31Aug
Entwickler und IT-Administratoren haben zweifellos die Notwendigkeit, eine Website über HTTPS mithilfe eines SSL-Zertifikats bereitzustellen. Während dieser Prozess für eine Produktionsstätte ziemlich einfach ist, können Sie zu Entwicklungs- und Testzwecken auch hier ein SSL-Zertifikat benötigen.
Als Alternative zum Erwerb und zur Erneuerung eines jährlichen Zertifikats können Sie die Fähigkeit Ihres Windows-Servers nutzen, ein selbstsigniertes Zertifikat zu erstellen, das bequem und einfach ist und diese Anforderungen perfekt erfüllt.
Erstellen eines selbstsignierten Zertifikats auf dem IIS
Während die Erstellung eines selbstsignierten Zertifikats auf mehrere Arten möglich ist, verwenden wir das SelfSSL-Dienstprogramm von Microsoft. Leider wird dieses Produkt nicht mit IIS ausgeliefert, ist jedoch als Teil des IIS 6.0 Resource Toolkit( Link am Ende dieses Artikels) frei verfügbar. Trotz des Namens "IIS 6.0" funktioniert dieses Dienstprogramm problemlos in IIS 7.
Alles, was erforderlich ist, ist, das IIS6RT zu extrahieren, um das Selfssl.exe-Dienstprogramm zu erhalten. Von hier aus können Sie es in Ihr Windows-Verzeichnis oder einen Netzwerkpfad / USB-Laufwerk kopieren, um es später auf einem anderen Computer zu verwenden( Sie müssen also nicht den gesamten IIS6RT herunterladen und extrahieren).
Nachdem Sie das SelfSSL-Dienstprogramm installiert haben, führen Sie den folgenden Befehl( als Administrator) aus und ersetzen Sie die Werte in & lt; & gt;gegebenenfalls:
selfssl /N:CN=<ihre.domain.com>/ V: & lt; Anzahl gültiger Tage & gt;
Im folgenden Beispiel wird ein selbstsigniertes Platzhalterzertifikat für "mydomain.com" erstellt und für 9.999 Tage als gültig festgelegt. Durch Beantworten der Eingabeaufforderung mit Ja wird dieses Zertifikat außerdem automatisch so konfiguriert, dass es an Port 443 innerhalb der Standardwebsite von IIS bindet.
Während das Zertifikat zur Verwendung bereit ist, wird es nur im persönlichen Zertifikatspeicher auf dem Server gespeichert. Es ist eine bewährte Methode, dieses Zertifikat auch im vertrauenswürdigen Stammverzeichnis zu speichern.
Gehe zu Start & gt;Führen Sie( oder Windows-Taste + R) aus und geben Sie "mmc" ein. Möglicherweise erhalten Sie eine UAC-Eingabeaufforderung, akzeptieren Sie sie und eine leere Management Console wird geöffnet.
In der Konsole gehen Sie zu Datei & gt;Snap-In hinzufügen / entfernen
Zertifikate von der linken Seite hinzufügen.
Wählen Sie Computerkonto.
Wählen Sie Lokaler Computer.
Klicken Sie auf OK, um den lokalen Zertifikatspeicher anzuzeigen.
Navigieren Sie zu Persönlich & gt;Zertifikate und suchen Sie das Zertifikat, das Sie mithilfe des SelfSSL-Dienstprogramms eingerichtet haben. Klicken Sie mit der rechten Maustaste auf das Zertifikat und wählen Sie Kopieren.
Navigieren Sie zu Vertrauenswürdige Stammzertifizierungsstellen & gt;Zertifikate. Klicken Sie mit der rechten Maustaste auf den Ordner Zertifikate und wählen Sie Einfügen.
In der Liste sollte ein Eintrag für das SSL-Zertifikat erscheinen.
An diesem Punkt sollte Ihr Server keine Probleme mit dem selbstsignierten Zertifikat haben.
Exportieren des Zertifikats
Wenn Sie auf eine Site zugreifen möchten, die das selbstsignierte SSL-Zertifikat auf einem Clientcomputer verwendet( dh auf einem Computer, der nicht der Server ist), um einen möglichen Ansturm von Zertifikatsfehlern und Warnungen zu vermeidenDas signierte Zertifikat sollte auf jedem der Client-Rechner installiert sein( auf die wir im Folgenden näher eingehen werden).Dazu müssen wir zuerst das entsprechende Zertifikat exportieren, damit es auf den Clients installiert werden kann.
Navigieren Sie in der Konsole mit der geladenen Zertifikatsverwaltung zu Vertrauenswürdige Stammzertifizierungsstellen & gt;Zertifikate. Suchen Sie das Zertifikat, klicken Sie mit der rechten Maustaste und wählen Sie Alle Aufgaben & gt;Export.
Wenn Sie dazu aufgefordert werden, den privaten Schlüssel zu exportieren, wählen Sie Ja. Weiter klicken.
Behalten Sie die Standardauswahl für das Dateiformat bei und klicken Sie auf Weiter.
Geben Sie ein Passwort ein. Dies wird verwendet, um das Zertifikat zu schützen und Benutzer können es nicht lokal importieren, ohne dieses Passwort einzugeben.
Geben Sie einen Speicherort für die Zertifikatdatei ein. Es wird im PFX-Format sein.
Bestätigen Sie Ihre Einstellungen und klicken Sie auf Fertig stellen.
Die resultierende PFX-Datei wird auf Ihren Client-Computern installiert, um ihnen mitzuteilen, dass Ihr selbstsigniertes Zertifikat von einer vertrauenswürdigen Quelle stammt.
Bereitstellung auf Client-Computern
Wenn Sie das Zertifikat auf der Serverseite erstellt haben und alles funktioniert, stellen Sie möglicherweise fest, dass eine Zertifikatswarnung angezeigt wird, wenn ein Clientcomputer eine Verbindung mit der entsprechenden URL herstellt. Dies geschieht, weil die Zertifizierungsstelle( Ihr Server) keine vertrauenswürdige Quelle für SSL-Zertifikate auf dem Client ist.
Sie können durch die Warnungen klicken und auf die Site zugreifen. Sie erhalten jedoch möglicherweise wiederholte Benachrichtigungen in Form einer hervorgehobenen URL-Leiste oder wiederholten Zertifikatswarnungen. Um diese Belästigung zu vermeiden, müssen Sie lediglich das benutzerdefinierte SSL-Sicherheitszertifikat auf dem Clientcomputer installieren.
Je nach verwendetem Browser kann dieser Vorgang variieren. IE und Chrome lesen beide aus dem Windows-Zertifikatspeicher, Firefox verfügt jedoch über eine benutzerdefinierte Methode zur Verarbeitung von Sicherheitszertifikaten.
Wichtiger Hinweis: Sie sollten niemals installieren ein Sicherheitszertifikat von einer unbekannten Quelle. In der Praxis sollten Sie ein Zertifikat nur lokal installieren, wenn Sie es generiert haben. Keine legitime Website würde erfordern, dass Sie diese Schritte ausführen.
Internet Explorer &Google Chrome - Lokales Installieren des Zertifikats
Hinweis: Obwohl Firefox den systemeigenen Windows-Zertifikatspeicher nicht verwendet, ist dies dennoch ein empfohlener Schritt.
Kopieren Sie das Zertifikat, das vom Server exportiert wurde( die PFX-Datei), auf den Clientcomputer oder stellen Sie sicher, dass es in einem Netzwerkpfad verfügbar ist.
Öffnen Sie die lokale Zertifikatsspeicherverwaltung auf dem Clientcomputer, indem Sie dieselben Schritte wie oben ausführen. Sie werden schließlich auf einem Bildschirm wie dem folgenden landen.
Erweitern Sie auf der linken Seite Zertifikate & gt;Vertrauenswürdige Stammzertifizierungsstellen. Rechtsklicken Sie auf den Ordner Zertifikate und wählen Sie Alle Aufgaben & gt;Einführen.
Wählen Sie das Zertifikat aus, das lokal auf Ihren Computer kopiert wurde.
Geben Sie das Sicherheitskennwort ein, das beim Exportieren des Zertifikats vom Server zugewiesen wurde.
Der Speicher "Vertrauenswürdige Stammzertifizierungsstellen" sollte als Ziel vorausgefüllt sein. Weiter klicken.
Überprüfen Sie die Einstellungen und klicken Sie auf Fertig stellen.
Sie sollten eine Erfolgsmeldung sehen.
Aktualisieren Sie Ihre Ansicht der vertrauenswürdigen Stammzertifizierungsstellen & gt;Zertifikate-Ordner und Sie sollten das selbstsignierte Zertifikat des Servers im Speicher aufgelistet sehen.
Wenn dies erledigt ist, sollten Sie in der Lage sein, zu einer HTTPS-Site zu navigieren, die diese Zertifikate verwendet und keine Warnungen oder Aufforderungen erhält.
Firefox - Ausnahmen zulassen
Firefox behandelt diesen Prozess ein wenig anders, da Zertifikatsinformationen nicht aus dem Windows Store gelesen werden. Anstatt Zertifikate( per se) zu installieren, können Sie Ausnahmen für SSL-Zertifikate auf bestimmten Sites definieren.
Wenn Sie eine Website mit einem Zertifikatfehler aufrufen, erhalten Sie eine Warnung wie die folgende. Der blau hinterlegte Bereich nennt die jeweilige URL, auf die Sie zugreifen möchten. Um eine Ausnahme zu erstellen, um diese Warnung für die jeweilige URL zu umgehen, klicken Sie auf die Schaltfläche "Ausnahme hinzufügen".
Klicken Sie im Dialogfeld Sicherheitsausnahme hinzufügen auf die Sicherheitsbestätigung bestätigen, um diese Ausnahme lokal zu konfigurieren.
Beachten Sie, dass wenn eine bestimmte Site von selbst in Subdomains umgeleitet wird, Sie mehrere Sicherheitswarnungen erhalten( wobei die URL jedes Mal ein wenig anders ist).Fügen Sie für diese URLs Ausnahmen hinzu, indem Sie dieselben Schritte wie oben ausführen.
Fazit
Es lohnt sich, den obigen Hinweis zu wiederholen, dass niemals ein Sicherheitszertifikat von einer unbekannten Quelle installieren soll. In der Praxis sollten Sie ein Zertifikat nur lokal installieren, wenn Sie es generiert haben. Keine legitime Website würde erfordern, dass Sie diese Schritte ausführen.
-Verknüpfungen
Laden Sie das IIS 6.0-Ressourcen-Toolkit( enthält das SelfSSL-Dienstprogramm) von Microsoft
herunter