31Aug
Udviklere og it-administratorer har uden tvivl behov for at implementere nogle hjemmesider via HTTPS ved hjælp af et SSL-certifikat. Selvom denne proces er ret ligetil for et produktionssted, kan du med henblik på udvikling og test også finde brug for at bruge et SSL-certifikat her også.
Som en alternativ til køb og fornyelse af et årligt certifikat kan du udnytte din Windows Server evne til at generere et selvstændigt underskrevet certifikat, som er praktisk, nemt og skal opfylde disse typer behov perfekt.
Oprettelse af et selvtegnet certifikat på IIS
Selv om der er flere måder at udføre opgaven med at oprette et selv underskrevet certifikat på, vil vi bruge SelfSSL-værktøjet fra Microsoft. Desværre sendes dette ikke med IIS, men det er frit tilgængeligt som led i IIS 6.0 Resource Toolkit( linket findes i bunden af denne artikel).På trods af navnet "IIS 6.0" fungerer dette værktøj fint i IIS 7.
Alt, hvad der kræves, er at udvinde IIS6RT for at få selvssl.exe-værktøjet. Herfra kan du kopiere det til din Windows-mappe eller en netværkssti / USB-drev til fremtidig brug på en anden maskine( så du behøver ikke downloade og udtrække hele IIS6RT).
Når du har SelfSSL-værktøjet på plads, skal du køre følgende kommando( som administrator), der erstatter værdierne i & lt; & gt;som det er relevant:
selfssl /N:CN=<your.domain.com>/ V: & lt; antal gyldige dage & gt;
Nedenstående eksempel producerer et selv underskrevet wildcard certifikat mod "mydomain.com" og sætter det til at være gyldigt i 9.999 dage. Desuden er dette certifikat automatisk konfigureret til at binde til port 443 inde i IIS 'standardwebsted ved at svare ja til promptet.
Mens certifikatet på dette tidspunkt er klar til brug, gemmes det kun i personlig certifikatbutik på serveren. Det er en god praksis at også have dette certifikat sat i den betroede rod.
Gå til Start & gt;Kør( eller Windows Nøgle + R) og indtast "mmc".Du kan modtage en UAC-prompt, acceptere den, og en tom administrationskonsol åbnes.
I konsollen skal du gå til File & gt;Tilføj / fjern Snap-in.
Tilføj certifikater fra venstre side.
Vælg Computer-konto.
Vælg Lokal computer.
Klik på OK for at se den lokale certifikat butik.
Naviger til Personlig & gt;Certifikater og find certifikatet, du opsætter ved hjælp af SelfSSL-værktøjet. Højreklik på certifikatet, og vælg Kopier.
Naviger til Trusted Root Certification Authorities & gt;Certifikater. Højreklik på mappen Certifikater, og vælg Indsæt.
En post til SSL-certifikatet skal vises på listen.
På dette tidspunkt skal din server ikke have problemer med at arbejde med det selv underskrevne certifikat.
Eksportere certifikatet
Hvis du vil få adgang til et websted, der bruger det selv underskrevne SSL-certifikat på en hvilken som helst klientmaskin( dvs. en hvilken som helst computer, som ikke er serveren) for at undgå et potentielt angreb på certifikatfejl og advarsler selvunderskrevet certifikat skal installeres på hver af klientmaskinerne( som vi vil diskutere i detaljer nedenfor).For at gøre dette skal vi først eksportere det pågældende certifikat, så det kan installeres på klienterne.
Inden for konsollen med Certifikatstyring indlæst, skal du navigere til Trusted Root Certification Authorities & gt;Certifikater. Find certifikatet, højreklik og vælg Alle opgaver & gt;Eksport.
Når du bliver bedt om at eksportere den private nøgle, skal du vælge Ja. Klik på Næste.
Forlad standardvalgene for filformatet, og klik på Næste.
Indtast et kodeord. Dette vil blive brugt til at beskytte certifikatet, og brugere kan ikke importere det lokalt uden at indtaste dette kodeord.
Indtast en placering for at eksportere certifikatfilen. Det vil være i PFX format.
Bekræft dine indstillinger og klik på Udfør.
Den resulterende PFX-fil er, hvad der vil blive installeret på dine klientmaskiner for at fortælle dem, at dit selv underskrevne certifikat er fra en pålidelig kilde.
Implementering til klientmaskiner
Når du har oprettet certifikatet på serversiden og har alt i gang, kan du bemærke, at når en klientmaskin forbinder til den respektive webadresse, vises en advarselsadvarsel. Dette sker, fordi certifikatmyndigheden( din server) ikke er en betroet kilde til SSL-certifikater på klienten.
Du kan klikke gennem advarslerne og få adgang til webstedet, men du kan få gentagne notifikationer i form af en fremhævet URL-bar eller gentagne certifikatadvarsler. For at undgå denne irritation skal du blot installere det brugerdefinerede SSL-sikkerhedscertifikat på klientmaskinen.
Afhængig af den browser, du bruger, kan denne proces variere. IE og Chrome læses begge fra Windows-certifikatbutikken, men Firefox har en brugerdefineret metode til håndtering af sikkerhedscertifikater.
Vigtig note: Du bør aldrig installere et sikkerhedscertifikat fra en ukendt kilde. I praksis bør du kun installere et certifikat lokalt, hvis du genererede det. Intet legitimt websted ville kræve, at du udfører disse trin.
Internet Explorer &Google Chrome - Installation af certifikatet lokalt
Bemærk: Selvom Firefox ikke bruger det indbyggede Windows-certifikatlager, er dette stadig et anbefalet trin.
Kopier certifikatet, som blev eksporteret fra serveren( PFX-filen) til klientmaskinen, eller sørg for, at den er tilgængelig i en netværkssti.
Åbn den lokale certifikat butikshåndtering på klientmaskinen ved hjælp af nøjagtig samme trin som ovenfor. Du vil til sidst ende på en skærm som den nedenfor.
På venstre side skal du udvide certifikater & gt;Trusted Root Certification Authorities. Højreklik på mappen Certifikater og vælg Alle opgaver & gt;Importere.
Vælg det certifikat, der blev kopieret lokalt til din maskine.
Indtast det sikkerhedsadgangskode, der er tildelt, når certifikatet blev eksporteret fra serveren.
Butikken "Trusted Root Certification Authorities" skal udfyldes som destination. Klik på Næste.
Gennemgå indstillingerne og klik på Udfør.
Du skal se en succesmeddelelse.
Opdater dit syn på godkendte autoriserede certificeringsmyndigheder & gt;Certifikatmappe, og du skal se serverens selv underskrevne certifikat angivet i butikken.
En dette er gjort, du skal kunne browse til et HTTPS-websted, der bruger disse certifikater og ikke modtager advarsler eller meddelelser.
Firefox - Tillader undtagelser
Firefox håndterer denne proces lidt anderledes, da den ikke læser certifikatoplysninger fra Windows-butikken. I stedet for at installere certifikater( per-se), kan du definere undtagelser for SSL-certifikater på bestemte websteder.
Når du besøger et websted, der har en certifikatfejl, får du en advarsel som den nedenfor. Området i blåt vil navngive den respektive webadresse, du forsøger at få adgang til. Hvis du vil oprette en undtagelse for at omgå denne advarsel på den respektive URL, skal du klikke på knappen Tilføj undtagelse.
I dialogboksen Tilføj sikkerhedsundtagelse klikker du på Bekræft sikkerhedsundtagelse for at konfigurere denne undtagelse lokalt.
Bemærk, at hvis en bestemt side omdirigerer til underdomæner indefra, kan du få flere sikkerhedsadvarsler( med URL'en lidt forskellig hver gang).Tilføj undtagelser for disse webadresser ved hjælp af de samme trin som ovenfor.
Konklusion
Det er værd at gentage ovenstående meddelelse, at du skal aldrig installere et sikkerhedscertifikat fra en ukendt kilde. I praksis bør du kun installere et certifikat lokalt, hvis du genererede det. Intet legitimt websted ville kræve, at du udfører disse trin.
Links
Download IIS 6.0 Resource Toolkit( inkluderer SelfSSL-værktøj) fra Microsoft
