Windows Script Host для Windows 2000/XP - Андрей Попов
Шрифт:
Интервал:
Закладка:
Таким образом, разработчик должен идентифицировать свои сценарии цифровой подписью, чтобы пользователи, получающие такие сценарии, знали, откуда они к ним попали и кто их создал. После добавления цифровой подписи к сценарию он может свободно запускаться (но не модифицироваться!) всеми, кто указал автора программы как надежного источника сценариев.
Цифровая подпись в Windows создается с помощью цифровых сертификатов, поэтому сначала кратко рассмотрим, каким образом можно получить цифровой сертификат и установить доверие к нему.
Рспользование цифровых сертификатов РІ Windows
Цифровой сертификат — это электронный документ, который однозначно идентифицирует его владельца. Сертификаты различных типов широко используются во многих службах безопасности Windows для разных целей, например:
в–Ў проверка подлинности пользователей Рнтернета или Web-сервера (пользователи должны иметь возможность доказать СЃРІРѕСЋ подлинность тем, СЃ кем РѕРЅРё соединяются РІ компьютерной сети, Рё должны иметь возможность проверить подлинность РґСЂСѓРіРёС… пользователей);
□ шифрование и защита от искажений данных, которые передаются по локальной сети или при помощи электронной почты (при обмене зашифрованными сообщениями электронной почты никто не сможет прочитать сообщение в процессе его доставки, а расшифровать и прочитать сообщение сможет только получатель, которому оно предназначено);
□ подписание электронных писем (получатель сообщения может проверить, что сообщение не было изменено в процессе доставки и что сообщение пришло именно от отправителя);
в–Ў проверка подлинности программного обеспечения, которое загружается РёР· Рнтернета, устанавливается РёР· локальной сети организации или СЃ компакт-РґРёСЃРєР° (неподписанное программное обеспечение, С‚.Рµ. РЅРµ имеющее действительного сертификата издателя, может представлять опасность для компьютера Рё сохраняемой РЅР° нем информации).
РЎРїРѕСЃРѕР±С‹ получения цифрового сертификатаВ
Различаются цифровые сертификаты трех типов: созданные разработчиком, выданные разработчику организацией и полученные от центра сертификации.
Цифровой сертификат, созданный разработчиком, обычно используют те пользователи, которые доверяют этому разработчику. Например, администратор локальной сети может создать свой собственный сертификат для подписи сценариев WSH, которые он создает и распространяет внутри своей организации.
В организации может быть организован свой сервер выдачи цифровых сертификатов (соответствующая служба имеется, например, в операционной системе Windows 2000 Server). Таким образом, организация распространяет сертификаты среди собственных разработчиков, не прибегая к услугам коммерческих центров сертификации.
Р’ Рнтернете имеются сайты коммерческих центров сертификации, которые выдают сертификаты как организациям, так Рё частным лицам; РѕРґРЅРёРј РёР· самых известных таких центров является VeriSign (http://www.verisign.com). Естественно, большинство услуг центров сертификации являются платными, причем цена РЅР° сертификат зависит РѕС‚ цели его приобретения (личный цифровой сертификат для индивидуального распространения программ стоит намного дешевле, чем сертификат для организаций, занимающихся разработкой Рё продажей программного обеспечения).
Понятно, что для того, чтобы попрактиковаться в применении сертификатов для подписания сценариев WSH, проще всего создать цифровой сертификат самостоятельно, поэтому в дальнейшем мы будем рассматривать только такие сертификаты.
Создание собственного сертификата
Наиболее быстрым СЃРїРѕСЃРѕР±РѕРј создания собственного цифрового сертификата является использование программы SelfCert.exe, входящей РІ состав Microsoft Office 2000/РҐР . Запустив эту утилиту, РјС‹ получим диалоговое РѕРєРЅРѕ, позволяющее задать РёРјСЏ создаваемого сертификата (СЂРёСЃ. 4.3). Р’ качестве этого имени можно использовать, например, СЃРІРѕРµ РёРјСЏ или название организации.В
Рис. 4.3. Создание нового личного сертификата с помощью SelfCert.exe
Рис. 4.4. Успешное создание личного сертификата "Попов надежный"
Для дальнейших экспериментов нам понадобится создать два сертификата с именами "Попов надежный" и "Попов ненадежный". После нажатия кнопки OK в случае успешного создания сертификата на экран выводится диалоговое окно с информацией об этом (рис. 4.4).
Управление сертификатами с помощью ММС
Для того чтобы посмотреть свойства созданных сертификатов, нам потребуется запустить консоль управления Microsoft Management Console (ММС) — инструмент для создания, сохранения и открытия средств администрирования (называемых консолями (Snap-in) ММС), которые управляют оборудованием, программными и сетевыми компонентами операционной системы Windows. Для того чтобы загрузить ММС, нужно выполнить команду mmc либо в командной строке, либо с помощью пункта Выполнить (Run) меню Пуск (Start). В результате на экране появится окно новой консоли (рис. 4.5).