31Aug
Programiści i administratorzy IT mają niewątpliwie potrzebę wdrożenia witryny za pośrednictwem protokołu HTTPS przy użyciu certyfikatu SSL.Chociaż proces ten jest dość prosty w przypadku strony produkcyjnej, w celu opracowania i testowania może się okazać, że będziesz potrzebować tutaj również certyfikatu SSL.
Jako alternatywa dla zakupu i odnowienia rocznego certyfikatu, możesz wykorzystać zdolność systemu Windows Server do generowania samopodpisanego certyfikatu, który jest wygodny, łatwy i powinien idealnie spełniać te potrzeby.
Tworzenie certyfikatu samopodpisanego w IIS
Podczas gdy istnieje kilka sposobów na wykonanie zadania tworzenia certyfikatu z podpisem własnym, użyjemy narzędzia SelfSSL firmy Microsoft. Niestety nie jest to dostarczane z usługami IIS, ale jest swobodnie dostępne w ramach zestawu narzędzi Resource Tool IIS 6.0( łącze zamieszczone na końcu tego artykułu).Pomimo nazwy "IIS 6.0" to narzędzie działa dobrze w IIS 7.
Wszystko, czego potrzeba, to wyodrębnić IIS6RT, aby pobrać narzędzie selfssl.exe. Tutaj możesz skopiować go do swojego katalogu Windows lub ścieżki sieciowej / dysku USB do wykorzystania w przyszłości na innym komputerze( nie musisz więc pobierać i wyodrębniać całego IIS6RT).
Po ustawieniu narzędzia SelfSSL uruchom poniższą komendę( jako administrator) zastępując wartości w & lt; & gt;odpowiednio:
selfssl /N:CN=<twoja.domena.com>/ V: & lt; liczba poprawnych dni & gt;
Poniższy przykład tworzy samopodpisany certyfikat wieloznaczny na "moja_domena.com" i ustawia go na 9999 dni. Ponadto, odpowiadając na pytanie "tak", ten certyfikat jest automatycznie konfigurowany w celu powiązania z portem 443 w domyślnej witrynie internetowej IIS.
Podczas gdy w tym momencie certyfikat jest gotowy do użycia, jest przechowywany tylko w osobistym magazynie certyfikatów na serwerze. Dobrą praktyką jest również ustawienie tego certyfikatu w zaufanym katalogu głównym.
Przejdź do menu Start & gt;Uruchom( lub klawisz Windows + R) i wpisz "mmc".Możesz otrzymać komunikat UAC, zaakceptuj go i otworzy się pusta konsola zarządzania.
W konsoli przejdź do Plik & gt;Dodaj / usuń przystawkę.
Dodaj certyfikaty z lewej strony.
Wybierz opcję Konto komputera.
Wybierz Komputer lokalny.
Kliknij przycisk OK, aby wyświetlić Magazyn certyfikatów lokalnych.
Przejdź do opcji Osobiste & gt;Certyfikaty i znajdź certyfikat, który ustawiłeś za pomocą narzędzia SelfSSL.Kliknij certyfikat prawym przyciskiem myszy i wybierz opcję Kopiuj.
Przejdź do zaufanych głównych urzędów certyfikacji & gt;Certyfikaty. Kliknij prawym przyciskiem folder Certyfikaty i wybierz polecenie Wklej.
Wpis dotyczący certyfikatu SSL powinien pojawić się na liście.
W tym momencie serwer nie powinien mieć problemów z obsługą certyfikatu z podpisem własnym.
Eksportowanie certyfikatu
Jeśli masz zamiar uzyskać dostęp do witryny, która używa samopodpisanego certyfikatu SSL na dowolnym komputerze klienta( tj. Na dowolnym komputerze, który nie jest serwerem), w celu uniknięcia potencjalnego ataku błędów certyfikatów i ostrzeżeńpodpisany certyfikat powinien zostać zainstalowany na każdym komputerze klienta( który omówimy szczegółowo poniżej).Aby to zrobić, najpierw musimy wyeksportować odpowiedni certyfikat, aby mógł zostać zainstalowany na klientach.
Wewnątrz konsoli z załadowanym systemem zarządzania certyfikatami przejdź do witryny Zaufane główne urzędy certyfikacji & gt;Certyfikaty. Zlokalizuj certyfikat, kliknij prawym przyciskiem myszy i wybierz Wszystkie zadania & gt;Eksport.
Po wyświetleniu pytania o wyeksportowanie klucza prywatnego wybierz opcję Tak. Kliknij Następny.
Pozostaw domyślne wybory formatu pliku i kliknij Dalej.
Wprowadź hasło. To będzie używane do ochrony certyfikatu, a użytkownicy nie będą mogli go zaimportować lokalnie bez wpisania tego hasła.
Wprowadź lokalizację, aby wyeksportować plik certyfikatu. Będzie w formacie PFX.
Zatwierdź ustawienia i kliknij przycisk Zakończ.
Wynikowy plik PFX zostanie zainstalowany na komputerach klienckich w celu poinformowania ich, że samopodpisany certyfikat pochodzi z zaufanego źródła.
Wdrażanie na komputerach klienckich
Po utworzeniu certyfikatu po stronie serwera i sprawieniu, aby wszystko działało, możesz zauważyć, że gdy komputer klienta łączy się z odpowiednim adresem URL, wyświetlane jest ostrzeżenie o certyfikacie. Dzieje się tak, ponieważ urząd certyfikacji( Twój serwer) nie jest zaufanym źródłem certyfikatów SSL na kliencie.
Możesz kliknąć ostrzeżenia i uzyskać dostęp do strony, jednak możesz otrzymywać powtarzające się powiadomienia w postaci podświetlonego paska adresu URL lub powtarzających się ostrzeżeń o certyfikatach. Aby uniknąć tej irytacji, wystarczy zainstalować niestandardowy certyfikat bezpieczeństwa SSL na komputerze klienta.
W zależności od używanej przeglądarki proces ten może się różnić.IE i Chrome zarówno czytają ze sklepu Windows Certificate, jak i Firefox mają niestandardową metodę obsługi certyfikatów bezpieczeństwa.
Ważna uwaga: Powinieneś nigdy zainstalować certyfikat bezpieczeństwa z nieznanego źródła. W praktyce powinieneś zainstalować lokalnie certyfikat tylko wtedy, gdy go wygenerowałeś.Żadna legalna witryna nie wymaga wykonywania tych kroków.
Internet Explorer &Google Chrome - lokalna instalacja certyfikatu
Uwaga: mimo że Firefox nie korzysta z natywnego magazynu certyfikatów systemu Windows, jest to nadal zalecany krok.
Skopiuj certyfikat, który został wyeksportowany z serwera( plik PFX) do komputera klienta lub upewnij się, że jest dostępny w ścieżce sieciowej.
Otwórz zarządzanie lokalnym magazynem certyfikatów na komputerze klienta, wykonując dokładnie te same kroki, co powyżej. W końcu trafisz na ekran podobny do poniższego.
Po lewej stronie rozwiń kolejno Certyfikaty & gt;Zaufane główne urzędy certyfikacji. Kliknij prawym przyciskiem folder Certyfikaty i wybierz Wszystkie zadania & gt;Import.
Wybierz certyfikat, który został skopiowany lokalnie na Twój komputer.
Wprowadź hasło zabezpieczeń przypisane podczas eksportowania certyfikatu z serwera.
Sklep "Zaufane główne urzędy certyfikacji" powinien zostać wstępnie wypełniony jako miejsce docelowe. Kliknij Następny.
Przejrzyj ustawienia i kliknij przycisk Zakończ.
Powinieneś zobaczyć komunikat o powodzeniu.
Odśwież swój widok Zaufanych głównych urzędów certyfikacji & gt;W folderze certyfikatów powinien pojawić się podpisany przez siebie certyfikat serwera w sklepie.
Po wykonaniu tej czynności powinieneś móc przeglądać strony HTTPS, które używa tych certyfikatów i nie otrzymują ostrzeżeń ani monitów.
Firefox - Zezwalanie na wyjątki
Firefox obsługuje ten proces nieco inaczej, ponieważ nie odczytuje informacji o certyfikacie ze sklepu Windows. Zamiast instalować certyfikaty( per-se), umożliwia definiowanie wyjątków dla certyfikatów SSL w określonych witrynach.
Podczas odwiedzania witryny z błędem certyfikatu otrzymasz ostrzeżenie podobne do poniższego. Obszar oznaczony kolorem niebieskim określi odpowiedni adres URL, do którego próbujesz uzyskać dostęp. Aby utworzyć wyjątek, który pomija to ostrzeżenie w odpowiednim adresie URL, kliknij przycisk Dodaj wyjątek.
W oknie dialogowym Add Security Exception kliknij opcję Confirm Security Exception, aby skonfigurować ten wyjątek lokalnie.
Zwróć uwagę, że jeśli dana witryna przekierowuje do subdomen z samej siebie, możesz otrzymać wiele ostrzeżeń o bezpieczeństwie( za każdym razem adres URL jest nieco inny).Dodaj wyjątki dla tych URL-i, wykonując te same kroki co powyżej.
Wniosek
Warto powtórzyć powyższą uwagę, że nigdy nie powinien instalować certyfikatu bezpieczeństwa z nieznanego źródła. W praktyce powinieneś zainstalować lokalnie certyfikat tylko wtedy, gdy go wygenerowałeś.Żadna legalna witryna nie wymaga wykonywania tych kroków.
Links
Pobierz pakiet narzędzi IIS 6.0( zawiera narzędzie SelfSSL) firmy Microsoft