literal prompt send debug ls put statusappend dir mdelete pwd traceascii disconnect mdir quit typebell get mget quote userbinary glob mkdir recv verbosebye hash mls remotehelpcd help mput renameclose lcd open rmdir
dir remote Verzeichnis auflisten
cd lcd Verzeichnis wechseln remote local
pwd aktuelles Verzeichnis
get mget Dateien von remote nach local kopieren
put mput Dateien von local nach remote kopieren
binary auf binaumlren Transfer (Programme Images ) um-schalten
prompt Bestaumltigung abschalten
user als Benutzer einloggen
open close Verbindung oumlffnen schlieszligen
Hilfe anzeigen
quit bye Programm beenden
Beispiel fuumlr eine manuelle FTP-Sitzung (Benutzereingabensind kursiv dargestellt)
CWIN98gtftp off97noewifiatVerbindung mit off97noewifiat220 wifi2 Microsoft FTP Service (Version 30)Benutzer (off97noewifiat(none)) user401331 Password required for user401Kennwort230-Herzlich Willkommen am Wifi Ftp-Server 230 User user401 logged inFtpgt dir200 PORT command successful150 Opening ASCII mode data connection for binlsd--------- 1 owner group 0 Aug 19 1999 kidsd--------- 1 owner group 0 Feb 17 1998 kktn---------- 1 owner group 0 Aug 18 1999 testtxt---------- 1 owner group 0 Aug 19 1999test3txt226 Transfer complete
Ftp 269 Bytes empfangen in 016Sekunden 168KBSekFtpgt get testtxt200 PORT command successful150 Opening ASCII mode data connection for testtxt(0 bytes)226 Transfer completeFtpgt put xxxhtm
200 PORT command successful150 Opening ASCII mode data connection for xxxhtm226 Transfer completeFtp 1777 Bytes gesendet in 000Sekunden 177700000KBSekFtpgt pwd257 is current directoryFtpgt quit221 Auf Wiedersehen
Wenn Sie als anonymer FTP-Nutzer arbeiten wollen so gebenSie als Benutzername anonymous an als Kennwort Ihre eigeneE-Mail-Adresse (Es ist kein Passwort noumltig allerdings verlangendie Regeln der Netiquette eine derartige ndash freiwillige ndash Identifizie-rung)
c) FTP uumlber den Browser
Auch uumlber Browser-Software ist eingeschraumlnkter FTP-Betriebmoumlglich Waumlhrend Downloads problemlos moumlglich sind koumlnnenUploads nicht durchgefuumlhrt werden
Wichtig Sollten Sie fuumlr den FTP-Server einen Benutzernamenund ein Kennwort eingeben muumlssen dann waumlhlen Sie bitte fol-gende Syntax fuumlr die Adresszeile des BrowsersftpBenutzernameKennwortftpserverat
(Anmerkung Das Passwort in der obigen Abbildung wurde abge-deckt bzw veraumlndert)
Der WWW-Dienst im IIS
Zunaumlchst legt man fuumlr den Kunden einen virtuellen Webserver(Website) an
officezahlerat Christian Zahler PCNEWS-70 November 200065
Installation einer Website SYSTEM
bdquoHandelnldquo mit Websites
Besitzt man mehrere IP-Adressen so kann man damit bdquohandelnldquodh der Webseite eines Kunden eine eigene IP-Adresse zuweisen
Dafuumlr gibt es mehrere Varianten
a) Zuordnung in der HOSTS-Datei1921682229 501_k1ilgedu1921682229 501_k2ilgedu
b) Host-Header-Name im IIS
Dem Kunden wird zunaumlchst eine eigene Seite mit eigenerIP-Adresse zugewiesen
Klick auf bdquoErweitertldquo liefert die Moumlglichkeit dieser Seite einenoder mehrere bdquoHost-Header-Namenldquo zuzuweisen
Es ist also denkbar ein und dieselbe Webseite mit mehreren Do-main-Namen aufzurufen (Aumlltere Browser unterstuumltzen dieseFunktion allerdings nicht)
Es gibt 3 Moumlglichkeiten verschiedene Webs an einem Server zubetreiben
verschiedene IP-Adressen
verschiedene Ports
verschiedene Host-Header-Namen (virtuelle Server)
66 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Schutz von Kindern und Jugendlichen durch RSA-Ci-Filter und PICS-Labels
Quellen
wwww3orgPICS
wwwrsacorg oder wwwicraorg
RSACi = Recreational Software Advisory Council for the Internet
Das RSACi-System ist ein Filtersystem fuumlr jugendgefaumlhrdende In-halte im Web das von der ICRA (Internet Content Rating Associa-tion) verwaltet wird Ziel dieses Systems ist die Gewaumlhrleistungder bdquoRedefreiheitldquo im Internet einerseits der Schutz von Kindernund Jugendlichen vor gefaumlhrlichen oder anstoumlszligigen Inhaltenandererseits
Das RSACi-System ist im Internet Explorer integriert Eltern koumln-nen ndash gesichert durch ein Supervisor-Kennwort ndash den Level be-stimmen der angezeigt werden soll
Fuumlr jeden RSACi-Label gibt es vier Sicherheitsstufen
Gewalt Nacktheit Sex Sprache
Level 4 Vergewalt i-gungen oderwillkuumlrlichebrutale Ge-waltakte
provozieren-de Nacktauf-nahmen vonvorn fotogra-fiert
Sexua l ve r-brechen oderb r u t a l e deutliche se-xuel le Vor-gaumlnge
Rohe vulgauml-re Sprachefreizuumlgige se-xuel le An-spielungen
Level 3 Agg re s s i veGewalt oderToumlten vonMenschen
VollstaumlndigeN a c k t h e i t von vorn fo-tografiert
Sexuelle Vor-gaumlnge
Deftige vul-gaumlre oderhasser fuumll l teSprechweiseo b s z ouml n eKraftausdruuml-cke
Level 2 Ze r s touml rungrealistischerObjekte
Te i l w e i s eNacktheit
Sexuelle Be-r uuml h r u n g e nim bekleide-ten Zustand
Kraftausdruuml-cke nicht se-xuell bezoge-ne anatomi-sche Anspie-lungen
Level 1 V e r l e t z e nvon Men-schen
AufreizendeBekleidung
L e i d e n-scha f t l i cheKuumlsse
S c h w a c h eKraftausdruuml-cke mi ldeA u s d r uuml c k efuumlr Koumlrper-funktionen
Level 0 Keine derobigen oderim Zusam-menhang mitSport
Keine derobigen
Keine derobigen oderldquounschuldi-gerdquo KuumlsseRomantik
Keine derobigen
Eine genauere Beschreibung der ICRA finden Sie in einem Doku-ment bei der Web-Version dieses Beitrags (icratxt)
officezahlerat Christian Zahler PCNEWS-70 November 200067
Installation einer Website SYSTEM
SSL und HTTPS
Der Microsoft Certificate Server (SSL und HTTPS)
Grundlagen der Kryptographie
Die Sicherheit der Datenuumlbertragung uumlber das Internet laumlsst sichdeutlich erhoumlhen wenn die Dateien nicht im Klartext uumlbertragenwerden sondern durch Verschluumlsselungsalgorithmen unlesbargemacht werden
(Quelle Microsoft Hilfe)
Man unterscheidet zwei Gruppen von Verschluumlsselungsverfah-ren
Symmetrische Verfahren Hier wird derselbe Schluumlssel zur Ver-und Entschluumlsselung verwendet
Asymmetrische Verfahren Hier werden zwei verschiedene Schluumls-sel verwendet ein bdquooumlffentlicher Schluumlsselldquo (public key) und einbdquoprivater Schluumlsselldquo (private key)
(Quelle Microsoft Hilfe)
Der MS Certificate Server ist im MS Option Pack fuumlr Windows NT40 enthalten wird aber standardmaumlszligig nicht mit installiert Ermuss entweder nach installiert werden oder wurde bereits mitder Vollinstallation des Option Packs mit installiert
Der MS Certificate Server erzeugt Zertifikate im X509-Format
Bei der Installation des Zertifikatsservers wird ein ldquoNotarrdquo instal-liert der selbst Zertifikate ausstellen kann Ein solcher ldquoNotarrdquo(Zertifizierungsinstanz englisch Certificate Agency CA) benoumltigtselbst nur ein so genanntes Basiszertifikat Solche Zertifikate gel-ten als ldquoabsolut vertrauenswuumlrdigrdquo und werden durch keine wei-tere Instanz bestaumltigt Basiszertifikate haben international natuumlr-lich nur dann Gewicht wenn die Organisation einen hohen Be-kanntheitsgrad bzw ein hohes Vertrauen des Publikums genieszligt
Moumlchte man eine Seite international guumlltig zertifizieren lassen so
gibt es dazu anerkannte Zertifizierungsinstitute
httpwwwverisigncom
68 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Ab jetzt ist es moumlglich Schluumlssel zu erstellen die vom eben instal-lierten Zertifikatsserver ldquosigniertrdquo werden koumlnnen
Das Eigenzertifikat wird im angegebenen Freigabeordner (hierCcert) abgelegt
Uumlberpruumlfen der Schluumlsselkonfiguration
Cgtcertutil -dumpEintrag 0Name WIFIOrganisationseinheit EDVOrganisation WIFI NiederoesterreichOrt St PoeltenBundesland NiederoesterreichLand ATKonfiguration I1WIFIAustauschzertifikat I1_WIFI_ExchangecrtSignaturzertifikat I1_WIFIcrtBeschreibung Test-Instanz
Erstellen eines eigenen Schluumlssels
Der naumlchste Schritt ist die Erstellung eines eigenen Schluumlsselpaa-res Der Schluumlssel muss natuumlrlich von einer Zertifizierungsinstitu-tion bestaumltigt werden Wir koumlnnten die Anforderung entweder anVerisign schicken oder von unserem eigenen Zertifizierungsser-ver bestaumltigen lassen
Rufen Sie dazu von der Microsoft Management-Konsole aus denSchluumlssel-Manager auf
Klicken Sie den abzusichernden Dienst (im allgemeinen WWW)mit der rechten Maustaste an und waumlhlen Sie [Neuen Schluumlssel
erstellen]
Wir haben nun folgende Situation Es wurde ein Schluumlssel er-stellt der bereits zur Bestaumltigung der Zertifizierungsinstanz ist
officezahlerat Christian Zahler PCNEWS-70 November 200069
Installation einer Website SYSTEM
Gleichzeitig wurde der Schluumlssel in einer Zertifizierungsanforde-rungsdatei gespeichert in unserem Fall c101ilgtxt
Diese Datei sieht folgendermaszligen aus
Als naumlchster Schritt wird die Anforderung an der Zertifikatsservergeschickt (wir verwenden unseren eigenen) der eine Bestaumltigung(digitale Signatur) durchfuumlhren soll Dafuumlr gibt es vorinstallierteHilfsprogramme aufrufbar unter
70 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Nun ist der Schluumlssel vollstaumlndig und kann verwendet werden
Absichern eines Verzeichnisses durch SSL
Vorbereitung Erstellen Sie ein Verzeichnis unterhalb eines virtu-ellen Servers eines Kunden Legen Sie eine HTML-Datei in die-ses Verzeichnis
Im folgenden Beispiel wurde unterhalb des virtuellen WWW-Ser-vers Kunde1_i1_WWW ein Verzeichnis verz angelegt das eineDatei ssltesthtm enthaumllt
Rufen Sie die Ei-genschaften desabzus icherndenVerzeichnisses imI IS (MMC) aufdann waumlhlen Siedie Kar te ikar teldquoVerzeichnissicher-heitrdquo Dort klickenSie im AbschnittldquoSichere Kommu-nikationrdquo auf dieSchaltflaumlche ldquoBe-arbeitenrdquo
officezahlerat Christian Zahler PCNEWS-70 November 200071
Installation einer Website SYSTEM
Kennwort einge-ben (dasselbe wiebei der Erzeugungdes Schluumlssels)
Nun muss noch eine Portnummer fuumlr die SSL-Kommunikationvergeben werden wir verwenden 443
Tests
Eingabe von httpssltesthtm schlaumlgt fehl
Erst durch das Protokoll https ist eine Anzeige der Datei moumlg-lich
ArbeitsplanCertificate ServerHTTPS - Secure socket layer
Certificate Server von Option Disk installieren
CA-Zertifikat (Basiszertifikat Sitezertifikat) erstellen
Name der Zertifizierungsinstanz Elektronischer Notar x x steht fuumlr denComputernamen zB 701
Im Anforderungsformular fuumlr das CA-Zertifikat duumlrfen keine Beistricheverwendet werden Beistriche werden als Feldende interpretiert und eswird eine unguumlltige Anforderung ohne Fehlerwarnung erstellt
Uumlberpruumlfen der Konfigurationsinformation CertUtil -dump Gibt den In-halt der Datei CertSrvtxt aus
Browserinstallation des CA-Zertifikats
IE50 Extras Internetoptionen Inhalt Zertifikate VertrauenswuumlrdigeStammzertifizierungsstellen
Hinweise auf RegistryeintraumlgeHKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyMachineKeysHKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesHKEY_LOCAL_MACHINESYSTEMControlSetControlSecurityProviders
Ordner fuumlr Konfigurationsdateien cmscf
cacertshtm Liste der Zertifikate der Zertifizierungsinstanz
Internetdienstmanager
Schluumlsselmanager
WWW Rechtsklick - Neuen Schluumlssel erstellen
Anforderung als Datei speichern die an eine Instanz gesendet wirdcCertsNewKeyReqtxt zB 701ilgedureqtxt
Schluumlsselname Computername und key zB 701key
Bei allgemeinem Namen IP-Adresse oder friendly name angeben
ccerts certreq newkeyrqtxt neqkeyaw zB 701ilgeduaw
Schluumlsselmanager Schluumlsselzertifikat installieren
Verzeichnis mit Verzeichnissicherheit einrichten RegisterkarteVerzeichnissicherheit Beim Zugriff auf diese Ressource sicherenChannel verlangen mit HTTPS anwaumlhlen
Versuche
CA-Zertifikat ist nicht (im Browser) installiert Das Sicherheitszertifikatwurde von einer Firma ausgestellt die Sie nicht als vertrauenswuumlrdig ein-gestuft haben Untersuchen Sie das Zertifikat um festzustellen ob Sie derausstellenden Institution vertrauen moumlchten
Schlosssymbol in Statuszeile als Zeichen fuumlr sichere Kommunikation
Angaben bei Allgemeiner Name stimmt nicht mit Namen beiDNS-Suchvorgang uumlberein Meldung Der auf dem Sicherheitszertifikatangegebene Name stimmt nicht mit dem Namen der Site uumlberein
72 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Schritt 4
Start - Programme - Verwaltung (allgemein) - Benutzermanager fuumlr
Domaumlnen
Benutzer - Neu - Ausfuumlllen - Einstellungen vornehmen - Hinzufuumlgen
Richtlinien - Benutzerrechte - lokale anmeldung waumlhlen - Hinzufuumlgen ndash
Benutzer anzeigen - auswaumlhlen - ok
Schritt 5
Start - Programme - NT Explorer - Kundenverzeichnis auswaumlhlen -
rechte Maustaste - Eigenschaften - Sicherheit - Berechtigungen
bdquoBerechtigungen fuumlr existierende Dateien ersetzenldquo auswaumlhlen
Einstellungen vornehmen
Schritt 6
Management Konsole ndash Kontextmenuuml des FTP-Dienstes des neuenKunden auswaumlhlen - Eigenschaften - Sicherheitskonten ndash bdquoNur
anonyme Verbindungen erlaubenldquo deaktivieren
FTP von der Anwenderseite aus gesehen ndash FTP-Ser-ver testen
Mit FTP koumlnnen Sie Dateien von Ihrem Rechner auf einen ent-fernten Server uumlbertragen (Upload) oder von einem entferntenServer Dateien auf Ihren Rechner laden (Download)
Der FTP-Dienst ist auf verschiedene Art und Weise nutzbar
a) FTP-Programme
Beispiele
WS-FTP
FTPVoyager
CuteFTP
Es soll hier das Programm WS-FTP95 kurz erlaumlutert werden
1 Starten Sie das Programm WS-FTP95
2 Legen Sie ein Profil mit folgenden Eintraumlgen an (Klicken Sieauf die Schaltflaumlche bdquoNewldquo)
3 Mit OK verbinden Sie sich zum PIAKREMS-FTP-Server Linkssehen Sie die Verzeichnis-Laufwerksstruktur Ihres eigenen
64 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Rechners rechts sehen Sie die Verzeichnisstruktur desFTP-Servers mit dem Sie verbunden sind
4 Mit den Pfeilen in der Mitte koumlnnen Sie markierte Dateien vonIhrer Festplatte (links) auf den Server (rechts) kopieren oder um-gekehrt
b) Manuelle FTP-Sitzung
Aufruf
ftp Servername
FTP-Befehle delete literal prompt send debug ls put statusappend dir mdelete pwd traceascii disconnect mdir quit typebell get mget quote userbinary glob mkdir recv verbosebye hash mls remotehelpcd help mput renameclose lcd open rmdir
dir remote Verzeichnis auflisten
cd lcd Verzeichnis wechseln remote local
pwd aktuelles Verzeichnis
get mget Dateien von remote nach local kopieren
put mput Dateien von local nach remote kopieren
binary auf binaumlren Transfer (Programme Images ) um-schalten
prompt Bestaumltigung abschalten
user als Benutzer einloggen
open close Verbindung oumlffnen schlieszligen
Hilfe anzeigen
quit bye Programm beenden
Beispiel fuumlr eine manuelle FTP-Sitzung (Benutzereingabensind kursiv dargestellt)
CWIN98gtftp off97noewifiatVerbindung mit off97noewifiat220 wifi2 Microsoft FTP Service (Version 30)Benutzer (off97noewifiat(none)) user401331 Password required for user401Kennwort230-Herzlich Willkommen am Wifi Ftp-Server 230 User user401 logged inFtpgt dir200 PORT command successful150 Opening ASCII mode data connection for binlsd--------- 1 owner group 0 Aug 19 1999 kidsd--------- 1 owner group 0 Feb 17 1998 kktn---------- 1 owner group 0 Aug 18 1999 testtxt---------- 1 owner group 0 Aug 19 1999test3txt226 Transfer complete
Ftp 269 Bytes empfangen in 016Sekunden 168KBSekFtpgt get testtxt200 PORT command successful150 Opening ASCII mode data connection for testtxt(0 bytes)226 Transfer completeFtpgt put xxxhtm
200 PORT command successful150 Opening ASCII mode data connection for xxxhtm226 Transfer completeFtp 1777 Bytes gesendet in 000Sekunden 177700000KBSekFtpgt pwd257 is current directoryFtpgt quit221 Auf Wiedersehen
Wenn Sie als anonymer FTP-Nutzer arbeiten wollen so gebenSie als Benutzername anonymous an als Kennwort Ihre eigeneE-Mail-Adresse (Es ist kein Passwort noumltig allerdings verlangendie Regeln der Netiquette eine derartige ndash freiwillige ndash Identifizie-rung)
c) FTP uumlber den Browser
Auch uumlber Browser-Software ist eingeschraumlnkter FTP-Betriebmoumlglich Waumlhrend Downloads problemlos moumlglich sind koumlnnenUploads nicht durchgefuumlhrt werden
Wichtig Sollten Sie fuumlr den FTP-Server einen Benutzernamenund ein Kennwort eingeben muumlssen dann waumlhlen Sie bitte fol-gende Syntax fuumlr die Adresszeile des BrowsersftpBenutzernameKennwortftpserverat
(Anmerkung Das Passwort in der obigen Abbildung wurde abge-deckt bzw veraumlndert)
Der WWW-Dienst im IIS
Zunaumlchst legt man fuumlr den Kunden einen virtuellen Webserver(Website) an
officezahlerat Christian Zahler PCNEWS-70 November 200065
Installation einer Website SYSTEM
bdquoHandelnldquo mit Websites
Besitzt man mehrere IP-Adressen so kann man damit bdquohandelnldquodh der Webseite eines Kunden eine eigene IP-Adresse zuweisen
Dafuumlr gibt es mehrere Varianten
a) Zuordnung in der HOSTS-Datei1921682229 501_k1ilgedu1921682229 501_k2ilgedu
b) Host-Header-Name im IIS
Dem Kunden wird zunaumlchst eine eigene Seite mit eigenerIP-Adresse zugewiesen
Klick auf bdquoErweitertldquo liefert die Moumlglichkeit dieser Seite einenoder mehrere bdquoHost-Header-Namenldquo zuzuweisen
Es ist also denkbar ein und dieselbe Webseite mit mehreren Do-main-Namen aufzurufen (Aumlltere Browser unterstuumltzen dieseFunktion allerdings nicht)
Es gibt 3 Moumlglichkeiten verschiedene Webs an einem Server zubetreiben
verschiedene IP-Adressen
verschiedene Ports
verschiedene Host-Header-Namen (virtuelle Server)
66 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Schutz von Kindern und Jugendlichen durch RSA-Ci-Filter und PICS-Labels
Quellen
wwww3orgPICS
wwwrsacorg oder wwwicraorg
RSACi = Recreational Software Advisory Council for the Internet
Das RSACi-System ist ein Filtersystem fuumlr jugendgefaumlhrdende In-halte im Web das von der ICRA (Internet Content Rating Associa-tion) verwaltet wird Ziel dieses Systems ist die Gewaumlhrleistungder bdquoRedefreiheitldquo im Internet einerseits der Schutz von Kindernund Jugendlichen vor gefaumlhrlichen oder anstoumlszligigen Inhaltenandererseits
Das RSACi-System ist im Internet Explorer integriert Eltern koumln-nen ndash gesichert durch ein Supervisor-Kennwort ndash den Level be-stimmen der angezeigt werden soll
Fuumlr jeden RSACi-Label gibt es vier Sicherheitsstufen
Gewalt Nacktheit Sex Sprache
Level 4 Vergewalt i-gungen oderwillkuumlrlichebrutale Ge-waltakte
provozieren-de Nacktauf-nahmen vonvorn fotogra-fiert
Sexua l ve r-brechen oderb r u t a l e deutliche se-xuel le Vor-gaumlnge
Rohe vulgauml-re Sprachefreizuumlgige se-xuel le An-spielungen
Level 3 Agg re s s i veGewalt oderToumlten vonMenschen
VollstaumlndigeN a c k t h e i t von vorn fo-tografiert
Sexuelle Vor-gaumlnge
Deftige vul-gaumlre oderhasser fuumll l teSprechweiseo b s z ouml n eKraftausdruuml-cke
Level 2 Ze r s touml rungrealistischerObjekte
Te i l w e i s eNacktheit
Sexuelle Be-r uuml h r u n g e nim bekleide-ten Zustand
Kraftausdruuml-cke nicht se-xuell bezoge-ne anatomi-sche Anspie-lungen
Level 1 V e r l e t z e nvon Men-schen
AufreizendeBekleidung
L e i d e n-scha f t l i cheKuumlsse
S c h w a c h eKraftausdruuml-cke mi ldeA u s d r uuml c k efuumlr Koumlrper-funktionen
Level 0 Keine derobigen oderim Zusam-menhang mitSport
Keine derobigen
Keine derobigen oderldquounschuldi-gerdquo KuumlsseRomantik
Keine derobigen
Eine genauere Beschreibung der ICRA finden Sie in einem Doku-ment bei der Web-Version dieses Beitrags (icratxt)
officezahlerat Christian Zahler PCNEWS-70 November 200067
Installation einer Website SYSTEM
SSL und HTTPS
Der Microsoft Certificate Server (SSL und HTTPS)
Grundlagen der Kryptographie
Die Sicherheit der Datenuumlbertragung uumlber das Internet laumlsst sichdeutlich erhoumlhen wenn die Dateien nicht im Klartext uumlbertragenwerden sondern durch Verschluumlsselungsalgorithmen unlesbargemacht werden
(Quelle Microsoft Hilfe)
Man unterscheidet zwei Gruppen von Verschluumlsselungsverfah-ren
Symmetrische Verfahren Hier wird derselbe Schluumlssel zur Ver-und Entschluumlsselung verwendet
Asymmetrische Verfahren Hier werden zwei verschiedene Schluumls-sel verwendet ein bdquooumlffentlicher Schluumlsselldquo (public key) und einbdquoprivater Schluumlsselldquo (private key)
(Quelle Microsoft Hilfe)
Der MS Certificate Server ist im MS Option Pack fuumlr Windows NT40 enthalten wird aber standardmaumlszligig nicht mit installiert Ermuss entweder nach installiert werden oder wurde bereits mitder Vollinstallation des Option Packs mit installiert
Der MS Certificate Server erzeugt Zertifikate im X509-Format
Bei der Installation des Zertifikatsservers wird ein ldquoNotarrdquo instal-liert der selbst Zertifikate ausstellen kann Ein solcher ldquoNotarrdquo(Zertifizierungsinstanz englisch Certificate Agency CA) benoumltigtselbst nur ein so genanntes Basiszertifikat Solche Zertifikate gel-ten als ldquoabsolut vertrauenswuumlrdigrdquo und werden durch keine wei-tere Instanz bestaumltigt Basiszertifikate haben international natuumlr-lich nur dann Gewicht wenn die Organisation einen hohen Be-kanntheitsgrad bzw ein hohes Vertrauen des Publikums genieszligt
Moumlchte man eine Seite international guumlltig zertifizieren lassen so
gibt es dazu anerkannte Zertifizierungsinstitute
httpwwwverisigncom
68 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Ab jetzt ist es moumlglich Schluumlssel zu erstellen die vom eben instal-lierten Zertifikatsserver ldquosigniertrdquo werden koumlnnen
Das Eigenzertifikat wird im angegebenen Freigabeordner (hierCcert) abgelegt
Uumlberpruumlfen der Schluumlsselkonfiguration
Cgtcertutil -dumpEintrag 0Name WIFIOrganisationseinheit EDVOrganisation WIFI NiederoesterreichOrt St PoeltenBundesland NiederoesterreichLand ATKonfiguration I1WIFIAustauschzertifikat I1_WIFI_ExchangecrtSignaturzertifikat I1_WIFIcrtBeschreibung Test-Instanz
Erstellen eines eigenen Schluumlssels
Der naumlchste Schritt ist die Erstellung eines eigenen Schluumlsselpaa-res Der Schluumlssel muss natuumlrlich von einer Zertifizierungsinstitu-tion bestaumltigt werden Wir koumlnnten die Anforderung entweder anVerisign schicken oder von unserem eigenen Zertifizierungsser-ver bestaumltigen lassen
Rufen Sie dazu von der Microsoft Management-Konsole aus denSchluumlssel-Manager auf
Klicken Sie den abzusichernden Dienst (im allgemeinen WWW)mit der rechten Maustaste an und waumlhlen Sie [Neuen Schluumlssel
erstellen]
Wir haben nun folgende Situation Es wurde ein Schluumlssel er-stellt der bereits zur Bestaumltigung der Zertifizierungsinstanz ist
officezahlerat Christian Zahler PCNEWS-70 November 200069
Installation einer Website SYSTEM
Gleichzeitig wurde der Schluumlssel in einer Zertifizierungsanforde-rungsdatei gespeichert in unserem Fall c101ilgtxt
Diese Datei sieht folgendermaszligen aus
Als naumlchster Schritt wird die Anforderung an der Zertifikatsservergeschickt (wir verwenden unseren eigenen) der eine Bestaumltigung(digitale Signatur) durchfuumlhren soll Dafuumlr gibt es vorinstallierteHilfsprogramme aufrufbar unter
70 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Nun ist der Schluumlssel vollstaumlndig und kann verwendet werden
Absichern eines Verzeichnisses durch SSL
Vorbereitung Erstellen Sie ein Verzeichnis unterhalb eines virtu-ellen Servers eines Kunden Legen Sie eine HTML-Datei in die-ses Verzeichnis
Im folgenden Beispiel wurde unterhalb des virtuellen WWW-Ser-vers Kunde1_i1_WWW ein Verzeichnis verz angelegt das eineDatei ssltesthtm enthaumllt
Rufen Sie die Ei-genschaften desabzus icherndenVerzeichnisses imI IS (MMC) aufdann waumlhlen Siedie Kar te ikar teldquoVerzeichnissicher-heitrdquo Dort klickenSie im AbschnittldquoSichere Kommu-nikationrdquo auf dieSchaltflaumlche ldquoBe-arbeitenrdquo
officezahlerat Christian Zahler PCNEWS-70 November 200071
Installation einer Website SYSTEM
Kennwort einge-ben (dasselbe wiebei der Erzeugungdes Schluumlssels)
Nun muss noch eine Portnummer fuumlr die SSL-Kommunikationvergeben werden wir verwenden 443
Tests
Eingabe von httpssltesthtm schlaumlgt fehl
Erst durch das Protokoll https ist eine Anzeige der Datei moumlg-lich
ArbeitsplanCertificate ServerHTTPS - Secure socket layer
Certificate Server von Option Disk installieren
CA-Zertifikat (Basiszertifikat Sitezertifikat) erstellen
Name der Zertifizierungsinstanz Elektronischer Notar x x steht fuumlr denComputernamen zB 701
Im Anforderungsformular fuumlr das CA-Zertifikat duumlrfen keine Beistricheverwendet werden Beistriche werden als Feldende interpretiert und eswird eine unguumlltige Anforderung ohne Fehlerwarnung erstellt
Uumlberpruumlfen der Konfigurationsinformation CertUtil -dump Gibt den In-halt der Datei CertSrvtxt aus
Browserinstallation des CA-Zertifikats
IE50 Extras Internetoptionen Inhalt Zertifikate VertrauenswuumlrdigeStammzertifizierungsstellen
Hinweise auf RegistryeintraumlgeHKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyMachineKeysHKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesHKEY_LOCAL_MACHINESYSTEMControlSetControlSecurityProviders
Ordner fuumlr Konfigurationsdateien cmscf
cacertshtm Liste der Zertifikate der Zertifizierungsinstanz
Internetdienstmanager
Schluumlsselmanager
WWW Rechtsklick - Neuen Schluumlssel erstellen
Anforderung als Datei speichern die an eine Instanz gesendet wirdcCertsNewKeyReqtxt zB 701ilgedureqtxt
Schluumlsselname Computername und key zB 701key
Bei allgemeinem Namen IP-Adresse oder friendly name angeben
ccerts certreq newkeyrqtxt neqkeyaw zB 701ilgeduaw
Schluumlsselmanager Schluumlsselzertifikat installieren
Verzeichnis mit Verzeichnissicherheit einrichten RegisterkarteVerzeichnissicherheit Beim Zugriff auf diese Ressource sicherenChannel verlangen mit HTTPS anwaumlhlen
Versuche
CA-Zertifikat ist nicht (im Browser) installiert Das Sicherheitszertifikatwurde von einer Firma ausgestellt die Sie nicht als vertrauenswuumlrdig ein-gestuft haben Untersuchen Sie das Zertifikat um festzustellen ob Sie derausstellenden Institution vertrauen moumlchten
Schlosssymbol in Statuszeile als Zeichen fuumlr sichere Kommunikation
Angaben bei Allgemeiner Name stimmt nicht mit Namen beiDNS-Suchvorgang uumlberein Meldung Der auf dem Sicherheitszertifikatangegebene Name stimmt nicht mit dem Namen der Site uumlberein
72 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Rechners rechts sehen Sie die Verzeichnisstruktur desFTP-Servers mit dem Sie verbunden sind
4 Mit den Pfeilen in der Mitte koumlnnen Sie markierte Dateien vonIhrer Festplatte (links) auf den Server (rechts) kopieren oder um-gekehrt
b) Manuelle FTP-Sitzung
Aufruf
ftp Servername
FTP-Befehle delete literal prompt send debug ls put statusappend dir mdelete pwd traceascii disconnect mdir quit typebell get mget quote userbinary glob mkdir recv verbosebye hash mls remotehelpcd help mput renameclose lcd open rmdir
dir remote Verzeichnis auflisten
cd lcd Verzeichnis wechseln remote local
pwd aktuelles Verzeichnis
get mget Dateien von remote nach local kopieren
put mput Dateien von local nach remote kopieren
binary auf binaumlren Transfer (Programme Images ) um-schalten
prompt Bestaumltigung abschalten
user als Benutzer einloggen
open close Verbindung oumlffnen schlieszligen
Hilfe anzeigen
quit bye Programm beenden
Beispiel fuumlr eine manuelle FTP-Sitzung (Benutzereingabensind kursiv dargestellt)
CWIN98gtftp off97noewifiatVerbindung mit off97noewifiat220 wifi2 Microsoft FTP Service (Version 30)Benutzer (off97noewifiat(none)) user401331 Password required for user401Kennwort230-Herzlich Willkommen am Wifi Ftp-Server 230 User user401 logged inFtpgt dir200 PORT command successful150 Opening ASCII mode data connection for binlsd--------- 1 owner group 0 Aug 19 1999 kidsd--------- 1 owner group 0 Feb 17 1998 kktn---------- 1 owner group 0 Aug 18 1999 testtxt---------- 1 owner group 0 Aug 19 1999test3txt226 Transfer complete
Ftp 269 Bytes empfangen in 016Sekunden 168KBSekFtpgt get testtxt200 PORT command successful150 Opening ASCII mode data connection for testtxt(0 bytes)226 Transfer completeFtpgt put xxxhtm
200 PORT command successful150 Opening ASCII mode data connection for xxxhtm226 Transfer completeFtp 1777 Bytes gesendet in 000Sekunden 177700000KBSekFtpgt pwd257 is current directoryFtpgt quit221 Auf Wiedersehen
Wenn Sie als anonymer FTP-Nutzer arbeiten wollen so gebenSie als Benutzername anonymous an als Kennwort Ihre eigeneE-Mail-Adresse (Es ist kein Passwort noumltig allerdings verlangendie Regeln der Netiquette eine derartige ndash freiwillige ndash Identifizie-rung)
c) FTP uumlber den Browser
Auch uumlber Browser-Software ist eingeschraumlnkter FTP-Betriebmoumlglich Waumlhrend Downloads problemlos moumlglich sind koumlnnenUploads nicht durchgefuumlhrt werden
Wichtig Sollten Sie fuumlr den FTP-Server einen Benutzernamenund ein Kennwort eingeben muumlssen dann waumlhlen Sie bitte fol-gende Syntax fuumlr die Adresszeile des BrowsersftpBenutzernameKennwortftpserverat
(Anmerkung Das Passwort in der obigen Abbildung wurde abge-deckt bzw veraumlndert)
Der WWW-Dienst im IIS
Zunaumlchst legt man fuumlr den Kunden einen virtuellen Webserver(Website) an
officezahlerat Christian Zahler PCNEWS-70 November 200065
Installation einer Website SYSTEM
bdquoHandelnldquo mit Websites
Besitzt man mehrere IP-Adressen so kann man damit bdquohandelnldquodh der Webseite eines Kunden eine eigene IP-Adresse zuweisen
Dafuumlr gibt es mehrere Varianten
a) Zuordnung in der HOSTS-Datei1921682229 501_k1ilgedu1921682229 501_k2ilgedu
b) Host-Header-Name im IIS
Dem Kunden wird zunaumlchst eine eigene Seite mit eigenerIP-Adresse zugewiesen
Klick auf bdquoErweitertldquo liefert die Moumlglichkeit dieser Seite einenoder mehrere bdquoHost-Header-Namenldquo zuzuweisen
Es ist also denkbar ein und dieselbe Webseite mit mehreren Do-main-Namen aufzurufen (Aumlltere Browser unterstuumltzen dieseFunktion allerdings nicht)
Es gibt 3 Moumlglichkeiten verschiedene Webs an einem Server zubetreiben
verschiedene IP-Adressen
verschiedene Ports
verschiedene Host-Header-Namen (virtuelle Server)
66 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Schutz von Kindern und Jugendlichen durch RSA-Ci-Filter und PICS-Labels
Quellen
wwww3orgPICS
wwwrsacorg oder wwwicraorg
RSACi = Recreational Software Advisory Council for the Internet
Das RSACi-System ist ein Filtersystem fuumlr jugendgefaumlhrdende In-halte im Web das von der ICRA (Internet Content Rating Associa-tion) verwaltet wird Ziel dieses Systems ist die Gewaumlhrleistungder bdquoRedefreiheitldquo im Internet einerseits der Schutz von Kindernund Jugendlichen vor gefaumlhrlichen oder anstoumlszligigen Inhaltenandererseits
Das RSACi-System ist im Internet Explorer integriert Eltern koumln-nen ndash gesichert durch ein Supervisor-Kennwort ndash den Level be-stimmen der angezeigt werden soll
Fuumlr jeden RSACi-Label gibt es vier Sicherheitsstufen
Gewalt Nacktheit Sex Sprache
Level 4 Vergewalt i-gungen oderwillkuumlrlichebrutale Ge-waltakte
provozieren-de Nacktauf-nahmen vonvorn fotogra-fiert
Sexua l ve r-brechen oderb r u t a l e deutliche se-xuel le Vor-gaumlnge
Rohe vulgauml-re Sprachefreizuumlgige se-xuel le An-spielungen
Level 3 Agg re s s i veGewalt oderToumlten vonMenschen
VollstaumlndigeN a c k t h e i t von vorn fo-tografiert
Sexuelle Vor-gaumlnge
Deftige vul-gaumlre oderhasser fuumll l teSprechweiseo b s z ouml n eKraftausdruuml-cke
Level 2 Ze r s touml rungrealistischerObjekte
Te i l w e i s eNacktheit
Sexuelle Be-r uuml h r u n g e nim bekleide-ten Zustand
Kraftausdruuml-cke nicht se-xuell bezoge-ne anatomi-sche Anspie-lungen
Level 1 V e r l e t z e nvon Men-schen
AufreizendeBekleidung
L e i d e n-scha f t l i cheKuumlsse
S c h w a c h eKraftausdruuml-cke mi ldeA u s d r uuml c k efuumlr Koumlrper-funktionen
Level 0 Keine derobigen oderim Zusam-menhang mitSport
Keine derobigen
Keine derobigen oderldquounschuldi-gerdquo KuumlsseRomantik
Keine derobigen
Eine genauere Beschreibung der ICRA finden Sie in einem Doku-ment bei der Web-Version dieses Beitrags (icratxt)
officezahlerat Christian Zahler PCNEWS-70 November 200067
Installation einer Website SYSTEM
SSL und HTTPS
Der Microsoft Certificate Server (SSL und HTTPS)
Grundlagen der Kryptographie
Die Sicherheit der Datenuumlbertragung uumlber das Internet laumlsst sichdeutlich erhoumlhen wenn die Dateien nicht im Klartext uumlbertragenwerden sondern durch Verschluumlsselungsalgorithmen unlesbargemacht werden
(Quelle Microsoft Hilfe)
Man unterscheidet zwei Gruppen von Verschluumlsselungsverfah-ren
Symmetrische Verfahren Hier wird derselbe Schluumlssel zur Ver-und Entschluumlsselung verwendet
Asymmetrische Verfahren Hier werden zwei verschiedene Schluumls-sel verwendet ein bdquooumlffentlicher Schluumlsselldquo (public key) und einbdquoprivater Schluumlsselldquo (private key)
(Quelle Microsoft Hilfe)
Der MS Certificate Server ist im MS Option Pack fuumlr Windows NT40 enthalten wird aber standardmaumlszligig nicht mit installiert Ermuss entweder nach installiert werden oder wurde bereits mitder Vollinstallation des Option Packs mit installiert
Der MS Certificate Server erzeugt Zertifikate im X509-Format
Bei der Installation des Zertifikatsservers wird ein ldquoNotarrdquo instal-liert der selbst Zertifikate ausstellen kann Ein solcher ldquoNotarrdquo(Zertifizierungsinstanz englisch Certificate Agency CA) benoumltigtselbst nur ein so genanntes Basiszertifikat Solche Zertifikate gel-ten als ldquoabsolut vertrauenswuumlrdigrdquo und werden durch keine wei-tere Instanz bestaumltigt Basiszertifikate haben international natuumlr-lich nur dann Gewicht wenn die Organisation einen hohen Be-kanntheitsgrad bzw ein hohes Vertrauen des Publikums genieszligt
Moumlchte man eine Seite international guumlltig zertifizieren lassen so
gibt es dazu anerkannte Zertifizierungsinstitute
httpwwwverisigncom
68 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Ab jetzt ist es moumlglich Schluumlssel zu erstellen die vom eben instal-lierten Zertifikatsserver ldquosigniertrdquo werden koumlnnen
Das Eigenzertifikat wird im angegebenen Freigabeordner (hierCcert) abgelegt
Uumlberpruumlfen der Schluumlsselkonfiguration
Cgtcertutil -dumpEintrag 0Name WIFIOrganisationseinheit EDVOrganisation WIFI NiederoesterreichOrt St PoeltenBundesland NiederoesterreichLand ATKonfiguration I1WIFIAustauschzertifikat I1_WIFI_ExchangecrtSignaturzertifikat I1_WIFIcrtBeschreibung Test-Instanz
Erstellen eines eigenen Schluumlssels
Der naumlchste Schritt ist die Erstellung eines eigenen Schluumlsselpaa-res Der Schluumlssel muss natuumlrlich von einer Zertifizierungsinstitu-tion bestaumltigt werden Wir koumlnnten die Anforderung entweder anVerisign schicken oder von unserem eigenen Zertifizierungsser-ver bestaumltigen lassen
Rufen Sie dazu von der Microsoft Management-Konsole aus denSchluumlssel-Manager auf
Klicken Sie den abzusichernden Dienst (im allgemeinen WWW)mit der rechten Maustaste an und waumlhlen Sie [Neuen Schluumlssel
erstellen]
Wir haben nun folgende Situation Es wurde ein Schluumlssel er-stellt der bereits zur Bestaumltigung der Zertifizierungsinstanz ist
officezahlerat Christian Zahler PCNEWS-70 November 200069
Installation einer Website SYSTEM
Gleichzeitig wurde der Schluumlssel in einer Zertifizierungsanforde-rungsdatei gespeichert in unserem Fall c101ilgtxt
Diese Datei sieht folgendermaszligen aus
Als naumlchster Schritt wird die Anforderung an der Zertifikatsservergeschickt (wir verwenden unseren eigenen) der eine Bestaumltigung(digitale Signatur) durchfuumlhren soll Dafuumlr gibt es vorinstallierteHilfsprogramme aufrufbar unter
70 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Nun ist der Schluumlssel vollstaumlndig und kann verwendet werden
Absichern eines Verzeichnisses durch SSL
Vorbereitung Erstellen Sie ein Verzeichnis unterhalb eines virtu-ellen Servers eines Kunden Legen Sie eine HTML-Datei in die-ses Verzeichnis
Im folgenden Beispiel wurde unterhalb des virtuellen WWW-Ser-vers Kunde1_i1_WWW ein Verzeichnis verz angelegt das eineDatei ssltesthtm enthaumllt
Rufen Sie die Ei-genschaften desabzus icherndenVerzeichnisses imI IS (MMC) aufdann waumlhlen Siedie Kar te ikar teldquoVerzeichnissicher-heitrdquo Dort klickenSie im AbschnittldquoSichere Kommu-nikationrdquo auf dieSchaltflaumlche ldquoBe-arbeitenrdquo
officezahlerat Christian Zahler PCNEWS-70 November 200071
Installation einer Website SYSTEM
Kennwort einge-ben (dasselbe wiebei der Erzeugungdes Schluumlssels)
Nun muss noch eine Portnummer fuumlr die SSL-Kommunikationvergeben werden wir verwenden 443
Tests
Eingabe von httpssltesthtm schlaumlgt fehl
Erst durch das Protokoll https ist eine Anzeige der Datei moumlg-lich
ArbeitsplanCertificate ServerHTTPS - Secure socket layer
Certificate Server von Option Disk installieren
CA-Zertifikat (Basiszertifikat Sitezertifikat) erstellen
Name der Zertifizierungsinstanz Elektronischer Notar x x steht fuumlr denComputernamen zB 701
Im Anforderungsformular fuumlr das CA-Zertifikat duumlrfen keine Beistricheverwendet werden Beistriche werden als Feldende interpretiert und eswird eine unguumlltige Anforderung ohne Fehlerwarnung erstellt
Uumlberpruumlfen der Konfigurationsinformation CertUtil -dump Gibt den In-halt der Datei CertSrvtxt aus
Browserinstallation des CA-Zertifikats
IE50 Extras Internetoptionen Inhalt Zertifikate VertrauenswuumlrdigeStammzertifizierungsstellen
Hinweise auf RegistryeintraumlgeHKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyMachineKeysHKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesHKEY_LOCAL_MACHINESYSTEMControlSetControlSecurityProviders
Ordner fuumlr Konfigurationsdateien cmscf
cacertshtm Liste der Zertifikate der Zertifizierungsinstanz
Internetdienstmanager
Schluumlsselmanager
WWW Rechtsklick - Neuen Schluumlssel erstellen
Anforderung als Datei speichern die an eine Instanz gesendet wirdcCertsNewKeyReqtxt zB 701ilgedureqtxt
Schluumlsselname Computername und key zB 701key
Bei allgemeinem Namen IP-Adresse oder friendly name angeben
ccerts certreq newkeyrqtxt neqkeyaw zB 701ilgeduaw
Schluumlsselmanager Schluumlsselzertifikat installieren
Verzeichnis mit Verzeichnissicherheit einrichten RegisterkarteVerzeichnissicherheit Beim Zugriff auf diese Ressource sicherenChannel verlangen mit HTTPS anwaumlhlen
Versuche
CA-Zertifikat ist nicht (im Browser) installiert Das Sicherheitszertifikatwurde von einer Firma ausgestellt die Sie nicht als vertrauenswuumlrdig ein-gestuft haben Untersuchen Sie das Zertifikat um festzustellen ob Sie derausstellenden Institution vertrauen moumlchten
Schlosssymbol in Statuszeile als Zeichen fuumlr sichere Kommunikation
Angaben bei Allgemeiner Name stimmt nicht mit Namen beiDNS-Suchvorgang uumlberein Meldung Der auf dem Sicherheitszertifikatangegebene Name stimmt nicht mit dem Namen der Site uumlberein
72 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
bdquoHandelnldquo mit Websites
Besitzt man mehrere IP-Adressen so kann man damit bdquohandelnldquodh der Webseite eines Kunden eine eigene IP-Adresse zuweisen
Dafuumlr gibt es mehrere Varianten
a) Zuordnung in der HOSTS-Datei1921682229 501_k1ilgedu1921682229 501_k2ilgedu
b) Host-Header-Name im IIS
Dem Kunden wird zunaumlchst eine eigene Seite mit eigenerIP-Adresse zugewiesen
Klick auf bdquoErweitertldquo liefert die Moumlglichkeit dieser Seite einenoder mehrere bdquoHost-Header-Namenldquo zuzuweisen
Es ist also denkbar ein und dieselbe Webseite mit mehreren Do-main-Namen aufzurufen (Aumlltere Browser unterstuumltzen dieseFunktion allerdings nicht)
Es gibt 3 Moumlglichkeiten verschiedene Webs an einem Server zubetreiben
verschiedene IP-Adressen
verschiedene Ports
verschiedene Host-Header-Namen (virtuelle Server)
66 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Schutz von Kindern und Jugendlichen durch RSA-Ci-Filter und PICS-Labels
Quellen
wwww3orgPICS
wwwrsacorg oder wwwicraorg
RSACi = Recreational Software Advisory Council for the Internet
Das RSACi-System ist ein Filtersystem fuumlr jugendgefaumlhrdende In-halte im Web das von der ICRA (Internet Content Rating Associa-tion) verwaltet wird Ziel dieses Systems ist die Gewaumlhrleistungder bdquoRedefreiheitldquo im Internet einerseits der Schutz von Kindernund Jugendlichen vor gefaumlhrlichen oder anstoumlszligigen Inhaltenandererseits
Das RSACi-System ist im Internet Explorer integriert Eltern koumln-nen ndash gesichert durch ein Supervisor-Kennwort ndash den Level be-stimmen der angezeigt werden soll
Fuumlr jeden RSACi-Label gibt es vier Sicherheitsstufen
Gewalt Nacktheit Sex Sprache
Level 4 Vergewalt i-gungen oderwillkuumlrlichebrutale Ge-waltakte
provozieren-de Nacktauf-nahmen vonvorn fotogra-fiert
Sexua l ve r-brechen oderb r u t a l e deutliche se-xuel le Vor-gaumlnge
Rohe vulgauml-re Sprachefreizuumlgige se-xuel le An-spielungen
Level 3 Agg re s s i veGewalt oderToumlten vonMenschen
VollstaumlndigeN a c k t h e i t von vorn fo-tografiert
Sexuelle Vor-gaumlnge
Deftige vul-gaumlre oderhasser fuumll l teSprechweiseo b s z ouml n eKraftausdruuml-cke
Level 2 Ze r s touml rungrealistischerObjekte
Te i l w e i s eNacktheit
Sexuelle Be-r uuml h r u n g e nim bekleide-ten Zustand
Kraftausdruuml-cke nicht se-xuell bezoge-ne anatomi-sche Anspie-lungen
Level 1 V e r l e t z e nvon Men-schen
AufreizendeBekleidung
L e i d e n-scha f t l i cheKuumlsse
S c h w a c h eKraftausdruuml-cke mi ldeA u s d r uuml c k efuumlr Koumlrper-funktionen
Level 0 Keine derobigen oderim Zusam-menhang mitSport
Keine derobigen
Keine derobigen oderldquounschuldi-gerdquo KuumlsseRomantik
Keine derobigen
Eine genauere Beschreibung der ICRA finden Sie in einem Doku-ment bei der Web-Version dieses Beitrags (icratxt)
officezahlerat Christian Zahler PCNEWS-70 November 200067
Installation einer Website SYSTEM
SSL und HTTPS
Der Microsoft Certificate Server (SSL und HTTPS)
Grundlagen der Kryptographie
Die Sicherheit der Datenuumlbertragung uumlber das Internet laumlsst sichdeutlich erhoumlhen wenn die Dateien nicht im Klartext uumlbertragenwerden sondern durch Verschluumlsselungsalgorithmen unlesbargemacht werden
(Quelle Microsoft Hilfe)
Man unterscheidet zwei Gruppen von Verschluumlsselungsverfah-ren
Symmetrische Verfahren Hier wird derselbe Schluumlssel zur Ver-und Entschluumlsselung verwendet
Asymmetrische Verfahren Hier werden zwei verschiedene Schluumls-sel verwendet ein bdquooumlffentlicher Schluumlsselldquo (public key) und einbdquoprivater Schluumlsselldquo (private key)
(Quelle Microsoft Hilfe)
Der MS Certificate Server ist im MS Option Pack fuumlr Windows NT40 enthalten wird aber standardmaumlszligig nicht mit installiert Ermuss entweder nach installiert werden oder wurde bereits mitder Vollinstallation des Option Packs mit installiert
Der MS Certificate Server erzeugt Zertifikate im X509-Format
Bei der Installation des Zertifikatsservers wird ein ldquoNotarrdquo instal-liert der selbst Zertifikate ausstellen kann Ein solcher ldquoNotarrdquo(Zertifizierungsinstanz englisch Certificate Agency CA) benoumltigtselbst nur ein so genanntes Basiszertifikat Solche Zertifikate gel-ten als ldquoabsolut vertrauenswuumlrdigrdquo und werden durch keine wei-tere Instanz bestaumltigt Basiszertifikate haben international natuumlr-lich nur dann Gewicht wenn die Organisation einen hohen Be-kanntheitsgrad bzw ein hohes Vertrauen des Publikums genieszligt
Moumlchte man eine Seite international guumlltig zertifizieren lassen so
gibt es dazu anerkannte Zertifizierungsinstitute
httpwwwverisigncom
68 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Ab jetzt ist es moumlglich Schluumlssel zu erstellen die vom eben instal-lierten Zertifikatsserver ldquosigniertrdquo werden koumlnnen
Das Eigenzertifikat wird im angegebenen Freigabeordner (hierCcert) abgelegt
Uumlberpruumlfen der Schluumlsselkonfiguration
Cgtcertutil -dumpEintrag 0Name WIFIOrganisationseinheit EDVOrganisation WIFI NiederoesterreichOrt St PoeltenBundesland NiederoesterreichLand ATKonfiguration I1WIFIAustauschzertifikat I1_WIFI_ExchangecrtSignaturzertifikat I1_WIFIcrtBeschreibung Test-Instanz
Erstellen eines eigenen Schluumlssels
Der naumlchste Schritt ist die Erstellung eines eigenen Schluumlsselpaa-res Der Schluumlssel muss natuumlrlich von einer Zertifizierungsinstitu-tion bestaumltigt werden Wir koumlnnten die Anforderung entweder anVerisign schicken oder von unserem eigenen Zertifizierungsser-ver bestaumltigen lassen
Rufen Sie dazu von der Microsoft Management-Konsole aus denSchluumlssel-Manager auf
Klicken Sie den abzusichernden Dienst (im allgemeinen WWW)mit der rechten Maustaste an und waumlhlen Sie [Neuen Schluumlssel
erstellen]
Wir haben nun folgende Situation Es wurde ein Schluumlssel er-stellt der bereits zur Bestaumltigung der Zertifizierungsinstanz ist
officezahlerat Christian Zahler PCNEWS-70 November 200069
Installation einer Website SYSTEM
Gleichzeitig wurde der Schluumlssel in einer Zertifizierungsanforde-rungsdatei gespeichert in unserem Fall c101ilgtxt
Diese Datei sieht folgendermaszligen aus
Als naumlchster Schritt wird die Anforderung an der Zertifikatsservergeschickt (wir verwenden unseren eigenen) der eine Bestaumltigung(digitale Signatur) durchfuumlhren soll Dafuumlr gibt es vorinstallierteHilfsprogramme aufrufbar unter
70 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Nun ist der Schluumlssel vollstaumlndig und kann verwendet werden
Absichern eines Verzeichnisses durch SSL
Vorbereitung Erstellen Sie ein Verzeichnis unterhalb eines virtu-ellen Servers eines Kunden Legen Sie eine HTML-Datei in die-ses Verzeichnis
Im folgenden Beispiel wurde unterhalb des virtuellen WWW-Ser-vers Kunde1_i1_WWW ein Verzeichnis verz angelegt das eineDatei ssltesthtm enthaumllt
Rufen Sie die Ei-genschaften desabzus icherndenVerzeichnisses imI IS (MMC) aufdann waumlhlen Siedie Kar te ikar teldquoVerzeichnissicher-heitrdquo Dort klickenSie im AbschnittldquoSichere Kommu-nikationrdquo auf dieSchaltflaumlche ldquoBe-arbeitenrdquo
officezahlerat Christian Zahler PCNEWS-70 November 200071
Installation einer Website SYSTEM
Kennwort einge-ben (dasselbe wiebei der Erzeugungdes Schluumlssels)
Nun muss noch eine Portnummer fuumlr die SSL-Kommunikationvergeben werden wir verwenden 443
Tests
Eingabe von httpssltesthtm schlaumlgt fehl
Erst durch das Protokoll https ist eine Anzeige der Datei moumlg-lich
ArbeitsplanCertificate ServerHTTPS - Secure socket layer
Certificate Server von Option Disk installieren
CA-Zertifikat (Basiszertifikat Sitezertifikat) erstellen
Name der Zertifizierungsinstanz Elektronischer Notar x x steht fuumlr denComputernamen zB 701
Im Anforderungsformular fuumlr das CA-Zertifikat duumlrfen keine Beistricheverwendet werden Beistriche werden als Feldende interpretiert und eswird eine unguumlltige Anforderung ohne Fehlerwarnung erstellt
Uumlberpruumlfen der Konfigurationsinformation CertUtil -dump Gibt den In-halt der Datei CertSrvtxt aus
Browserinstallation des CA-Zertifikats
IE50 Extras Internetoptionen Inhalt Zertifikate VertrauenswuumlrdigeStammzertifizierungsstellen
Hinweise auf RegistryeintraumlgeHKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyMachineKeysHKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesHKEY_LOCAL_MACHINESYSTEMControlSetControlSecurityProviders
Ordner fuumlr Konfigurationsdateien cmscf
cacertshtm Liste der Zertifikate der Zertifizierungsinstanz
Internetdienstmanager
Schluumlsselmanager
WWW Rechtsklick - Neuen Schluumlssel erstellen
Anforderung als Datei speichern die an eine Instanz gesendet wirdcCertsNewKeyReqtxt zB 701ilgedureqtxt
Schluumlsselname Computername und key zB 701key
Bei allgemeinem Namen IP-Adresse oder friendly name angeben
ccerts certreq newkeyrqtxt neqkeyaw zB 701ilgeduaw
Schluumlsselmanager Schluumlsselzertifikat installieren
Verzeichnis mit Verzeichnissicherheit einrichten RegisterkarteVerzeichnissicherheit Beim Zugriff auf diese Ressource sicherenChannel verlangen mit HTTPS anwaumlhlen
Versuche
CA-Zertifikat ist nicht (im Browser) installiert Das Sicherheitszertifikatwurde von einer Firma ausgestellt die Sie nicht als vertrauenswuumlrdig ein-gestuft haben Untersuchen Sie das Zertifikat um festzustellen ob Sie derausstellenden Institution vertrauen moumlchten
Schlosssymbol in Statuszeile als Zeichen fuumlr sichere Kommunikation
Angaben bei Allgemeiner Name stimmt nicht mit Namen beiDNS-Suchvorgang uumlberein Meldung Der auf dem Sicherheitszertifikatangegebene Name stimmt nicht mit dem Namen der Site uumlberein
72 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Schutz von Kindern und Jugendlichen durch RSA-Ci-Filter und PICS-Labels
Quellen
wwww3orgPICS
wwwrsacorg oder wwwicraorg
RSACi = Recreational Software Advisory Council for the Internet
Das RSACi-System ist ein Filtersystem fuumlr jugendgefaumlhrdende In-halte im Web das von der ICRA (Internet Content Rating Associa-tion) verwaltet wird Ziel dieses Systems ist die Gewaumlhrleistungder bdquoRedefreiheitldquo im Internet einerseits der Schutz von Kindernund Jugendlichen vor gefaumlhrlichen oder anstoumlszligigen Inhaltenandererseits
Das RSACi-System ist im Internet Explorer integriert Eltern koumln-nen ndash gesichert durch ein Supervisor-Kennwort ndash den Level be-stimmen der angezeigt werden soll
Fuumlr jeden RSACi-Label gibt es vier Sicherheitsstufen
Gewalt Nacktheit Sex Sprache
Level 4 Vergewalt i-gungen oderwillkuumlrlichebrutale Ge-waltakte
provozieren-de Nacktauf-nahmen vonvorn fotogra-fiert
Sexua l ve r-brechen oderb r u t a l e deutliche se-xuel le Vor-gaumlnge
Rohe vulgauml-re Sprachefreizuumlgige se-xuel le An-spielungen
Level 3 Agg re s s i veGewalt oderToumlten vonMenschen
VollstaumlndigeN a c k t h e i t von vorn fo-tografiert
Sexuelle Vor-gaumlnge
Deftige vul-gaumlre oderhasser fuumll l teSprechweiseo b s z ouml n eKraftausdruuml-cke
Level 2 Ze r s touml rungrealistischerObjekte
Te i l w e i s eNacktheit
Sexuelle Be-r uuml h r u n g e nim bekleide-ten Zustand
Kraftausdruuml-cke nicht se-xuell bezoge-ne anatomi-sche Anspie-lungen
Level 1 V e r l e t z e nvon Men-schen
AufreizendeBekleidung
L e i d e n-scha f t l i cheKuumlsse
S c h w a c h eKraftausdruuml-cke mi ldeA u s d r uuml c k efuumlr Koumlrper-funktionen
Level 0 Keine derobigen oderim Zusam-menhang mitSport
Keine derobigen
Keine derobigen oderldquounschuldi-gerdquo KuumlsseRomantik
Keine derobigen
Eine genauere Beschreibung der ICRA finden Sie in einem Doku-ment bei der Web-Version dieses Beitrags (icratxt)
officezahlerat Christian Zahler PCNEWS-70 November 200067
Installation einer Website SYSTEM
SSL und HTTPS
Der Microsoft Certificate Server (SSL und HTTPS)
Grundlagen der Kryptographie
Die Sicherheit der Datenuumlbertragung uumlber das Internet laumlsst sichdeutlich erhoumlhen wenn die Dateien nicht im Klartext uumlbertragenwerden sondern durch Verschluumlsselungsalgorithmen unlesbargemacht werden
(Quelle Microsoft Hilfe)
Man unterscheidet zwei Gruppen von Verschluumlsselungsverfah-ren
Symmetrische Verfahren Hier wird derselbe Schluumlssel zur Ver-und Entschluumlsselung verwendet
Asymmetrische Verfahren Hier werden zwei verschiedene Schluumls-sel verwendet ein bdquooumlffentlicher Schluumlsselldquo (public key) und einbdquoprivater Schluumlsselldquo (private key)
(Quelle Microsoft Hilfe)
Der MS Certificate Server ist im MS Option Pack fuumlr Windows NT40 enthalten wird aber standardmaumlszligig nicht mit installiert Ermuss entweder nach installiert werden oder wurde bereits mitder Vollinstallation des Option Packs mit installiert
Der MS Certificate Server erzeugt Zertifikate im X509-Format
Bei der Installation des Zertifikatsservers wird ein ldquoNotarrdquo instal-liert der selbst Zertifikate ausstellen kann Ein solcher ldquoNotarrdquo(Zertifizierungsinstanz englisch Certificate Agency CA) benoumltigtselbst nur ein so genanntes Basiszertifikat Solche Zertifikate gel-ten als ldquoabsolut vertrauenswuumlrdigrdquo und werden durch keine wei-tere Instanz bestaumltigt Basiszertifikate haben international natuumlr-lich nur dann Gewicht wenn die Organisation einen hohen Be-kanntheitsgrad bzw ein hohes Vertrauen des Publikums genieszligt
Moumlchte man eine Seite international guumlltig zertifizieren lassen so
gibt es dazu anerkannte Zertifizierungsinstitute
httpwwwverisigncom
68 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Ab jetzt ist es moumlglich Schluumlssel zu erstellen die vom eben instal-lierten Zertifikatsserver ldquosigniertrdquo werden koumlnnen
Das Eigenzertifikat wird im angegebenen Freigabeordner (hierCcert) abgelegt
Uumlberpruumlfen der Schluumlsselkonfiguration
Cgtcertutil -dumpEintrag 0Name WIFIOrganisationseinheit EDVOrganisation WIFI NiederoesterreichOrt St PoeltenBundesland NiederoesterreichLand ATKonfiguration I1WIFIAustauschzertifikat I1_WIFI_ExchangecrtSignaturzertifikat I1_WIFIcrtBeschreibung Test-Instanz
Erstellen eines eigenen Schluumlssels
Der naumlchste Schritt ist die Erstellung eines eigenen Schluumlsselpaa-res Der Schluumlssel muss natuumlrlich von einer Zertifizierungsinstitu-tion bestaumltigt werden Wir koumlnnten die Anforderung entweder anVerisign schicken oder von unserem eigenen Zertifizierungsser-ver bestaumltigen lassen
Rufen Sie dazu von der Microsoft Management-Konsole aus denSchluumlssel-Manager auf
Klicken Sie den abzusichernden Dienst (im allgemeinen WWW)mit der rechten Maustaste an und waumlhlen Sie [Neuen Schluumlssel
erstellen]
Wir haben nun folgende Situation Es wurde ein Schluumlssel er-stellt der bereits zur Bestaumltigung der Zertifizierungsinstanz ist
officezahlerat Christian Zahler PCNEWS-70 November 200069
Installation einer Website SYSTEM
Gleichzeitig wurde der Schluumlssel in einer Zertifizierungsanforde-rungsdatei gespeichert in unserem Fall c101ilgtxt
Diese Datei sieht folgendermaszligen aus
Als naumlchster Schritt wird die Anforderung an der Zertifikatsservergeschickt (wir verwenden unseren eigenen) der eine Bestaumltigung(digitale Signatur) durchfuumlhren soll Dafuumlr gibt es vorinstallierteHilfsprogramme aufrufbar unter
70 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Nun ist der Schluumlssel vollstaumlndig und kann verwendet werden
Absichern eines Verzeichnisses durch SSL
Vorbereitung Erstellen Sie ein Verzeichnis unterhalb eines virtu-ellen Servers eines Kunden Legen Sie eine HTML-Datei in die-ses Verzeichnis
Im folgenden Beispiel wurde unterhalb des virtuellen WWW-Ser-vers Kunde1_i1_WWW ein Verzeichnis verz angelegt das eineDatei ssltesthtm enthaumllt
Rufen Sie die Ei-genschaften desabzus icherndenVerzeichnisses imI IS (MMC) aufdann waumlhlen Siedie Kar te ikar teldquoVerzeichnissicher-heitrdquo Dort klickenSie im AbschnittldquoSichere Kommu-nikationrdquo auf dieSchaltflaumlche ldquoBe-arbeitenrdquo
officezahlerat Christian Zahler PCNEWS-70 November 200071
Installation einer Website SYSTEM
Kennwort einge-ben (dasselbe wiebei der Erzeugungdes Schluumlssels)
Nun muss noch eine Portnummer fuumlr die SSL-Kommunikationvergeben werden wir verwenden 443
Tests
Eingabe von httpssltesthtm schlaumlgt fehl
Erst durch das Protokoll https ist eine Anzeige der Datei moumlg-lich
ArbeitsplanCertificate ServerHTTPS - Secure socket layer
Certificate Server von Option Disk installieren
CA-Zertifikat (Basiszertifikat Sitezertifikat) erstellen
Name der Zertifizierungsinstanz Elektronischer Notar x x steht fuumlr denComputernamen zB 701
Im Anforderungsformular fuumlr das CA-Zertifikat duumlrfen keine Beistricheverwendet werden Beistriche werden als Feldende interpretiert und eswird eine unguumlltige Anforderung ohne Fehlerwarnung erstellt
Uumlberpruumlfen der Konfigurationsinformation CertUtil -dump Gibt den In-halt der Datei CertSrvtxt aus
Browserinstallation des CA-Zertifikats
IE50 Extras Internetoptionen Inhalt Zertifikate VertrauenswuumlrdigeStammzertifizierungsstellen
Hinweise auf RegistryeintraumlgeHKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyMachineKeysHKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesHKEY_LOCAL_MACHINESYSTEMControlSetControlSecurityProviders
Ordner fuumlr Konfigurationsdateien cmscf
cacertshtm Liste der Zertifikate der Zertifizierungsinstanz
Internetdienstmanager
Schluumlsselmanager
WWW Rechtsklick - Neuen Schluumlssel erstellen
Anforderung als Datei speichern die an eine Instanz gesendet wirdcCertsNewKeyReqtxt zB 701ilgedureqtxt
Schluumlsselname Computername und key zB 701key
Bei allgemeinem Namen IP-Adresse oder friendly name angeben
ccerts certreq newkeyrqtxt neqkeyaw zB 701ilgeduaw
Schluumlsselmanager Schluumlsselzertifikat installieren
Verzeichnis mit Verzeichnissicherheit einrichten RegisterkarteVerzeichnissicherheit Beim Zugriff auf diese Ressource sicherenChannel verlangen mit HTTPS anwaumlhlen
Versuche
CA-Zertifikat ist nicht (im Browser) installiert Das Sicherheitszertifikatwurde von einer Firma ausgestellt die Sie nicht als vertrauenswuumlrdig ein-gestuft haben Untersuchen Sie das Zertifikat um festzustellen ob Sie derausstellenden Institution vertrauen moumlchten
Schlosssymbol in Statuszeile als Zeichen fuumlr sichere Kommunikation
Angaben bei Allgemeiner Name stimmt nicht mit Namen beiDNS-Suchvorgang uumlberein Meldung Der auf dem Sicherheitszertifikatangegebene Name stimmt nicht mit dem Namen der Site uumlberein
72 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
SSL und HTTPS
Der Microsoft Certificate Server (SSL und HTTPS)
Grundlagen der Kryptographie
Die Sicherheit der Datenuumlbertragung uumlber das Internet laumlsst sichdeutlich erhoumlhen wenn die Dateien nicht im Klartext uumlbertragenwerden sondern durch Verschluumlsselungsalgorithmen unlesbargemacht werden
(Quelle Microsoft Hilfe)
Man unterscheidet zwei Gruppen von Verschluumlsselungsverfah-ren
Symmetrische Verfahren Hier wird derselbe Schluumlssel zur Ver-und Entschluumlsselung verwendet
Asymmetrische Verfahren Hier werden zwei verschiedene Schluumls-sel verwendet ein bdquooumlffentlicher Schluumlsselldquo (public key) und einbdquoprivater Schluumlsselldquo (private key)
(Quelle Microsoft Hilfe)
Der MS Certificate Server ist im MS Option Pack fuumlr Windows NT40 enthalten wird aber standardmaumlszligig nicht mit installiert Ermuss entweder nach installiert werden oder wurde bereits mitder Vollinstallation des Option Packs mit installiert
Der MS Certificate Server erzeugt Zertifikate im X509-Format
Bei der Installation des Zertifikatsservers wird ein ldquoNotarrdquo instal-liert der selbst Zertifikate ausstellen kann Ein solcher ldquoNotarrdquo(Zertifizierungsinstanz englisch Certificate Agency CA) benoumltigtselbst nur ein so genanntes Basiszertifikat Solche Zertifikate gel-ten als ldquoabsolut vertrauenswuumlrdigrdquo und werden durch keine wei-tere Instanz bestaumltigt Basiszertifikate haben international natuumlr-lich nur dann Gewicht wenn die Organisation einen hohen Be-kanntheitsgrad bzw ein hohes Vertrauen des Publikums genieszligt
Moumlchte man eine Seite international guumlltig zertifizieren lassen so
gibt es dazu anerkannte Zertifizierungsinstitute
httpwwwverisigncom
68 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Ab jetzt ist es moumlglich Schluumlssel zu erstellen die vom eben instal-lierten Zertifikatsserver ldquosigniertrdquo werden koumlnnen
Das Eigenzertifikat wird im angegebenen Freigabeordner (hierCcert) abgelegt
Uumlberpruumlfen der Schluumlsselkonfiguration
Cgtcertutil -dumpEintrag 0Name WIFIOrganisationseinheit EDVOrganisation WIFI NiederoesterreichOrt St PoeltenBundesland NiederoesterreichLand ATKonfiguration I1WIFIAustauschzertifikat I1_WIFI_ExchangecrtSignaturzertifikat I1_WIFIcrtBeschreibung Test-Instanz
Erstellen eines eigenen Schluumlssels
Der naumlchste Schritt ist die Erstellung eines eigenen Schluumlsselpaa-res Der Schluumlssel muss natuumlrlich von einer Zertifizierungsinstitu-tion bestaumltigt werden Wir koumlnnten die Anforderung entweder anVerisign schicken oder von unserem eigenen Zertifizierungsser-ver bestaumltigen lassen
Rufen Sie dazu von der Microsoft Management-Konsole aus denSchluumlssel-Manager auf
Klicken Sie den abzusichernden Dienst (im allgemeinen WWW)mit der rechten Maustaste an und waumlhlen Sie [Neuen Schluumlssel
erstellen]
Wir haben nun folgende Situation Es wurde ein Schluumlssel er-stellt der bereits zur Bestaumltigung der Zertifizierungsinstanz ist
officezahlerat Christian Zahler PCNEWS-70 November 200069
Installation einer Website SYSTEM
Gleichzeitig wurde der Schluumlssel in einer Zertifizierungsanforde-rungsdatei gespeichert in unserem Fall c101ilgtxt
Diese Datei sieht folgendermaszligen aus
Als naumlchster Schritt wird die Anforderung an der Zertifikatsservergeschickt (wir verwenden unseren eigenen) der eine Bestaumltigung(digitale Signatur) durchfuumlhren soll Dafuumlr gibt es vorinstallierteHilfsprogramme aufrufbar unter
70 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Nun ist der Schluumlssel vollstaumlndig und kann verwendet werden
Absichern eines Verzeichnisses durch SSL
Vorbereitung Erstellen Sie ein Verzeichnis unterhalb eines virtu-ellen Servers eines Kunden Legen Sie eine HTML-Datei in die-ses Verzeichnis
Im folgenden Beispiel wurde unterhalb des virtuellen WWW-Ser-vers Kunde1_i1_WWW ein Verzeichnis verz angelegt das eineDatei ssltesthtm enthaumllt
Rufen Sie die Ei-genschaften desabzus icherndenVerzeichnisses imI IS (MMC) aufdann waumlhlen Siedie Kar te ikar teldquoVerzeichnissicher-heitrdquo Dort klickenSie im AbschnittldquoSichere Kommu-nikationrdquo auf dieSchaltflaumlche ldquoBe-arbeitenrdquo
officezahlerat Christian Zahler PCNEWS-70 November 200071
Installation einer Website SYSTEM
Kennwort einge-ben (dasselbe wiebei der Erzeugungdes Schluumlssels)
Nun muss noch eine Portnummer fuumlr die SSL-Kommunikationvergeben werden wir verwenden 443
Tests
Eingabe von httpssltesthtm schlaumlgt fehl
Erst durch das Protokoll https ist eine Anzeige der Datei moumlg-lich
ArbeitsplanCertificate ServerHTTPS - Secure socket layer
Certificate Server von Option Disk installieren
CA-Zertifikat (Basiszertifikat Sitezertifikat) erstellen
Name der Zertifizierungsinstanz Elektronischer Notar x x steht fuumlr denComputernamen zB 701
Im Anforderungsformular fuumlr das CA-Zertifikat duumlrfen keine Beistricheverwendet werden Beistriche werden als Feldende interpretiert und eswird eine unguumlltige Anforderung ohne Fehlerwarnung erstellt
Uumlberpruumlfen der Konfigurationsinformation CertUtil -dump Gibt den In-halt der Datei CertSrvtxt aus
Browserinstallation des CA-Zertifikats
IE50 Extras Internetoptionen Inhalt Zertifikate VertrauenswuumlrdigeStammzertifizierungsstellen
Hinweise auf RegistryeintraumlgeHKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyMachineKeysHKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesHKEY_LOCAL_MACHINESYSTEMControlSetControlSecurityProviders
Ordner fuumlr Konfigurationsdateien cmscf
cacertshtm Liste der Zertifikate der Zertifizierungsinstanz
Internetdienstmanager
Schluumlsselmanager
WWW Rechtsklick - Neuen Schluumlssel erstellen
Anforderung als Datei speichern die an eine Instanz gesendet wirdcCertsNewKeyReqtxt zB 701ilgedureqtxt
Schluumlsselname Computername und key zB 701key
Bei allgemeinem Namen IP-Adresse oder friendly name angeben
ccerts certreq newkeyrqtxt neqkeyaw zB 701ilgeduaw
Schluumlsselmanager Schluumlsselzertifikat installieren
Verzeichnis mit Verzeichnissicherheit einrichten RegisterkarteVerzeichnissicherheit Beim Zugriff auf diese Ressource sicherenChannel verlangen mit HTTPS anwaumlhlen
Versuche
CA-Zertifikat ist nicht (im Browser) installiert Das Sicherheitszertifikatwurde von einer Firma ausgestellt die Sie nicht als vertrauenswuumlrdig ein-gestuft haben Untersuchen Sie das Zertifikat um festzustellen ob Sie derausstellenden Institution vertrauen moumlchten
Schlosssymbol in Statuszeile als Zeichen fuumlr sichere Kommunikation
Angaben bei Allgemeiner Name stimmt nicht mit Namen beiDNS-Suchvorgang uumlberein Meldung Der auf dem Sicherheitszertifikatangegebene Name stimmt nicht mit dem Namen der Site uumlberein
72 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Ab jetzt ist es moumlglich Schluumlssel zu erstellen die vom eben instal-lierten Zertifikatsserver ldquosigniertrdquo werden koumlnnen
Das Eigenzertifikat wird im angegebenen Freigabeordner (hierCcert) abgelegt
Uumlberpruumlfen der Schluumlsselkonfiguration
Cgtcertutil -dumpEintrag 0Name WIFIOrganisationseinheit EDVOrganisation WIFI NiederoesterreichOrt St PoeltenBundesland NiederoesterreichLand ATKonfiguration I1WIFIAustauschzertifikat I1_WIFI_ExchangecrtSignaturzertifikat I1_WIFIcrtBeschreibung Test-Instanz
Erstellen eines eigenen Schluumlssels
Der naumlchste Schritt ist die Erstellung eines eigenen Schluumlsselpaa-res Der Schluumlssel muss natuumlrlich von einer Zertifizierungsinstitu-tion bestaumltigt werden Wir koumlnnten die Anforderung entweder anVerisign schicken oder von unserem eigenen Zertifizierungsser-ver bestaumltigen lassen
Rufen Sie dazu von der Microsoft Management-Konsole aus denSchluumlssel-Manager auf
Klicken Sie den abzusichernden Dienst (im allgemeinen WWW)mit der rechten Maustaste an und waumlhlen Sie [Neuen Schluumlssel
erstellen]
Wir haben nun folgende Situation Es wurde ein Schluumlssel er-stellt der bereits zur Bestaumltigung der Zertifizierungsinstanz ist
officezahlerat Christian Zahler PCNEWS-70 November 200069
Installation einer Website SYSTEM
Gleichzeitig wurde der Schluumlssel in einer Zertifizierungsanforde-rungsdatei gespeichert in unserem Fall c101ilgtxt
Diese Datei sieht folgendermaszligen aus
Als naumlchster Schritt wird die Anforderung an der Zertifikatsservergeschickt (wir verwenden unseren eigenen) der eine Bestaumltigung(digitale Signatur) durchfuumlhren soll Dafuumlr gibt es vorinstallierteHilfsprogramme aufrufbar unter
70 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Nun ist der Schluumlssel vollstaumlndig und kann verwendet werden
Absichern eines Verzeichnisses durch SSL
Vorbereitung Erstellen Sie ein Verzeichnis unterhalb eines virtu-ellen Servers eines Kunden Legen Sie eine HTML-Datei in die-ses Verzeichnis
Im folgenden Beispiel wurde unterhalb des virtuellen WWW-Ser-vers Kunde1_i1_WWW ein Verzeichnis verz angelegt das eineDatei ssltesthtm enthaumllt
Rufen Sie die Ei-genschaften desabzus icherndenVerzeichnisses imI IS (MMC) aufdann waumlhlen Siedie Kar te ikar teldquoVerzeichnissicher-heitrdquo Dort klickenSie im AbschnittldquoSichere Kommu-nikationrdquo auf dieSchaltflaumlche ldquoBe-arbeitenrdquo
officezahlerat Christian Zahler PCNEWS-70 November 200071
Installation einer Website SYSTEM
Kennwort einge-ben (dasselbe wiebei der Erzeugungdes Schluumlssels)
Nun muss noch eine Portnummer fuumlr die SSL-Kommunikationvergeben werden wir verwenden 443
Tests
Eingabe von httpssltesthtm schlaumlgt fehl
Erst durch das Protokoll https ist eine Anzeige der Datei moumlg-lich
ArbeitsplanCertificate ServerHTTPS - Secure socket layer
Certificate Server von Option Disk installieren
CA-Zertifikat (Basiszertifikat Sitezertifikat) erstellen
Name der Zertifizierungsinstanz Elektronischer Notar x x steht fuumlr denComputernamen zB 701
Im Anforderungsformular fuumlr das CA-Zertifikat duumlrfen keine Beistricheverwendet werden Beistriche werden als Feldende interpretiert und eswird eine unguumlltige Anforderung ohne Fehlerwarnung erstellt
Uumlberpruumlfen der Konfigurationsinformation CertUtil -dump Gibt den In-halt der Datei CertSrvtxt aus
Browserinstallation des CA-Zertifikats
IE50 Extras Internetoptionen Inhalt Zertifikate VertrauenswuumlrdigeStammzertifizierungsstellen
Hinweise auf RegistryeintraumlgeHKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyMachineKeysHKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesHKEY_LOCAL_MACHINESYSTEMControlSetControlSecurityProviders
Ordner fuumlr Konfigurationsdateien cmscf
cacertshtm Liste der Zertifikate der Zertifizierungsinstanz
Internetdienstmanager
Schluumlsselmanager
WWW Rechtsklick - Neuen Schluumlssel erstellen
Anforderung als Datei speichern die an eine Instanz gesendet wirdcCertsNewKeyReqtxt zB 701ilgedureqtxt
Schluumlsselname Computername und key zB 701key
Bei allgemeinem Namen IP-Adresse oder friendly name angeben
ccerts certreq newkeyrqtxt neqkeyaw zB 701ilgeduaw
Schluumlsselmanager Schluumlsselzertifikat installieren
Verzeichnis mit Verzeichnissicherheit einrichten RegisterkarteVerzeichnissicherheit Beim Zugriff auf diese Ressource sicherenChannel verlangen mit HTTPS anwaumlhlen
Versuche
CA-Zertifikat ist nicht (im Browser) installiert Das Sicherheitszertifikatwurde von einer Firma ausgestellt die Sie nicht als vertrauenswuumlrdig ein-gestuft haben Untersuchen Sie das Zertifikat um festzustellen ob Sie derausstellenden Institution vertrauen moumlchten
Schlosssymbol in Statuszeile als Zeichen fuumlr sichere Kommunikation
Angaben bei Allgemeiner Name stimmt nicht mit Namen beiDNS-Suchvorgang uumlberein Meldung Der auf dem Sicherheitszertifikatangegebene Name stimmt nicht mit dem Namen der Site uumlberein
72 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Gleichzeitig wurde der Schluumlssel in einer Zertifizierungsanforde-rungsdatei gespeichert in unserem Fall c101ilgtxt
Diese Datei sieht folgendermaszligen aus
Als naumlchster Schritt wird die Anforderung an der Zertifikatsservergeschickt (wir verwenden unseren eigenen) der eine Bestaumltigung(digitale Signatur) durchfuumlhren soll Dafuumlr gibt es vorinstallierteHilfsprogramme aufrufbar unter
70 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Nun ist der Schluumlssel vollstaumlndig und kann verwendet werden
Absichern eines Verzeichnisses durch SSL
Vorbereitung Erstellen Sie ein Verzeichnis unterhalb eines virtu-ellen Servers eines Kunden Legen Sie eine HTML-Datei in die-ses Verzeichnis
Im folgenden Beispiel wurde unterhalb des virtuellen WWW-Ser-vers Kunde1_i1_WWW ein Verzeichnis verz angelegt das eineDatei ssltesthtm enthaumllt
Rufen Sie die Ei-genschaften desabzus icherndenVerzeichnisses imI IS (MMC) aufdann waumlhlen Siedie Kar te ikar teldquoVerzeichnissicher-heitrdquo Dort klickenSie im AbschnittldquoSichere Kommu-nikationrdquo auf dieSchaltflaumlche ldquoBe-arbeitenrdquo
officezahlerat Christian Zahler PCNEWS-70 November 200071
Installation einer Website SYSTEM
Kennwort einge-ben (dasselbe wiebei der Erzeugungdes Schluumlssels)
Nun muss noch eine Portnummer fuumlr die SSL-Kommunikationvergeben werden wir verwenden 443
Tests
Eingabe von httpssltesthtm schlaumlgt fehl
Erst durch das Protokoll https ist eine Anzeige der Datei moumlg-lich
ArbeitsplanCertificate ServerHTTPS - Secure socket layer
Certificate Server von Option Disk installieren
CA-Zertifikat (Basiszertifikat Sitezertifikat) erstellen
Name der Zertifizierungsinstanz Elektronischer Notar x x steht fuumlr denComputernamen zB 701
Im Anforderungsformular fuumlr das CA-Zertifikat duumlrfen keine Beistricheverwendet werden Beistriche werden als Feldende interpretiert und eswird eine unguumlltige Anforderung ohne Fehlerwarnung erstellt
Uumlberpruumlfen der Konfigurationsinformation CertUtil -dump Gibt den In-halt der Datei CertSrvtxt aus
Browserinstallation des CA-Zertifikats
IE50 Extras Internetoptionen Inhalt Zertifikate VertrauenswuumlrdigeStammzertifizierungsstellen
Hinweise auf RegistryeintraumlgeHKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyMachineKeysHKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesHKEY_LOCAL_MACHINESYSTEMControlSetControlSecurityProviders
Ordner fuumlr Konfigurationsdateien cmscf
cacertshtm Liste der Zertifikate der Zertifizierungsinstanz
Internetdienstmanager
Schluumlsselmanager
WWW Rechtsklick - Neuen Schluumlssel erstellen
Anforderung als Datei speichern die an eine Instanz gesendet wirdcCertsNewKeyReqtxt zB 701ilgedureqtxt
Schluumlsselname Computername und key zB 701key
Bei allgemeinem Namen IP-Adresse oder friendly name angeben
ccerts certreq newkeyrqtxt neqkeyaw zB 701ilgeduaw
Schluumlsselmanager Schluumlsselzertifikat installieren
Verzeichnis mit Verzeichnissicherheit einrichten RegisterkarteVerzeichnissicherheit Beim Zugriff auf diese Ressource sicherenChannel verlangen mit HTTPS anwaumlhlen
Versuche
CA-Zertifikat ist nicht (im Browser) installiert Das Sicherheitszertifikatwurde von einer Firma ausgestellt die Sie nicht als vertrauenswuumlrdig ein-gestuft haben Untersuchen Sie das Zertifikat um festzustellen ob Sie derausstellenden Institution vertrauen moumlchten
Schlosssymbol in Statuszeile als Zeichen fuumlr sichere Kommunikation
Angaben bei Allgemeiner Name stimmt nicht mit Namen beiDNS-Suchvorgang uumlberein Meldung Der auf dem Sicherheitszertifikatangegebene Name stimmt nicht mit dem Namen der Site uumlberein
72 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Nun ist der Schluumlssel vollstaumlndig und kann verwendet werden
Absichern eines Verzeichnisses durch SSL
Vorbereitung Erstellen Sie ein Verzeichnis unterhalb eines virtu-ellen Servers eines Kunden Legen Sie eine HTML-Datei in die-ses Verzeichnis
Im folgenden Beispiel wurde unterhalb des virtuellen WWW-Ser-vers Kunde1_i1_WWW ein Verzeichnis verz angelegt das eineDatei ssltesthtm enthaumllt
Rufen Sie die Ei-genschaften desabzus icherndenVerzeichnisses imI IS (MMC) aufdann waumlhlen Siedie Kar te ikar teldquoVerzeichnissicher-heitrdquo Dort klickenSie im AbschnittldquoSichere Kommu-nikationrdquo auf dieSchaltflaumlche ldquoBe-arbeitenrdquo
officezahlerat Christian Zahler PCNEWS-70 November 200071
Installation einer Website SYSTEM
Kennwort einge-ben (dasselbe wiebei der Erzeugungdes Schluumlssels)
Nun muss noch eine Portnummer fuumlr die SSL-Kommunikationvergeben werden wir verwenden 443
Tests
Eingabe von httpssltesthtm schlaumlgt fehl
Erst durch das Protokoll https ist eine Anzeige der Datei moumlg-lich
ArbeitsplanCertificate ServerHTTPS - Secure socket layer
Certificate Server von Option Disk installieren
CA-Zertifikat (Basiszertifikat Sitezertifikat) erstellen
Name der Zertifizierungsinstanz Elektronischer Notar x x steht fuumlr denComputernamen zB 701
Im Anforderungsformular fuumlr das CA-Zertifikat duumlrfen keine Beistricheverwendet werden Beistriche werden als Feldende interpretiert und eswird eine unguumlltige Anforderung ohne Fehlerwarnung erstellt
Uumlberpruumlfen der Konfigurationsinformation CertUtil -dump Gibt den In-halt der Datei CertSrvtxt aus
Browserinstallation des CA-Zertifikats
IE50 Extras Internetoptionen Inhalt Zertifikate VertrauenswuumlrdigeStammzertifizierungsstellen
Hinweise auf RegistryeintraumlgeHKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyMachineKeysHKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesHKEY_LOCAL_MACHINESYSTEMControlSetControlSecurityProviders
Ordner fuumlr Konfigurationsdateien cmscf
cacertshtm Liste der Zertifikate der Zertifizierungsinstanz
Internetdienstmanager
Schluumlsselmanager
WWW Rechtsklick - Neuen Schluumlssel erstellen
Anforderung als Datei speichern die an eine Instanz gesendet wirdcCertsNewKeyReqtxt zB 701ilgedureqtxt
Schluumlsselname Computername und key zB 701key
Bei allgemeinem Namen IP-Adresse oder friendly name angeben
ccerts certreq newkeyrqtxt neqkeyaw zB 701ilgeduaw
Schluumlsselmanager Schluumlsselzertifikat installieren
Verzeichnis mit Verzeichnissicherheit einrichten RegisterkarteVerzeichnissicherheit Beim Zugriff auf diese Ressource sicherenChannel verlangen mit HTTPS anwaumlhlen
Versuche
CA-Zertifikat ist nicht (im Browser) installiert Das Sicherheitszertifikatwurde von einer Firma ausgestellt die Sie nicht als vertrauenswuumlrdig ein-gestuft haben Untersuchen Sie das Zertifikat um festzustellen ob Sie derausstellenden Institution vertrauen moumlchten
Schlosssymbol in Statuszeile als Zeichen fuumlr sichere Kommunikation
Angaben bei Allgemeiner Name stimmt nicht mit Namen beiDNS-Suchvorgang uumlberein Meldung Der auf dem Sicherheitszertifikatangegebene Name stimmt nicht mit dem Namen der Site uumlberein
72 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Nun muss noch eine Portnummer fuumlr die SSL-Kommunikationvergeben werden wir verwenden 443
Tests
Eingabe von httpssltesthtm schlaumlgt fehl
Erst durch das Protokoll https ist eine Anzeige der Datei moumlg-lich
ArbeitsplanCertificate ServerHTTPS - Secure socket layer
Certificate Server von Option Disk installieren
CA-Zertifikat (Basiszertifikat Sitezertifikat) erstellen
Name der Zertifizierungsinstanz Elektronischer Notar x x steht fuumlr denComputernamen zB 701
Im Anforderungsformular fuumlr das CA-Zertifikat duumlrfen keine Beistricheverwendet werden Beistriche werden als Feldende interpretiert und eswird eine unguumlltige Anforderung ohne Fehlerwarnung erstellt
Uumlberpruumlfen der Konfigurationsinformation CertUtil -dump Gibt den In-halt der Datei CertSrvtxt aus
Browserinstallation des CA-Zertifikats
IE50 Extras Internetoptionen Inhalt Zertifikate VertrauenswuumlrdigeStammzertifizierungsstellen
Hinweise auf RegistryeintraumlgeHKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyMachineKeysHKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesHKEY_LOCAL_MACHINESYSTEMControlSetControlSecurityProviders
Ordner fuumlr Konfigurationsdateien cmscf
cacertshtm Liste der Zertifikate der Zertifizierungsinstanz
Internetdienstmanager
Schluumlsselmanager
WWW Rechtsklick - Neuen Schluumlssel erstellen
Anforderung als Datei speichern die an eine Instanz gesendet wirdcCertsNewKeyReqtxt zB 701ilgedureqtxt
Schluumlsselname Computername und key zB 701key
Bei allgemeinem Namen IP-Adresse oder friendly name angeben
ccerts certreq newkeyrqtxt neqkeyaw zB 701ilgeduaw
Schluumlsselmanager Schluumlsselzertifikat installieren
Verzeichnis mit Verzeichnissicherheit einrichten RegisterkarteVerzeichnissicherheit Beim Zugriff auf diese Ressource sicherenChannel verlangen mit HTTPS anwaumlhlen
Versuche
CA-Zertifikat ist nicht (im Browser) installiert Das Sicherheitszertifikatwurde von einer Firma ausgestellt die Sie nicht als vertrauenswuumlrdig ein-gestuft haben Untersuchen Sie das Zertifikat um festzustellen ob Sie derausstellenden Institution vertrauen moumlchten
Schlosssymbol in Statuszeile als Zeichen fuumlr sichere Kommunikation
Angaben bei Allgemeiner Name stimmt nicht mit Namen beiDNS-Suchvorgang uumlberein Meldung Der auf dem Sicherheitszertifikatangegebene Name stimmt nicht mit dem Namen der Site uumlberein
72 PCNEWS-70 November 2000 Christian Zahler officezahlerat
SYSTEM Installation einer Website
Recommended