В данной статье я подробно опишу процесс организации веб- доступа к базам данных «1С:Предприятие» 8.3 на веб-сервере IIS (Internet Information Server), входящего в поставку Microsoft Windows Server. Для более старых версий «1С:Предприятие» (8.1 и 8.2) алгоритм публикации баз данных в целом аналогичен. Будет рассмотрен алгоритм настройки IIS для работы «1С:Предприятие», а также описан процесс публикации баз данных на веб-сервере как для 32-разрядного, так и для 64-разрядного модуля расширения веб-сервера.
0. Оглавление
- Что понадобится
- Установка веб-сервера IIS
- Установка компонент «1С:Предприятие»
- Настройка операционной системы
- Публикация базы данных на веб-сервере
- Настройка IIS для использования 32-разрядного модуля расширения веб-сервера
- Настройка IIS для использования 64-разрядного модуля расширения веб-сервера
- Подключение к опубликованной информационной базе через веб-браузер
- Подключение к опубликованной информационной базе через клиент «1С:Предприятия»
- Конфигурационные файлы виртуального каталога
- Файл default.vrd
- Файл web.config
1. Что понадобится
- Компьютер отвечающий минимальным системным требованиям для работы веб-сервера под управлением одной из операционных систем:
- Microsoft Windows Server 2012 (R2)
- Microsoft Windows Server 2008 (R2)
- Права локального администратора на данном компьютере.
- Дистрибутив для установки компонент «1С:Предприятие». Для настройки 64-разрядного модуля расширения веб-сервера, дистрибутив для установки 64-разрядного сервера «1С:Предприятие». В данном примере используется версия 8.3.4.389. Для более старых версий «1С:Предприятие» (8.1 и 8.2) алгоритм публикации баз данных в целом аналогичен.
2. Установка веб-сервера IIS
Устанавливаем веб-сервер Internet Information Server, который по умолчанию входит в поставку Microsoft Windows Server. При установке обязательно выбираем компоненты:
- Общие функции HTTP (Common HTTP Features)
- Статическое содержимое (Static Content)
- Документ по умолчанию (Default Document)
- Обзор каталогов (Directory Browsing)
- Ошибки HTTP (HTTP Errors)
- Разработка приложений (Application Development)
- ASP
- ASP.NET 3.5
- Расширяемость .NET 3.5 (.NET Extensibility 3.5)
- Расширения ISAPI (ISAPI Extensions)
- Фильтры ISAPI (ISAPI Filters)
- Исправление и диагностика (Health and Diagnostics)
- Ведение журнала HTTP (HTTP Logging)
- Монитор запросов (Request Monitor)
- Средства управления (Management Tools)
- Консоль управления IIS (IIS Management Console)
Подробно про процесс развертывания веб-сервера IIS я писал:
- В Microsoft Windows Server 2012 (R2) — здесь. IIS версии 8, после установки должны увидеть страницу Default Web Site вида:
- В Microsoft Windows Server 2008 (R2) — здесь. IIS версии 7, после установки должны увидеть страницу Default Web Site вида:
3. Установка компонент «1С:Предприятие»
На этот же сервер, где развернут веб-сервер IIS, устанавливаем «1С:Предприятие» (32-разрядные компоненты) обязательно выбрав при установке компоненты:
- 1С:Предприятие
- Модули расширения веб-сервера
Если планируется настроить 64-разрядный модуль расширения веб-сервера, то необходимо дополнительно запустить программу установки 64-разрядного сервера из соответствующей поставки «1С:Предприятие» и установить компоненту:
- Модуль расширения веб-сервера
4. Настройка операционной системы
Теперь необходимо установить необходимые права на ключевые папки, используемые при работе веб-доступа к базам данных «1С:Предприятие». Для каталога хранения файлов веб-сайтов, опубликованных на веб-сервере (по умолчанию C:\inetpub\wwwroot\ ) необходимо дать полные права группе «Пользователи» (Users). В принципе, этот шаг можно пропустить, но тогда для публикации или изменения публикации базы данных надо будет запускать «1С:Предприятие» от имени администратора. Для настройки безопасности данного каталога, кликаем по нему правой кнопкой мыши и в контекстном меню выбираем «Свойства» (Properties).
В открывшемся окне свойств, переходим на вкладку «Безопасность» (Security) и нажимаем кнопку «Изменить» (Edit…), для изменения действующих разрешений. Появится окно разрешений для данного каталога. В списке Групп или пользователей (Groups or user names) выделим группу «Пользователи» (Users) и в списке разрешений для выбранной группы установим флаг «Польный доступ» (Full control). Затем нажмем «Применить» (Apply) для записи изменений и закроем все окна при помощи кнопки «ОК».
Далее необходимо дать полные права на каталог с установленными файлами «1С:Предприятие» (по умолчанию C:\Program Files (x86)\1cv8\ для 32-разрядного модуля расширения и C:\Program Files\1cv8\ для 64-разрядного) группе IIS_IUSRS. Для этого выполняем аналогичные описанным выше действия, с той лишь разницей, что для того чтобы необходимая группа появилась в списке «Группы или пользователи» (Groups or user names) необходимо нажать расположенную под списком кнопку «Добавить» (Add..), а в окне выбора групп или пользователей нажать «Дополнительно» (Advanced…).
Затем нажимаем расположенную справа кнопку «Поиск» (Find Now), после чего выбираем необходимую группу IIS_IUSRS в таблице результатов поиска и нажимаем «ОК».
Группа IIS_IUSRS появится в списке групп или пользователей. Даем ей полные права на на выбранную директорию и нажимаем «Применить» (Apply) для сохранения изменений.
Ну и наконец, если публикация выполняется для файловой базы, необходимо также дать группе IIS_IUSRS полные права на каталог с расположенными файлами данной информационной базы.
5. Публикация базы данных на веб-сервере
Переходим к непосредственной публикации базы данных на веб-сервере. Для этого запускаем «1С:Предприятие» в режиме Конфигуратор для той базы, которую требуется опубликовать. Затем в меню выбираем «Администрирование» — «Публикация на веб-сервере…»
Откроется окно настройки свойств публикации на веб-сервере. Основные поля необходимые для публикации уже заполнены по умолчанию:
- Имя виртуального каталога — имя по которому будет происходить обращение к база данных на веб-сервере. Может состоять только из символов латинского алфавита.
- Веб сервер — выбирается из списка найденных на текущем компьютере веб-серверов. В нашем случае это Internet Information Services.
- Каталог — физическое расположение каталога, в котором будут располагаться файлы виртуального приложения.
- Соответствующими флагами можно указать типы клиентов для публикации, а также указать возможность публикации Web-сервисов. В расположенной ниже таблице можно отредактировать список Web-сервисов которые будут опубликованы, а также в столбце «Адрес» изменить синоним, по которому будет происходить обращение к данному Web-сервису.
- Также для веб-сервера IIS есть возможность указать необходимость выполнения аутентификации на веб-сервере средствами ОС, установив соответствующий флаг.
Выбрав необходимые настройки публикации нажимаем «Опубликовать».
Если публикация прошла без ошибок, увидим соответствующее сообщение.
Публикация на веб-сервере IIS всегда выполняется для веб-сайта по умолчанию и для пула приложения по умолчанию. Стоит иметь ввиду, что при выполнении публикации из конфигуратора будет зарегистрирован 32-разрядный модуль расширения веб-сервера, а используемый по умолчанию пул приложений — DefaultAppPool — без настройки работает только с 64-разрядными приложениями. Соответственно, дальнейшие действия зависят от разрядности модуля расширения веб-сервера, который планируется использовать. Для 32-разрядного модуля расширения веб-сервера, необходимо разрешить пулу приложений использовать 32-разрядные приложения, либо же зарегистрировать 64-разрядный модуль расширения веб-сервера. Об этом пойдет речь ниже
6. Настройка IIS для использования 32-разрядного модуля расширения веб-сервера
Запустим Диспетчер служб IIS (Internet Information Services (IIS) Manager). Сделать это можно из Диспетчера серверов (Server Manager) выбрав в меню пункт «Средства» (Tools) — «Диспетчер служб IIS» (Internet Information Services (IIS) Manager).
Здесь, развернув дерево в окне подключений, увидим, что для веб-сайта по умолчанию — Default Web Site — появился преобразованный в приложение виртуальный каталог с именем, которое мы задавали при публикации базы данных. Для завершения публикации осталось только разрешить 32-разрядные приложения для пула приложений по умолчанию. Для этого перейдем в дереве подключений на вкладку «Пулы приложений» (Application Pools).
В списке пулов приложений найдем пул с именем DefaultAppPool. Кликнем по нему правой кнопкой мыши и в контекстном меню выберем пункт «Дополнительные параметры» (Advanced Settings).
В открывшемся окне параметров пула приложения, в группе «Общие» (General) найдем пункт «Разрешены 32-разрядные приложения» (Enable 32-Bit Applications) и установим значение параметра равным True. Затем сохраним изменения нажав «ОК».
7. Настройка IIS для использования 64-разрядного модуля расширения веб-сервера
Зарегистрировать 64-разрядный модуль расширения веб-сервера можно с помощью утилиты webinst.exe соответствующей версии, расположенной в каталоге bin, каталога с установленной программой «1С:Предприятие», либо воспользоваться приведенным ниже способом.
Запустим Диспетчер служб IIS (Internet Information Services (IIS) Manager). Сделать это можно из Диспетчера серверов (Server Manager) выбрав в меню пункт «Средства» (Tools) — «Диспетчер служб IIS» (Internet Information Services (IIS) Manager).
Здесь, развернув дерево в окне подключений, увидим, что для веб-сайта по умолчанию — Default Web Site — появился преобразованный в приложение виртуальный каталог с именем, которым мы задавали при публикации базы данных. Для завершения публикации осталось только указать данному приложению использовать 64-разрядный обработчик запросов. Для этого откроем страницу настройки сопоставления обработчиков для данного виртуально каталога, выбрав пункт «Сопоставление обработчиков» (Handler Mappings) на начальной странице приложения.
В таблице сопоставлений обработчиков найдем обработчик «1С Web-service Extension». Откроем данный обработчик, кликнув 2 раза по соответствующей строке в таблице.
Отредактируем обработчик, заменив путь к исполняемой dll 32-разрядного модуля расширения веб-сервера, который выбран в данный момент, на путь к 64-разрядной версии библиотеки. В данном примере меняем путь c «C:\Program Files (x86)\1cv8\8.3.4.389\bin\wsisapi.dll» на «C:\Program Files\1cv8\8.3.4.389\bin\wsisapi.dll» воспользовавшись кнопкой выбора. Изменив путь нажимаем «ОК» для сохранения изменений.
8. Подключение к опубликованной информационной базе через веб-браузер
Ну вот вроде и все. Для подключений к только что опубликованной базе данных, запускаем Internet Explorer, и в строке адреса вводим путь вида http://localhost/<Имя публикации информационной базы>. В данном примере это http://localhost/DemoAccounting/.
К данной информационной базе также можно подключиться и с любого компьютера в сети, обратившись к веб-серверу по его внутреннему (или если прокинут порт 80, по внешнему) IP-адресу.
В этом случае, для корректной работы «1С:Предприятие», имя домена, на который идет обращение (или IP-адрес) должен быть добавлен в надежные узлы Internet Explorer, а также для него должны быть разрешены всплывающие окна. Подробнее про настройку Internet Explorer для работы веб-клиента «1С:Предприятие» читайте здесь.
9. Подключение к опубликованной информационной базе через клиент «1С:Предприятия»
К опубликованной на веб-сервере информационной базе можно подключиться и с помощью тонкого клиента «1С:Предприятия». Для подключения откроем окно запуска «1С:Предприятие» и нажмем кнопку «Добавить» для добавления информационной базы.
В окне добавления информационной базы/группы установим переключатель в «Добавление в список существующей информационной базы» и нажмем «Далее».
Введем имя базы данных, как она будет отображаться в списке информационных баз (должно быть уникальным для данного списка), тип расположения выберем «На веб-сервере» и нажмем «Далее».
Вводим строку адреса для подключения к информационной базе (без префикса /ru_RU/). Также здесь можно указать параметры прокси-сервера (если есть) и способ аутентификации на веб-сервере. Указав необходимые настройки снова жмем «Далее».
Указываем параметры запуска для информационной базы и нажимаем «Готово» для завершения работы мастера.
После чего данная информационная база появится в списке баз окна запуска «1С:Предприятие». Обратим внимание что режим запуска Конфигуратор недоступен для данного типа подключения. Нажимаем «1С:Предприятие» для подключения к информационной базе.
10. Конфигурационные файлы виртуального каталога
Рассмотрим подробнее структуру файлов, которые были созданы в процессе публикации. Если веб-доступ к опубликованной информационной базе по каким-то причинам не заработал, конфигурационные файлы можно отредактировать вручную, для достижения желаемого результата (конфигурационные файлы из данной статьи для 64-разрядного модуля расширения веб-сервера можно скачать здесь).
Перейдем в каталог, который мы указывали во время публикации базы данных. В нем увидим два файла:
- default.vrd
- web.config
Оба файла доступны для просмотра и редактирования с помощью любого текстового редактора, например программы «Блокнот» (Notepad). Рассмотрим структуру этих файлов подробнее.
10.1. Файл default.vrd
В файле default.vrd описываются опубликованные Web-сервисы (элемент <ws>), а также указывается имя виртуального приложения (атрибут base) и строка подключения к информационной базе «1С:Предприятие» (атрибут ib). В данном примере для файловой информационной базы, строка подключения будет следующей:
ib="File="C:\1C_BASE\DemoAccounting";"
Как видно из примера, если в строке подключения встречаются символы, недопустимые с точки зрения стандарта XML (http://www.w3.org/TR/xml11/), они должны быть заменены соответствующим образом.
В строке подключения можно указать логин и пароль пользователя. В этом случае, подключение к информационной базе будет выполняться от имени указанного пользователя. Например, для подключения от имени пользователя Продавец, строка подключения будет следующей:
ib="File="C:\1C_BASE\DemoAccounting";Usr=Продавец;Pwd=123;"
Для серверной информационной базы строка подключения будет иметь вид:
ib="Srvr="WIN2012"e;;Ref="e;Accounting"e;;"
Где WIN2012 — имя кластера серверов «1С:Предприятие», а Accounting — имя базы данных в кластере.
Подробнее про структуру данного файла можно почитать в книге «Руководство администратора» 2-е издание , Приложение 2, глава 3.12.
10.2. Файл web.config
Файл web.config — это файл, определяющий параметры для ASP.NET web-приложения. В каждом web-приложении должен быть файл web.config, находящийся в его корневом каталоге. Наш виртуальный каталог не является исключением. В текущем файле содержатся данные об обработчике «1С Web-service Extension», обрабатывающем запросы к данному приложению. Обработчик настроен таким образом, что все запросы передаются библиотеке wsisapi.dll, расположенной в каталоге bin, каталога с файлами «1С:Предприятие». В случае использования серверных информационных баз, версия библиотеки должна соответствовать версии кластера серверов «1С:Предприятия».
Данный обработчик можно найти (или добавить, если его нет) в Диспетчере служб IIS. Для этого необходимо выделить вкладку с текущим приложением и в окне свойств выбрать пункт «Сопоставления обработчиков» (Handler Mappings).
В таблице сопоставлений обработчиков увидим наш обработчик «1С Web-service Extension». Если такого обработчика в списке нет, его следует добавить выбрав в окне «Действия» (Actions) пункт «Добавление сопоставления сценария с подстановочными знаками» (Add Wildcard Script Map…).
При добавлении вводим имя обработчика и указываем путь к файлу wsisapi.dll. Данные параметры можно изменить и для действующего обработчика выбрав пункт «Изменить…» (Edit…) в окне списка действий.
Необходимо также убедиться, что для обработчика стоит флаг «Выполнение» (Execute) в окне изменений разрешений функции. Вызвать данное окно можно выбрав пункт «Изменение разрешений функции…» (Edit Feature Permissions…) в окне «Действия» (Actions).
Последние версии 1С могут публиковать свои веб-сервисы для IIS. На сервере Windows Server 2012 R2 установлены не все компоненты, которые требуются для работы веб-сервиса. Все необходимые расширения 1С теперь умеет прописывать сам, что не может не радовать. Более того, для каждого приложения свои настройки, не нужно конфигурировать IIS целиком.
В разделе Handler Mapping можно увидеть только один ISAPI модуль:
В файле web.config приложения в этом можно убедиться:
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<handlers>
<add name="1C Web-service Extension" path="*" verb="*" modules="IsapiModule" scriptProcessor="C:\Program Files\1cv8\8.3.13.1513\bin\wsisapi.dll" resourceType="Unspecified" requireAccess="None" />
</handlers>
</system.webServer>
</configuration>
Вот только ISAPI расширения из коробки не работают.
Запускаем Server Manager и добавляем фичу ASP.NET 4.5:
Ребут не требуется.
Добавляем роль Web Server (IIS) и ставим галки:
WebDAV нам точно не нужен.
Диагностика пусть вся будет.
Динамические сжатие, gzip? Включаем, пусть будет.
Врубаем галки для фич безопасности. Кому-то нужно, кому-то нет.
Здесь же нас просят установить фичи. ISAPI Extensions — то что нужно, добавляем.
В application ставим всё что нам нужно.
Ребут опять не потребовался.
После установки дополнений 1с веб-сервис у меня заработал.
При развертывании комплекса 1С:Предприятие на платформе Windows для веб-публикации информационных баз часто используют IIS (Internet Information Services). Это вполне оправданное решение, позволяющее обойтись только штатными средствами платформы Windows без установки дополнительного софта. В данной статье мы не только рассмотрим процесс публикации различных информационных баз на веб-сервере IIS, но и настроим их работу по защищенному протоколу HTTPS с сертификатами Let’s Encrypt, а также добавим дополнительную парольную защиту.
Онлайн-курс по устройству компьютерных сетей
На углубленном курсе «Архитектура современных компьютерных сетей» вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.
Установка сервера IIS для работы с платформой 1С:Предприятие
Данная инструкция будет актуальна для Windows Server 2012 R2, 2016, 2019 и 2022.
Прежде всего установим роль веб-сервера, для этого откроем Мастер добавления ролей и компонентов и на странице Роли сервера выберем Веб-сервер (IIS):
Затем на странице Службы ролей в группе Безопасность выбираем Обычная проверка подлинности:
А в разделе Разработка приложений включаем Расширения ISAPI и Фильтры ISAPI:
Все остальное оставляем по умолчанию и завершаем установку роли.
Сразу скажем пару слов по поводу выбранного метода аутентификации: простая проверка подлинности, она же Basic предусматривает передачу учетных данных открытым текстом, что может насторожить внимательного читателя. Данный выбор обусловлен тем, что платформа 1С:Предприятие не поддерживает иных методов аутентификации. Но следует учесть, что данный метод будет использоваться совместно с TLS-защитой и учетные данные, хоть и открытым текстом, но будут передаваться внутри зашифрованной сессии, так что о безопасности такого решения можно не беспокоиться.
Следующим шагом установим платформу 1С, из компонентов выбираем 1С:Предприятие 8 и Модули расширения веб-сервера:
Отдельного лицензирования данная установка 1С не требует (за некоторыми исключениями, которых коснемся позднее).
Публикация клиент-серверной базы 1С:Предприятие
Существует два пути публикации информационной базы: через конфигуратор и при помощи утилиты webinst. Начнем с Конфигуратора, откройте нужную информационную базу в этом режиме и перейдите в Администрирование — Публикация на веб-сервере. В строке Веб-сервер выберите Internet Information Services, поля Имя и Каталог будут заполнены автоматически, при необходимости можете изменить их значения.
Теперь что касается параметров публикации, если вам нужен только доступ в информационную базу, то достаточно оставить Публиковать доступ для клиентских приложений, все остальное следует отключить, что позволит упросить публикацию и сузить периметр возможной атаки. Общее правило одно: не нужно — не публикуйте.
Альтернативой является использование утилиты webinst, она входит в состав платформы и находится в папке bin установленной версии 1С:Предприятие. Для публикации на IIS используйте следующую команду (выполнять с правами администратора):
webinst -publish -iis -wsdir hrm-1 -dir "c:\inetpub\hrm-1" -connstr "Srvr=SRV-1C;Ref=HRM-1;"Разберем ключи:
- publish — публикация базы
- iis — использование веб-сервера IIS
- wsdir — виртуальный каталог, аналог поля Имя в конфигураторе, по сути, представляет имя публикации
- dir — каталог с физическим расположением публикации, должен находится в c:\inetpub
- connstr — строка подключения к базе, в нашем случае это сервер SRV-1C и база HRM-1
После публикации в конфигураторе программа предложит перезапустить веб-сервер, соглашаемся, при публикации через webinst перезапускаем сервер вручную.
Сразу предвидим вопрос: а зачем использовать webinst если есть конфигуратор? Ответ прост — интерактивный запуск базы в конфигураторе требует клиентскую лицензию, webinst — нет.
Публикация файловой базы 1С:Предприятие
Обязательное условие публикации — каталог с информационной базы должен располагаться на веб-сервере. Следующим шагом нужно дать веб-серверу необходимые разрешения на доступ к базе. Для этого в свойствах каталога информационный базы добавляем для пользователя IUSR и группы IIS_IUSRS права Чтение и выполнение и Изменение:
Публикация через конфигуратор осуществляется также, как и для клиент-серверной версии, а команда webinst будет отличаться строкой подключения:
webinst -publish -iis -wsdir hrm-2 -dir "c:\inetpub\hrm-2" -connstr "File=""C:\1C_Bases\HRM-2"";"Также помним, что при работе через браузер вам потребуется установить на веб-сервер нужное количество лицензий 1С из расчета одна лицензия на один сеанс. Еще одной особенностью, которую надо учитывать, является то, что даже после закрытия браузера клиентский сеанс сохраняется в течении 20 минут, на случай повторного подключения, а следовательно, занимает лицензию в течении всего этого времени.
Получение сертификата Let’s Encrypt и настройка защищенного соединения
Существует несколько способов работы с сертификатами Let’s Encrypt на платформе Windows c веб-сервером IIS, мы будем использовать Windows ACME Simple (WACS), откуда нам потребуется скачать архив win-acme.vX.X.X.XXXX.x64.trimmed.zip. Содержимое которого следует поместить в С:\inetpub\letsencrypt.
Но не будем спешить получать сертификат, а сначала выполним некоторые подготовительные действия. Для работы с Let’s Encrypt нам понадобится доменное имя, которое должно указывать на внешний IP-адрес вашего веб-сервера. В нашем примере мы будем использовать служебный поддомен tech.host31.ru. Также помните, что изменения в системе DNS распространяются не мгновенно, а в течении некоторого времени, которое зависит от значения TTL-записи, поэтому вносите изменения в DNS заранее.
После того, как вы настроили DNS необходимо выполнить привязку публикации к доменному имени. Для этого откройте в IIS Сайты — Default Web Site и перейдите в раздел Привязки, где следует ввести выбранное доменное имя.
Теперь перейдем в С:\inetpub\letsencrypt и запустим wasc.exe от имени администратора. Последовательно проходим по пунктам текстового меню, выбрав получение нового сертификата — N, для Default Web Site — 1 и всех его привязок — А.
Далее принимаем правила пользования и указываем действительный почтовый адрес, затем переходим к получению сертификата:
Если ваш сервер находится внутри периметра, то для получения и продления сертификата вы должны пробросить наружу как 80 порт (HTTP), так и 443 порт (HTTPS).
Утилита сама настроит IIS, в чем можно убедиться, снова зайдя в привязки Default Web Site:
А также добавит в планировщик задание на продление сертификата:
В общем, нажал на кнопку — получил результат, теперь все вопросы с сертификатом будут решаться автоматически, а в случае каких-либо проблем вам придет уведомление на почту, которую вы указали при получении сертификата.
Перенаправление HTTP на HTTPS
Несмотря на то, что мы настроили защищенный протокол для нашей публикации, она остается доступна по незащищенному HTTP, поэтому следующим шагом следует настроить перенаправление всех HTTP запросов на HTTPS версию публикации. Для этого нам потребуется установить дополнительный модуль IIS URL Rewrite 2.1. После его установки обязательно закройте и снова откройте Диспетчер служб IIS, снова перейдите к Default Web Site и выберите Переопределение URL-адресов:
Далее создаем новое пустое правило для входящего трафика. Начинаем заполнять поля:
- Запрошенный URL-адрес — соответствует шаблону
- Использование — Постановочные знаки
- Шаблон — *
- Не учитывать регистр — флаг установлен
В разделе Условия добавляем новое условие:
- Ввод условия — {HTTPS}
- Проверить, если входная строка — Соответствует шаблону
- Шаблон — OFF
- Не учитывать регистр — флаг установлен
И, наконец, в разделе Действие:
- Тип действия — Перенаправление
- URL-адрес перенаправления — https://{HTTP_HOST}{REQUEST_URI}
- Добавить строку запроса — флаг снят
- Тип перенаправления — Постоянное (301)
Перезапускаем веб-сервер и убеждаемся, что даже при обращении по HTTP все запросы перенаправляются на защищенную версию публикации.
Обратите внимание, что для подключения используется последняя версия протокола TLS 1.3, шифр AES 256 бит и совершенная прямая секретность на основе эллиптической кривой Curve25519, которая обеспечивается автоматически средствами IIS, ничего дополнительно настраивать не нужно.
Настройка дополнительной аутентификации по паролю
У нас нет основания сомневаться во встроенном механизме аутентификации 1С:Предприятия, во всяком случае в онлайн-сервисах дополнительной аутентификации не предусмотрено, но есть слабое место — пользователи. Во многих базах могут использоваться простые пароли или не использоваться вообще, часть таких паролей могут использоваться скриптами и средствами автоматизации, поэтому взять и установить сразу всем сложные пароли будет не так-то просто.
Ситуация усугубляется, если администрирование 1С выполняют другие сотрудники, они вполне могут, пойдя на поводу пользователей снова установить им слабые пароли, что сильно снижает безопасность собственного механизма аутентификации. Поэтому мы пойдем другим путем и установим дополнительную аутентификацию на уровне веб-сервера, тут уже точно без нас никто пароль не изменит. Основная его цель — оградить собственный механизм аутентификации 1С от доступа всех желающих, которым достаточно будет просто узнать ссылку.
Прежде всего штатными средствами Windows создадим нового пользователя, в нашем случае 1c-www, установим ему сложный пароль и сделаем срок его действия неограниченным.
Затем добавим этого пользователя в группу IIS_IUSRS и сделаем ее единственной:
Теперь самое время настроить аутентификацию, но есть одна особенность: эта настройка у IIS работает как на уровне сайта, так и на уровне опубликованного приложения, причем настройки приложения перекрывают настройки сайта. Поэтому, если мы настроим аутентификацию на уровне сайта, то вопреки нашим ожиданиям на уровне приложений она работать не будет, так как там остались свои настройки по умолчанию. Да, после Apache или NGINX это неожиданно, но IIS работает именно так.
Поэтому настраивать аутентификацию нужно для каждой публикации, настройку на уровне сайта можете оставить на собственное усмотрение. На уровне публикации переходим в Проверка подлинности и отключаем все методы кроме Обычная проверка подлинности, для включения-выключения используйте ссылку в меню Действия справа.
Повторяем данные действия для каждой публикации.
Теперь при попытке обратиться к нашей публикации мы увидим сначала окно дополнительной аутентификации:
В браузере мы можем запомнить пароль и клиент будет работать с 1С без дополнительных телодвижений, но форма аутентификации 1С останется надежно прикрыта от случайных посетителей и ботов.
Если мы используем тонкий клиент, то там также появится дополнительная форма аутентификации:
Но запомнить пароль там не представляется возможным, что может вызывать недовольство пользователей, поэтому укажем в свойствах базы дополнительные параметры запуска:
/WSN 1c-www /WSP Pa$$w0rd_1Где ключ /WSN определяет пользователя веб-сервера, а ключ /WSP — пароль.
Как видим, настроить защищенный доступ к публикации 1С:Предприятие достаточно несложно, главное точно следовать нашей инструкции и стараться понимать, что именно и зачем вы делаете на каждом из шагов.
Онлайн-курс по устройству компьютерных сетей
На углубленном курсе «Архитектура современных компьютерных сетей» вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.
Установка (публикация) 1С Документооборот на веб-сервере IIS
Публикация базы данных на Microsoft Internet Information Server не выполняется в автоматическом режиме и требует дополнительной настройки и конфигурации веб-сервера.
По сравнению с публикацией на веб-сервере Apache публикация базы данных на веб-сервере IIS требует более высокой квалификации администратора и большего времени, поэтому для быстрого развертывания базы данных в интернете, мы рекомендуем использовать бесплатный веб-сервер Apache. Инструкция по настройке Apache
Процесс разворачивания базы данных «1С:Документооборот» на веб-сервере IIS можно разделить на четыре этапа: установка веб-сервера, настройка прав доступа, публикация базы данных и настройка приложения IIS.
Ниже мы расскажем о всех этапах разворачивания базы данных 1С на веб-сервере IIS на примере установки системы электронного документооборота «1С:Лдокументооборот».
1. Установка веб-сервера IIS
Если веб-сервер IIS у вас еще не установлен, то предварительно его необходимо установить. Данный сервер входит в поставку специализированных серверных операционных систем Windows Server 2008 и старше, а также операционных систем Windows 8 и 10. При коммерческой эксплуатации веб-сервера от Microsoft рекомендуется сверяться с лицензионными ограничениями Windows.
Если вы используете Windows 8 или Windows 10, то установить веб-сервер IIS можно через «Панель управления», в ней необходимо выбрать пункт «Включение или отключение компонентов Windows» и в открывшемся списке выбрать пункт «Службы IIS». Пример показан на рисунке ниже.
После включения службы IIS можно проверить в браузере работу веб-сервера. Откройте в вашем браузере адрес https://localhost — вы должны увидеть стандартную страницу веб-сервера Microsoft Internet Information Server.
Для серверных операционных систем установка IIS отличается. Ниже мы покажем установку IIS на примере Windows Server 2012R (с англоязычным интерфейсом).
Откройте «Control Panel \ Programs and Features» и выберите «Turn Windows features on or off» — у вас запустится приложение «Sever Manager» (его можно запустить и другим способом).
В «Server Manager» нужно установить новую роль «IIS». В разделе Dashboard выберите «Add roles and features», далее «Role-based or feature-based installation». Нажмите «Next», выберите текущий сервер и далее выберите роль Web Server (IIS), в ней необходимо отметить «Web Server» и «Management Tools».
После завершения установки проверьте работоспособность вашего веб-сервера открыв страницу https://localhost в браузере.
Для работы с базами данных «1С:Предприятие 8.3» необходимо наличие сервисов (компонент) ASP.NET. Для их установки в разделе Dashboard (в приложении Server Manager) снова нажмите «Add roles and features” выберите тип установки и ваш сервер. После их выбора пункт Features должен стать доступным. Выберите пункт NET.Framework 3.5 и NET.Framework 4.5, обязательно отметьте ASP.NET 4.5
После окончания установки сервисов ASP.NET можно будет переходить к развертыванию базы данных «1С:Предприятие 8». Развертывание мы проведем на примере «1С:Документооборот».
2. Настройка прав доступа IIS
Доступ к базе данных «1С:Предприятие 8.3» веб-сервере IIS осуществляет с помощью специального пользователя IUSR. При установке IIS также создается группа IIS _USRS, по умолчанию она пустая. Вы можете включить в неё пользователя IUSR и давать разрешения на файлы и каталоги через группу IIS_USRS. Для редактирования групп и пользователей вы можете запустить оснастку lusrmgr.msc и выбрать раздел «Users and groups».
Для получения возможности обращения веб-сервера к библиотекам платформы «1С:Предприятие» необходимо открыть ему доступ. Дадим группе IIS_USRS права доступа на чтение подкаталога bin из каталога установки платформы «1С:Предприятие 8»
Для работы с публикуемой базой данных необходимо дать группе IIS_USRS права на модификацию каталога базы данных. Найдите вашу базу данных в каталоге и установите необходимые разрешения. Пример приведен ниже.
Важно. При настройке прав доступа убедитесь, что выданные права распространяются на существующие файлы и подкаталоги каталога. Для этого вы можете нажать кнопку «Advanced» на закладке «Security» в свойствах папки включить флажок «Replace child object permissions», затем нажать кнопку «ОК».
Пример настройки приведен на рисунке выше.
Говорят, в 1С-программировании есть чистые эльфы.
Утонченные разработчики, которые по исчерпывающим ТЗ создают нетленные творения в светлых комнатах с тихой музыкой и приглушенным светом:)
С еженедельными meetup и обсуждением scrum-“куриц” за кофе с капкейком 
Мы читали про них, но пока не видели.
Работа программиста / внедренца 1С
(и вообще большинства специалистов по 1С)
– это не только программирование…
Есть еще куча задач, которые к собственно разработке отношения не имеют, но являются обязательной частью работы любого внедренца или программиста 1С.
Понятно, что с добавлением новых пользователей или расстановкой флажков при настройке прав – все более-менее справляются
Но есть и темы, которые явно не стали “массовым знанием”.
Поэтому считаем полезным выпустить дополнительные материалы.
Итак:
Cегодняшняя тема – родом из летнего опроса (да, мы читаем ответы
Тема “1С и web” продолжает оставаться относительно новой, для многих – terra incognita, с которой еще предстоит разбираться.
Поэтому – забирайте:
PDF с описанием технологии и инструкциями.
10 базовых страниц, с которых нужно начать изучение.
Видео 00:
Вводная информация по запуску 1С под веб-клиентом
Самый первый, вводный видео-урок.
Видео 01:
Особенности веб-клиента
Веб-клиент – одно из клиентских приложений в платформе «1С:Предприятие», причем он существенно отличается от толстого или тонкого клиента.
Рассмотрим особенности и отличительные моменты веб-клиента
Видео 02:
Общая схема работы с информационными базами «1С:Предприятие» через веб-браузер
В этом видео рассматривается, как организована работа с информационными базами «1С:Предприятие» при использовании веб-браузера.
Какие веб-серверы можно использовать и какие конфигурации можно запустить под веб-клиентом.
Видео 03:
Публикация базы на веб-сервере
В этом видео рассматривается, какие действия с информационной базой нужно произвести, чтобы она была доступна для пользователя через браузер.
Рассказывается, что представляет собой публикация базы на веб-сервере.
Видео 04:
Установка веб-сервера IIS на Windows Server 2008. Публикация информационной базы «1С:Предприятие»
Один из веб-серверов, с которым может работать «1С:Предприятие», – это IIS от Microsoft. Он входит в поставку Windows Server.
В этом видео рассказывается, как установить IIS и выполнить на нем публикацию информационной базы под Windows Server 2008.
Подключаемся к опубликованной базе при помощи Internet Explorer.
Видео 05:
Настройки публикации в диспетчере служб IIS
В этом видео при помощи Диспетчера служб IIS рассматриваем, что происходит на веб-сервере при публикации базы – какие настройки установлены, и что расположено в каталоге публикации.
Видео 06:
Особенности публикации файловых информационных баз
В этом видео рассматриваем, какие ошибки с правами доступа могут возникать при публикации файловых информационных баз.
Видео 07:
Подключение к опубликованной на веб-сервере базе при помощи тонкого клиента
В этом видео рассматриваем, как подключиться к информационной базе, опубликованной на веб-сервере, не только при помощи браузера, но и под тонким клиентом.
Такую базу можно добавить в список баз в окне запуска.
Видео 08:
Установка веб-сервера IIS на Windows Server 2012 R2. Настройка работы с 32-битным расширением
В этом видео рассматривается процесс установки веб-сервера IIS под ОС Windows Server 2012 R2.
Рассказывается, какие настройки необходимо сделать, чтобы обеспечить работу 32-битного расширения под 64-битную ОС.
Видео 09:
Публикация информационной базы на веб-сервере под Windows Server 2012 R2
В этом видео рассказывается, как выполнить публикацию информационной базы под ОС Windows Server 2012 R2, что публикация должна выполняться в конфигураторе от имени администратора.
Видео 10:
Настройка 64-разрядного модуля расширения веб-сервера для IIS
В этом видео рассказывается, как установить 64-битный сервер «1С:Предприятие» и как настроить веб-сервер на работу с этой платформой.
Видео 11:
Сброс настроек при публикации из конфигуратора
В этом видео показывается, как конфигуратор при публикации базы на веб-сервере сбрасывает ранее выполненные настройки и как их поправить вручную.
Видео 12:
Установка веб-сервера Apache 2.2. Публикация информационной базы
Платформа «1С:Предприятие» может также работать с веб-сервером Apache.
В этом видео рассказывается, как установить этот веб-сервер и выполнить его настройку для публикации информационных баз.
Видео 13:
Безопасность передачи аутентификационных данных при работе по протоколу HTTP
В этом видео показывается, что при работе по протоколу HTTP по открытым каналам связи злоумышленник может получить имя пользователя и пароль к информационной базе.
Видео 14:
Настройка веб-сервера Apache для подключения к информационной базе по защищенному протоколу HTTPS
В этом видео демонстрируется, как настроить работу веб-сервера Apache по защищенному протоколу HTTPS.
Видео 15:
Утилита Webinst для публикации информационных баз на веб-сервере из командной строки
Публикацию информационных баз на веб-сервере можно осуществлять не только из конфигуратора, но и при помощи специальной консольной утилиты.
В этом видео рассматриваются возможности этой утилиты.
Приятного просмотра