Защищаем соединение с 1С: настраиваем HTTPS в IIS

Данная пошаговая инструкция подробно описывает процесс настройки HTTPS для веб-публикации 1С, развернутой на сервере Microsoft IIS. Выполнив эти шаги, вы:

1. Защитите данные при передаче между браузером пользователя и сервером 1С.
2. Обеспечите необходимое условие для встраивания интерфейса 1С в фрейм на страницах Битрикс24 (браузеры блокируют загрузку небезопасного контента в защищенные страницы).
3. Повысите доверие к вашей системе.

В статье рассматривается:

• Получение и установка доверенного SSL-сертификата (на примере бесплатного Let's Encrypt).
• Настройка автоматического перенаправления HTTP-трафика на HTTPS.
• Ключевой момент для интеграции с Битрикс24: добавление специальных HTTP-заголовков (X-Frame-Options и Content-Security-Policy), которые разрешают вашей публикации 1С безопасно открываться внутри iframe на доменах Битрикс.

Следуйте инструкции ниже, чтобы настроить безопасное соединение и подготовить вашу публикацию 1С к интеграции.

Предварительные требования

1. На сервере должна быть настроена Веб-публикация 1С в IIS.
2. В конфигурации публикации 1С включите по необходимости:
• Публиковать Web-сервисы по умолчанию
• Публиковать Web-сервисы
• Публиковать Web-сервисы расширений по умолчанию
3. На межсетевом экране (брандмауэре) откройте порты 80 (HTTP) и 443 (HTTPS).

1. Генерация SSL-сертификата (на примере Let’s Encrypt)

Используем бесплатный инструмент win-acme для автоматического получения и обновления сертификата.

1. Скачайте и подготовьте программу.
• Загрузите последний релиз win-acme с  GitHub.
• Распакуйте архив в удобную директорию на сервере.

2.      Запустите мастер настройки.

• Запустите wacs.exe от имени администратора.
• Введите email для уведомлений о сертификате.
• Примите условия лицензионного соглашения.

1. Создайте сертификат.
• В главном меню выберите: N: Create new certificate.
• Выберите сайт IIS, к которому нужно привязать сертификат, или
• Выберите пункт 4 (Manually input host name) и вручную введите имя вашего сайта (например, 1c.example.com).
• Завершите работу мастера, подтвердив создание сертификата (обычно пункт 1). Премайнер автоматически привяжет сертификат к сайту в IIS.

2. Настройка перенаправления HTTP → HTTPS

Чтобы все соединения автоматически переходили на защищенный протокол, настройте правило в Диспетчер служб IIS.

1. Откройте "URL Rewrite" (Переопределение URL-адресов) для вашего сайта.

1. Создайте новое пустое правило для входящего трафика.
2. Заполните поля:
• Шаблон: *
• Условия: Добавьте условие:
• Ввод условия: {HTTPS}
• Шаблон: OFF
• Действие:
• Тип действия: Перенаправление
• URL-адрес перенаправления:  https://{HTTP_HOST}{REQUEST_URI}
• Тип перенаправления: Постоянное (301)

Теперь любой запрос по HTTP будет автоматически перенаправлен на HTTPS.

3. Настройка привязки HTTPS в IIS

Убедитесь, что для сайта создана правильная привязка.

1. В свойствах сайта перейдите в раздел "Привязки".

1. Добавьте новую привязку (или отредактируйте существующую):
• Тип: HTTPS
• IP-адрес: Адрес сервера (часто Все неустановленные)
• Порт: 443
• Имя узла: Полное доменное имя вашей базы 1С (например, 1c.example.com)
• SSL-сертификат: Выберите сертификат, созданный через win-acme.

4. Завершение настройки

1. Перезапустите IIS (или конкретный сайт) через диспетчер служб или командой iisreset.
2. Проверьте работоспособность, открыв браузер и перейдя по адресу https://ваш_адрес_базы. Должна отобразиться штатная страница публикации 1С, а в адресной строке браузера — значок защищенного соединения.

Важные нюансы и дополнения

• Для интеграции с Битрикс24:
  Часто требуется настроить дополнительные HTTP-заголовки для безопасности. Заголовки управляют политикой встраивания страницы в <iframe>. Когда вы открываете тонкий или веб-клиент 1С внутри фрейма на странице Битрикс24, браузер проверяет эти заголовки, чтобы убедиться, что такое встраивание разрешено сервером 1С. Без них браузер заблокирует загрузку клиента 1С во фрейме по соображениям безопасности.
1. В свойствах сайта в IIS найдите раздел "HTTP-заголовки ответа".

1. Добавьте заголовок:
• Имя: X-Frame-Options
• Значение: ALLOW-FROM https://integration-ms2.bitrix.info

1. Добавьте заголовок:
• Имя: Content-Security-Policy
• Значение: frame-ancestors https://integration-ms2.bitrix.info

• Проверка доступа:
1. Убедитесь, что порты 80 и 443 открыты не только на брандмауэре Windows, но и на сетевом оборудовании (маршрутизатор, облачный фаервол).
2. Для интеграций с внешними сервисами (как в примере с Битрикс) убедитесь, что домен (например, integration-ms2.bitrix.info) добавлен в список разрешенных на компьютере с веб-публикацией. Это может потребовать настройки политик безопасности или файла hosts.