PROCEDIMENTOS: Proteger os serviços da Web em XML com o SSL

Este artigo passo a passo descreve como configurar um serviço da Web em XML atual para usar um canal criptografado com uma conexão de camada de soquete de segurança (SSL).

Configurar o servidor da Web para o SSL

O serviço da Web em XML será executado no Internet Information Server (IIS) e dependerá do IIS para fornecer suporte ao SSL. Por isso, você deve primeiro instalar um certificado de servidor SSL no servidor que possa ativar o suporte a SSL.

1. Se você estiver comprando um certificado de servidor de uma autoridade de certificação de terceiros ou se tiver uma autoridade de certificação empresarial disponível para você, passe para a próxima etapa. Caso contrário, instale os serviços de certificado iniciando a ferramenta Adicionar ou remover programas, clicando em Adicionar ou remover componentes do Windows e, depois, marcando a caixa de seleção Serviços de certificado.
2. Execute o Assistente de certificado de servidor Web iniciando o Gerenciador de serviços de Internet, clicando com o botão direito do mouse no site virtual que deseja certificar, clicando em Propriedades, clicando na guia Segurança de diretório e, em seguida, clicando em Certificado de servidor.
3. No Assistente de certificado de servidor Web, clique em Criar um novo certificado e, em seguida, clique em Avançar.
4. Clique em Preparar a solicitação agora, mas enviá-la posteriormente e, em seguida, clique em Avançar.
5. Continue a preencher as informações no assistente para que se adapte às suas necessidades, mas quando for solicitado a fornecer o nome comum do certificado, certifique-se de especificar o nome do computador host que esteja executando o serviço da Web em XML.
6. Quando você concluir o assistente, uma solicitação de certificado será salva em um arquivo especificado. Por padrão, ele é c:\Certreq.txt.
7. Se estiver enviando o certificado para uma autoridade de certificação diferente, faça isso agora usando os procedimentos e quando receber o arquivo certificado, abra-o e passe para a etapa 16. Se estiver usando o próprio serviço de certificado para obter um certificado, vá para http://localhost/certsrv e escolha a opção Solicite um certificado.
8. Na página Tipo da solicitação, especifique que é uma Solicitação avançada e clique em Avançar.
9. Clique em Envie uma solicitação de certificado usando um arquivo PKCS #10 codificado em base64 ou uma solicitação de renovação usando um arquivo PKCS #7 codificado em base64 e, em seguida, clique em Avançar.
10. Na página Enviar uma solicitação gravada, clique em Procurar arquivo para inserir, especifique o arquivo criado na etapa 6, clique em Ler e, em seguida, clique em Enviar. A solicitação foi enviada, e agora você deve aprová-la.
11. No menu Programas, em Ferramentas administrativas, inicie o console de gerenciamento Autoridade de certificação.
12. No nome da sua autoridade de certificação, escolha a pasta Solicitações pendentes. Clique com o botão direito do mouse na solicitação de certificado que acabou de enviar, aponte para Todas as tarefas e clique em Emitir. Feche o console de gerenciamento da Autoridade de certificação.
13. No navegador, volte para http://localhost/certsrv, clique em Verificação em um certificado pendente e, em seguida, clique em Avançar.
14. Certifique-se de que a solicitação que acabou de criar está selecionada e clique em Avançar.
15. Na página Certificado emitido, escolha algum esquema de codificação e clique em Faça download de certificado de autoridade de certificação. As páginas de propriedades do certificado são exibidas. Clique na guia Geral e, em seguida, clique em Instalar certificado.
16. O Assistente para importação de certificados é iniciado. Aceite todos os padrões e clique nas etapas do assistente até que ele tenha sido concluído.
17. Volte para o Gerenciador de serviços de Internet, clique com o botão direito do mouse no site virtual para o qual criou o certificado, clique em Propriedades, clique na guia Segurança de diretório e, em seguida, clique em Certificado de servidor.
18. Clique em Atribuir um certificado existente para ver uma lista contendo o seu certificado. Clique no seu certificado e, em seguida, clique em Avançar. Conclua o Assistente de certificado de servidor Web. O certificado de servidor SSL está instalado agora.

Instalar o certificado da autoridade de certificação no cliente

Se usou os seus próprios serviços de certificado, você deve instalar o certificado da autoridade de certificação no cliente como uma autoridade de certificação de origem confiável. Para isso:

1. Navegue para http://meu computador/certsrv onde meu computador é o nome do host em que os serviços de certificado que enviaram o certificado do servidor estão localizados.
2. Clique em Recupere o certificado da autoridade de certificação ou a lista de revogação de certificados e, em seguida, clique em Avançar.
3. Clique no link Instale este caminho de certificação de autoridade de certificação. O certificado deve ser instalado corretamente.

Se estiver planejando acessar o serviço da Web em XML de uma página ASP, você deve adicionar o certificado da Autoridade de certificação ao armazenamento de origem confiável na máquina:

1. Repita as duas primeiras etapas, clique em Faça download de certificado de autoridade de certificação e salve-o em um arquivo no computador local.
2. Inicie o Mmc.exe.
3. Clique em Console e, em seguida, clique em Adicionar/remover snap-in.
4. Na caixa de diálogo Adicionar/remover snap-in, clique em Adicionar.
5. Na caixa de diálogo Adicionar snap-in autônomo, clique em Certificados e, em seguida, clique em Adicionar.
6. Clique em Conta de computador e, em seguida, clique em Avançar.
7. Clique em Computador local e, em seguida, clique em Concluir.
8. A lista de categorias de certificado do computador local deve ser exibida na janela do snap-in.
9. Clique em OK para retornar à janela Raiz do console.
10. No modo de exibição de árvore, abra a lista de autoridades de certificação de origem confiável.
11. Para adicionar o certificado da autoridade de certificação que enviou o certificado do servidor para a lista, clique em Ação, clique em Todas as tarefas e, em seguida, clique em Importar ou arraste o certificado para a lista.

Modificar o WSDL de HTTP para HTTPS

1. Edite os arquivos WSDL do seu serviço de forma que o endereço do serviço da Web comece com https em vez de http. Você deve certificar-se de que a cópia do WSDL que o seu cliente está usando também indique https.
2. Em projetos do Microsoft Visual Studio .NET, quando você adiciona uma referência da Web, você pode especificar um URL de https como o local do serviço da Web em XML. Se não fizer isso, você pode editar a classe que foi criada pelo Visual Studio .NET que embrulha o serviço da Web e modificar a linha de código que define o URL. Em um projeto C#, a linha de código deve ser semelhante a esta depois que modificá-la:

   this.Url = "https://mymachine/MyWS/Service1.asmx";

3. O serviço da Web em XML agora será acessado pelo SSL.

Verificar funcionamento

Para determinar se o SSL está configurado corretamente, tente navegar para o servidor usando um URL de https como https://meu_computador/teste/test.asmx.

A configuração deve estar correta se você conseguir navegar com êxito para o local sem que nenhuma mensagem de erro seja exibida pelo Internet Explorer. Você está pronto para tentar acessar o serviço da web de modo programático.

Forçando o SSL - Acesso somente

Se desejar certificar-se de que somente as solicitações SSL são aceitas pelo serviço da Web, você pode configurar o diretório virtual no qual o seu serviço da Web em XML reside para ser somente SSL no Gerenciador de serviços de Internet:

1. Clique com o botão direito do mouse no diretório virtual no qual o serviço da Web em XML reside e, em seguida, clique em Propriedades.
2. Clique na guia Segurança de diretório e, em seguida, clique em Editar em Comunicações de segurança.
3. Clique em exigir canal de segurança (SSL) e, em seguida, clique em OK duas vezes.

REFERÊNCIAS

Exiba o tópico "Configurando SSL em seu servidor" na documentação do Internet Information Server.