31Aug
Vývojáři a správci IT bezpochyby potřebují nasazení některých webových stránek prostřednictvím protokolu HTTPS pomocí certifikátu SSL.Zatímco tento proces je pro výrobní místo poměrně jednoduchý, pro účely vývoje a testování může být zde také potřeba použít certifikát SSL.
Jako alternativu k nákupu a obnovení každoročního certifikátu můžete využít možnosti systému Windows Server generovat certifikát s vlastním podpisem, který je pohodlný a snadný a měl by splňovat tyto typy potřeb dokonale.
Vytvoření certifikátu s vlastním podpisem ve službě IIS
Zatímco existuje několik způsobů, jak splnit úkol vytvoření certifikátu s vlastním podpisem, použijeme nástroj SelfSSL společnosti Microsoft. Bohužel to není dodáváno s IIS, ale je volně k dispozici jako součást IIS 6.0 Resource Toolkit( odkaz uvedený v dolní části tohoto článku).Přes název "IIS 6.0" tento nástroj funguje v IIS 7 v pohodě.
Vše, co je potřeba, je extrahovat IIS6RT získat nástroj selfssl.exe. Zde jej můžete zkopírovat do adresáře Windows nebo síťové cesty / jednotky USB pro budoucí použití na jiném počítači( takže nemusíte stahovat a extrahovat úplný IIS6RT).
Jakmile použijete nástroj SelfSSL, spusťte následující příkaz( jako správce), který nahrazuje hodnoty v & lt; & gt;podle potřeby:
selfssl /N:CN=<yourdomain.com>/ V:
Níže uvedený příklad vytváří samostatný podepsaný zástupný certifikát proti "mydomain.com" a nastaví jej platnost 9,999 dní.Navíc odpovězte Ano na výzvu je tento certifikát automaticky nakonfigurován tak, aby se navázal na port 443 uvnitř výchozího webu IIS.
Zatímco v tomto okamžiku je certifikát připraven k použití, je uložen pouze v úložišti osobních certifikátů na serveru. Osvědčení je také vhodné v důvěryhodném kořenovém adresáři.
Přejděte na Start & gt;Spustit( nebo Windows Key + R) a zadejte "mmc".Můžete přijmout výzvu UAC, přijmout ji a otevřít prázdnou konzolu pro správu.
V konzole přejděte na položku Soubor & gt;Přidat / odebrat modul snap-in.
Přidat certifikáty z levé strany.
Vyberte účet počítače.
Zvolte Místní počítač.
Klepnutím na tlačítko OK zobrazíte úložiště místních certifikátů.
Přejděte na položku Osobní & gt;Certifikáty a vyhledejte certifikát, který nastavíte pomocí nástroje SelfSSL.Klepněte pravým tlačítkem myši na certifikát a vyberte příkaz Kopírovat.
Přejděte na Trusted Root Certification Authorities & gt;Certifikáty. Klepněte pravým tlačítkem myši na složku Certifikáty a vyberte možnost Vložit.
V seznamu by se měla zobrazit položka pro certifikát SSL.
V tomto okamžiku by váš server neměl mít žádné problémy s vlastní certifikací.
Export certifikátu
Pokud chcete přistupovat k webu, který používá certifikát SSL s vlastním podpisem na libovolném klientském počítači( tj. Na jakémkoli počítači, který není serverem), aby se zabránilo možnému náporu chyb a varování certifikátu,podepsaný certifikát by měl být nainstalován na každém z klientských strojů( o kterém budeme podrobněji diskutovat níže).K tomu je třeba nejdříve exportovat příslušný certifikát, aby mohl být nainstalován na klienty.
Uvnitř konzoly s načtením Správy certifikátů přejděte na Odpovědné autority kořenové certifikace & gt;Certifikáty. Najděte certifikát, klikněte pravým tlačítkem myši a vyberte možnost Všechny úkoly & gt;Vývozní.
Po výzvě k exportu soukromého klíče vyberte možnost Ano. Klepněte na tlačítko Další.
Ponechte výchozí volby pro formát souboru a klepněte na tlačítko Další.
Zadejte heslo. To bude použito k ochraně certifikátu a uživatelé jej nebudou moci místně importovat bez zadání tohoto hesla.
Zadejte umístění exportovat soubor certifikátu. Bude to ve formátu PFX.
Potvrďte nastavení a klepněte na tlačítko Dokončit.
Výsledný soubor PFX je to, co bude nainstalováno do vašich klientských počítačů, aby jim bylo řečeno, že váš certifikát s vlastním podpisem pochází z důvěryhodného zdroje.
Nasazení do klientských počítačů
Jakmile vytvoříte certifikát na straně serveru a vše bude fungovat, můžete si všimnout, že při připojení klientského počítače k příslušné adrese URL se zobrazí upozornění na certifikát. K tomu dochází, protože certifikační autorita( váš server) není pro klienta důvěryhodným zdrojem certifikátů SSL.
Můžete kliknout na varování a získat přístup k webu, avšak můžete získat opakované upozornění ve formě zvýrazněného panelu URL nebo opakování upozornění na certifikáty. Abyste se vyhnuli tomuto obtěžování, stačí na klientském počítači nainstalovat vlastní bezpečnostní certifikát SSL.
V závislosti na používaném prohlížeči se může tento proces lišit. IE a Chrome oba číst z úložiště certifikátů Windows, avšak Firefox má vlastní metodu zpracování bezpečnostních certifikátů.
Důležitá poznámka: Měli byste nikdy nainstalovat bezpečnostní certifikát z neznámého zdroje. V praxi byste měli instalovat certifikát pouze místně, pokud jste jej vygenerovali.Žádná legitimní webová stránka by nevyžadovala provedení těchto kroků.
Internet Explorer &Google Chrome - instalace certifikátu místně
Poznámka: I když Firefox nepoužívá nativní úložiště certifikátů Windows, je to stále doporučený krok.
Zkopírujte certifikát, který byl exportován ze serveru( soubor PFX) do klientského počítače, nebo se ujistěte, že je k dispozici v síťové cestě.
Otevřete místní správu úložišť certifikátů na klientském počítači pomocí stejných výše popsaných kroků.Nakonec skončíte na obrazovce, jako je níže.
V levé části rozbalte položku Certifikáty & gt;Důvěryhodné kořenové certifikační úřady. Klikněte pravým tlačítkem na složku Certifikáty a vyberte možnost Všechny úkoly & gt;Import.
Vyberte certifikát, který byl místně zkopírován do vašeho počítače.
Zadejte heslo zabezpečení přidělené při exportu certifikátu ze serveru.
Úložiště "Důvěryhodné kořenové certifikační úřady" by mělo být jako cíl určeno. Klepněte na tlačítko Další.
Zkontrolujte nastavení a klepněte na tlačítko Dokončit.
Měli byste vidět zprávu o úspěchu.
Aktualizujte svůj názor na Důvěryhodné kořenové certifikační autority & gt;Certifikáty a měli byste vidět certifikát serveru, který je uveden v obchodě.
Jeden je hotový, měli byste být schopni procházet web HTTPS, který používá tyto certifikáty a neobdrží žádné varování nebo výzvy.
Firefox - povolení výjimek
Firefox zpracuje tento proces poněkud jinak, protože nečte informace o certifikáte z obchodu Windows. Místo instalace certifikátů( per-se) vám umožňuje definovat výjimky pro certifikáty SSL na konkrétních webech.
Při návštěvě webu, který má chybu certifikátu, dostanete upozornění, jako je níže. Modrá oblast označuje příslušnou adresu URL, ke které se pokoušíte přistupovat. Chcete-li vytvořit výjimku k vynechání tohoto upozornění na příslušné adrese URL, klepněte na tlačítko Přidat výjimku.
V dialogovém okně Přidat bezpečnostní výjimku klepněte na možnost Potvrzení výjimky zabezpečení, chcete-li tuto výjimku nakonfigurovat místně.
Všimněte si, že pokud určitá stránka přesměruje na subdomény zevnitř, může se zobrazit několik upozornění na bezpečnostní upozornění( s adresou URL, která se pokaždé trochu liší).Přidat výjimky pro tyto adresy URL pomocí stejných kroků jako výše.
Závěr
Je vhodné opakovat výše uvedené upozornění, že nikdy nesmí instalovat bezpečnostní certifikát z neznámého zdroje. V praxi byste měli instalovat certifikát pouze místně, pokud jste jej vygenerovali.Žádná legitimní webová stránka by nevyžadovala provedení těchto kroků.
Odkazy
Stáhnout nástroj IIS 6.0 Resource Toolkit( obsahuje nástroj SelfSSL) od společnosti Microsoft