31Aug

IT: Πώς να δημιουργήσετε ένα πιστοποιητικό SSL( Self Signed Security) και να το αναπτύξετε σε υπολογιστές-πελάτες

Οι προγραμματιστές

και οι διαχειριστές πληροφορικής έχουν αναμφισβήτητα την ανάγκη να αναπτύξουν κάποιον ιστότοπο μέσω του HTTPS χρησιμοποιώντας πιστοποιητικό SSL.Ενώ αυτή η διαδικασία είναι αρκετά απλή για έναν χώρο παραγωγής, για τους σκοπούς της ανάπτυξης και των δοκιμών μπορεί να βρείτε την ανάγκη να χρησιμοποιήσετε επίσης ένα πιστοποιητικό SSL εδώ.

Ως εναλλακτική λύση στην αγορά και ανανέωση ενός ετήσιου πιστοποιητικού, μπορείτε να αξιοποιήσετε την ικανότητά του Windows Server να δημιουργεί ένα αυτογραφόμενο πιστοποιητικό που είναι βολικό, εύκολο και θα πρέπει να ανταποκρίνεται τέλεια σε τέτοιου είδους ανάγκες.

Δημιουργία πιστοποιητικού αυτοέλεγχου σε IIS

Ενώ υπάρχουν διάφοροι τρόποι για να εκτελέσετε το έργο της δημιουργίας ενός πιστοποιητικού που έχει υπογράψει αυτόνομα, θα χρησιμοποιήσουμε το βοηθητικό πρόγραμμα SelfSSL της Microsoft.Δυστυχώς, αυτό δεν μεταφέρεται με το IIS, αλλά είναι ελεύθερα διαθέσιμο ως μέρος του IIS 6.0 Resource Toolkit( σύνδεσμος που παρέχεται στο κάτω μέρος αυτού του άρθρου).Παρά το όνομα "IIS 6.0" αυτό το βοηθητικό πρόγραμμα λειτουργεί καλά σε IIS 7.

Το μόνο που απαιτείται είναι να εξαγάγετε το IIS6RT για να πάρετε το βοηθητικό πρόγραμμα selfssl.exe.Από εδώ, μπορείτε να την αντιγράψετε στον κατάλογο των Windows ή σε μια διαδρομή δικτύου / μονάδα USB για μελλοντική χρήση σε άλλο μηχάνημα( έτσι δεν χρειάζεται να κάνετε λήψη και εξαγωγή του πλήρους IIS6RT).

Αφού έχετε εγκαταστήσει το βοηθητικό πρόγραμμα SelfSSL, εκτελέστε την ακόλουθη εντολή( ως Διαχειριστής) που αντικαθιστά τις τιμές σε & lt; & gt;ανάλογα με την περίπτωση:

selfssl /N:CN=<your.domain.com>/ V:

Το παρακάτω παράδειγμα παράγει ένα αυθεντικό πιστοποιητικό μπαλαντέρ έναντι του "mydomain.com" και ορίζει ότι ισχύει για 9,999 ημέρες.Επιπλέον, απαντώντας ναι στην προτροπή, αυτό το πιστοποιητικό ρυθμίζεται αυτόματα για να δεσμευτεί στη θύρα 443 μέσα στην προεπιλεγμένη τοποθεσία Web της υπηρεσίας IIS.

Ενώ σε αυτό το σημείο το πιστοποιητικό είναι έτοιμο για χρήση, αποθηκεύεται μόνο στο κατάστημα προσωπικών πιστοποιητικών του διακομιστή.Είναι επίσης μια καλή πρακτική να έχετε και αυτό το πιστοποιητικό στη βάση αξιόπιστων ριζών.

Μεταβείτε στην επιλογή Έναρξη & gt;Εκτελέστε( ή το Windows Key + R) και πληκτρολογήστε "mmc".Ενδέχεται να λάβετε μια προτροπή UAC, να την αποδεχτείτε και να ανοίξει μια κενή κονσόλα διαχείρισης.

Στην κονσόλα, μεταβείτε στην επιλογή Αρχείο & gt;Προσθέστε / Κατάργηση Snap-in.

Προσθήκη πιστοποιητικών από την αριστερή πλευρά.

Επιλέξτε λογαριασμό υπολογιστή.

Επιλέξτε Τοπικό υπολογιστή.

Κάντε κλικ στο OK για να προβάλετε το κατάστημα τοπικού πιστοποιητικού.

Πλοηγηθείτε στο Προσωπικό & gt;Πιστοποιητικά και εντοπίστε το πιστοποιητικό που ορίσατε χρησιμοποιώντας το βοηθητικό πρόγραμμα SelfSSL.Κάντε δεξί κλικ στο πιστοποιητικό και επιλέξτε Αντιγραφή.

Περιηγηθείτε στις αρχές πιστοποίησης ρωγμών root & gt;Πιστοποιητικά.Κάντε δεξί κλικ στο φάκελο Πιστοποιητικά και επιλέξτε Επικόλληση.

Μια καταχώρηση για το πιστοποιητικό SSL θα πρέπει να εμφανίζεται στη λίστα.

Σε αυτό το σημείο, ο διακομιστής σας δεν θα έχει κανένα πρόβλημα να εργάζεται με το πιστοποιητικό που έχει υπογράψει αυτόματα.

Εξαγωγή του πιστοποιητικού

Εάν πρόκειται να αποκτήσετε πρόσβαση σε έναν ιστότοπο ο οποίος χρησιμοποιεί αυτόνομα πιστοποιημένο πιστοποιητικό SSL σε οποιοδήποτε υπολογιστή-πελάτη( δηλαδή σε οποιονδήποτε υπολογιστή δεν είναι ο διακομιστής), προκειμένου να αποφευχθεί πιθανή επίθεση σφαλμάτων πιστοποιητικών και προειδοποιήσεων, ο εαυτόςυπογεγραμμένο πιστοποιητικό θα πρέπει να εγκατασταθεί σε κάθε μηχανή-πελάτη( που θα συζητήσουμε λεπτομερώς παρακάτω).Για να γίνει αυτό, πρέπει πρώτα να εξαγάγουμε το αντίστοιχο πιστοποιητικό έτσι ώστε να μπορεί να εγκατασταθεί στους πελάτες.

Στο εσωτερικό της κονσόλας με τη φόρτωση της Διαχείρισης πιστοποιητικού, μεταβείτε στις Υπηρεσίες αξιόπιστων αρχών πιστοποίησης & gt;Πιστοποιητικά.Εντοπίστε το πιστοποιητικό, κάντε δεξί κλικ και επιλέξτε Όλες οι εργασίες>Εξαγωγή.

Όταν σας ζητηθεί να εξαγάγετε το ιδιωτικό κλειδί, επιλέξτε Ναι.Κάντε κλικ στο κουμπί Επόμενο.

Αφήστε τις προεπιλεγμένες επιλογές για τη μορφή αρχείου και κάντε κλικ στο κουμπί Επόμενο.

Πληκτρολογήστε έναν κωδικό πρόσβασης.Αυτό θα χρησιμοποιηθεί για την προστασία του πιστοποιητικού και οι χρήστες δεν θα μπορούν να το εισάγουν τοπικά χωρίς να εισάγουν αυτόν τον κωδικό πρόσβασης.

Καταχωρίστε μια θέση για την εξαγωγή του αρχείου πιστοποιητικού.Θα είναι σε μορφή PFX.

Επιβεβαιώστε τις ρυθμίσεις σας και κάντε κλικ στο Τέλος.

Το αρχείο PFX που προκύπτει είναι αυτό που θα εγκατασταθεί στις μηχανές-πελάτες σας για να τους πει ότι το πιστοποιητικό που έχετε υπογράψει αυτόματα προέρχεται από αξιόπιστη πηγή.

Ανάπτυξη σε μηχανήματα πελάτη

Μόλις έχετε δημιουργήσει το πιστοποιητικό στην πλευρά του διακομιστή και έχετε ό, τι λειτουργεί, ίσως παρατηρήσετε ότι όταν ένα μηχάνημα-πελάτης συνδέεται με την αντίστοιχη διεύθυνση URL, εμφανίζεται μια προειδοποίηση πιστοποιητικού.Αυτό συμβαίνει επειδή η αρχή πιστοποιητικού( ο διακομιστής σας) δεν αποτελεί αξιόπιστη πηγή πιστοποιητικών SSL στον υπολογιστή-πελάτη.

Μπορείτε να κάνετε κλικ στις προειδοποιήσεις και να αποκτήσετε πρόσβαση στον ιστότοπο, ωστόσο ενδέχεται να λάβετε επαναλαμβανόμενες ειδοποιήσεις υπό μορφή επισημασμένης γραμμής URL ή επαναλαμβανόμενων προειδοποιήσεων πιστοποιητικών.Για να αποφύγετε αυτήν την ενόχληση, πρέπει απλώς να εγκαταστήσετε το προσαρμοσμένο πιστοποιητικό ασφαλείας SSL στο μηχάνημα-πελάτη.

Ανάλογα με το πρόγραμμα περιήγησης που χρησιμοποιείτε, αυτή η διαδικασία μπορεί να ποικίλει.Το IE και το Chrome διαβάζουν από το χώρο αποθήκευσης πιστοποιητικών των Windows, ωστόσο ο Firefox διαθέτει μια προσαρμοσμένη μέθοδο χειρισμού πιστοποιητικών ασφαλείας.

Σημαντική σημείωση: Θα πρέπει ποτέ να εγκαταστήσετε ένα πιστοποιητικό ασφαλείας από μια άγνωστη πηγή.Στην πράξη, θα πρέπει να εγκαταστήσετε μόνο ένα πιστοποιητικό τοπικά, αν το δημιούργησε.Κανένας νόμιμος ιστότοπος δεν απαιτεί να εκτελέσετε αυτά τα βήματα.

Internet Explorer &Google Chrome - Εγκατάσταση του πιστοποιητικού τοπικά

Σημείωση: Παρόλο που ο Firefox δεν χρησιμοποιεί το εγγεγραμμένο κατάστημα πιστοποιητικών των Windows, αυτό αποτελεί ακόμα ένα συνιστώμενο βήμα.

Αντιγράψτε το πιστοποιητικό που εξήχθη από το διακομιστή( το αρχείο PFX) στο μηχάνημα-πελάτη ή βεβαιωθείτε ότι είναι διαθέσιμο σε μια διαδρομή δικτύου.

Ανοίξτε τη διαχείριση τοπικού καταστήματος πιστοποιητικών στο μηχάνημα-πελάτη χρησιμοποιώντας τα ίδια ακριβώς βήματα όπως παραπάνω.Τελικά θα καταλήξετε σε μια οθόνη όπως αυτή που ακολουθεί.

Στην αριστερή πλευρά, αναπτύξτε τα Πιστοποιητικά & gt;Αξιόπιστες αρχές πιστοποίησης ρίζας.Κάντε δεξί κλικ στο φάκελο Πιστοποιητικά και επιλέξτε Όλες οι εργασίες>Εισαγωγή.

Επιλέξτε το πιστοποιητικό που αντιγράφηκε τοπικά στο μηχάνημά σας.

Καταχωρίστε τον κωδικό ασφαλείας που έχει εκχωρηθεί όταν το πιστοποιητικό εξάγεται από το διακομιστή.

Το κατάστημα "Αξιόπιστες αρχές πιστοποίησης ρίζας" πρέπει να είναι προπληρωμένο ως προορισμός.Κάντε κλικ στο κουμπί Επόμενο.

Ελέγξτε τις ρυθμίσεις και κάντε κλικ στο Τέλος.

Θα πρέπει να δείτε ένα μήνυμα επιτυχίας.

Ανανεώστε την άποψή σας για τις αρχές αξιόπιστης πιστοποίησης ρίζας & gt;Πιστοποιητικά και θα πρέπει να δείτε το πιστοποιητικό που υπογράφεται από τον διακομιστή που αναφέρεται στο κατάστημα.

Κάτι τέτοιο γίνεται, θα πρέπει να μπορείτε να περιηγηθείτε σε έναν ιστότοπο HTTPS που χρησιμοποιεί αυτά τα πιστοποιητικά και δεν λαμβάνει προειδοποιήσεις ή προτροπές.

Firefox - Επιτρέπεται Εξαιρέσεις

Ο Firefox χειρίζεται αυτή τη διαδικασία λίγο διαφορετικά καθώς δεν διαβάζει πληροφορίες πιστοποιητικών από το κατάστημα των Windows.Αντί να εγκαταστήσετε πιστοποιητικά( per-se), σας επιτρέπει να ορίσετε εξαιρέσεις για πιστοποιητικά SSL σε συγκεκριμένους ιστότοπους.

Όταν επισκέπτεστε έναν ιστότοπο ο οποίος έχει ένα σφάλμα πιστοποιητικού, θα λάβετε μια προειδοποίηση όπως αυτή που ακολουθεί.Η περιοχή με μπλε χρώμα θα ονομάσει την αντίστοιχη διεύθυνση URL που προσπαθείτε να αποκτήσετε πρόσβαση.Για να δημιουργήσετε μια εξαίρεση για να παρακάμψετε αυτήν την προειδοποίηση στην αντίστοιχη διεύθυνση URL, κάντε κλικ στο κουμπί Προσθήκη εξαιρέσεων.

Στο παράθυρο διαλόγου Προσθήκη εξαιρέσεων ασφαλείας, κάντε κλικ στην επιλογή Επιβεβαίωση εξαίρεσης ασφαλείας για να διαμορφώσετε αυτήν την εξαίρεση τοπικά.

Σημειώστε ότι εάν ένας συγκεκριμένος ιστότοπος ανακατευθύνει σε υποτομείς από μέσα του, ενδέχεται να λάβετε πολλαπλές προειδοποιήσεις προειδοποίησης ασφαλείας( με τη διεύθυνση URL ελαφρώς διαφορετική κάθε φορά).Προσθέστε εξαιρέσεις για αυτές τις διευθύνσεις URL χρησιμοποιώντας τα ίδια βήματα όπως παραπάνω.

Συμπέρασμα

Αξίζει να επαναληφθεί η παραπάνω ανακοίνωση ότι δεν πρέπει ποτέ να εγκαταστήσει ένα πιστοποιητικό ασφαλείας από μια άγνωστη πηγή.Στην πράξη, θα πρέπει να εγκαταστήσετε μόνο ένα πιστοποιητικό τοπικά, αν το δημιούργησε.Κανένας νόμιμος ιστότοπος δεν απαιτεί να εκτελέσετε αυτά τα βήματα.

Σύνδεσμοι

Λήψη του IIS 6.0 Resource Toolkit( περιλαμβάνει το βοηθητικό πρόγραμμα SelfSSL) από τη Microsoft