31Aug
Kehittäjät ja IT-järjestelmänvalvojat epäilemättä tarvitsevat käyttöönsä joitakin verkkosivustoja HTTPS: n kautta käyttämällä SSL-sertifikaattia. Vaikka tämä prosessi on melko suoraviivainen tuotantopaikalle, kehitystyötä ja testausta varten saattaa olla tarpeen käyttää myös SSL-sertifikaattia.
Vuosittaisen sertifikaatin hankkimiseksi ja uusimiseksi voit hyödyntää Windows Serverin kykyä luoda itse allekirjoitettu sertifikaatti, joka on kätevä ja helppo täyttää tämän tyyppiset tarpeet täydellisesti.
Oman allekirjoitetun varmenteen luominen IIS
-järjestelmään Vaikka itsenäisen allekirjoitetun todistuksen luomisen tehtävää on useita, käytämme Microsoftin SelfSSL-apuohjelmaa. Valitettavasti tämä ei lähetä IIS: n mukana, mutta se on vapaasti käytettävissä osana IIS 6.0 Resource Toolkit -työkalua( linkki tämän artikkelin alaosassa).IIS 6.0: n nimestä huolimatta tämä apuohjelma toimii hyvin IIS 7: ssä.
Kaikki tarvittavat tiedot ovat IIS6RT: n purkaminen, jotta se saadaan selfssl.exe-apuohjelmaan. Tästä voit kopioida sen Windows-hakemistoon tai verkkopolkuun / USB-asemaan tulevaa käyttöä varten toiselle laitteelle( joten sinun ei tarvitse ladata ja purkaa koko IIS6RT-tiedostoa).
Kun olet suorittanut SelfSSL-apuohjelman, suorita seuraava komento( ylläpitäjänä), joka korvaa arvot & lt; & gt;tarvittaessa:
selfssl /N:CN=<your.domain.com>/ V: & lt; voimassa olevien päivien lukumäärä & gt;
Alla oleva esimerkki tuottaa itse allekirjoitetun wildcard-todistuksen "mydomain.com" -sivustolta ja asettaa sen voimassa 9999 päivään. Lisäksi vastaamalla kyllä kyselyyn, tämä varmenne määritetään automaattisesti sitomaan porttiin 443 IIS: n oletussivustossa.
Vaikka tällä hetkellä sertifikaatti on käyttövalmis, se tallennetaan vain palvelimessa olevalle henkilökohtaiselle varmenteelle. Se on paras käytäntö myös, että tämä todistus asetetaan myös luotettuun juurikseen.
Siirry kohtaan Käynnistä & gt;Suorita( tai Windows-näppäin + R) ja syötä "mmc".Saat UAC-kehotteen, hyväksyy sen ja avautuu tyhjä hallintakonsoli.
Siirry konsolissa kohtaan Tiedosto & gt;Lisää / Poista snap-in.
Lisää todistukset vasemmalta puolelta.
Valitse Tietokonetili.
Valitse Paikallinen tietokone.
Napsauta OK nähdäksesi paikallisen varmennevaraston.
Siirry Henkilökohtaiseen & gt;Sertifikaatit ja etsi määrittämäsi varmenne SelfSSL-apuohjelmalla. Napsauta varmennetta hiiren kakkospainikkeella ja valitse Kopioi
Siirtyminen Trusted Root Certification Authorities & gt;Sertifikaatit. Napsauta Certificates-kansiota hiiren kakkospainikkeella ja valitse Liitä.
Luettelosta tulee näkyä SSL-varmenteen merkintä.
Tässä vaiheessa palvelimellasi ei pitäisi olla ongelmia itse allekirjoitetun todistuksen kanssa.
Sertifikaatin vieminen
Jos aiot käyttää sivustoa, joka käyttää itse allekirjoitettua SSL-sertifikaattia millä tahansa asiakaskoneella( eli mikä tahansa tietokone, joka ei ole palvelin), jotta vältettäisiin mahdolliset varmenteiden virheet ja varoituksetallekirjoitettu todistus on asennettava jokaiseen asiakaskoneeseen( josta keskustelemme jäljempänä yksityiskohtaisesti).Tätä varten meidän on ensin vietävä kyseinen sertifikaatti, jotta se voidaan asentaa asiakkaille.
Varmenteenhallinnan hallintatyökalun sisällä siirtymällä kohtaan Luotetut päällikön varmentamisviranomaiset & gt;Sertifikaatit. Etsi varmenne, napsauta hiiren kakkospainikkeella ja valitse Kaikki tehtävät & gt;Viedä.
Kun pyydetään viemään yksityinen avain, valitse Kyllä.Napsauta Seuraava.
Jätä oletusasetukset tiedostomuotoon ja napsauta Seuraava.
Syötä salasana. Tätä käytetään suojaamaan todistusta ja käyttäjät eivät voi tuoda sitä paikallisesti kirjoittamatta tätä salasanaa.
Anna sijainti, johon haluat viedä varmennetiedoston. Se on PFX-muodossa.
Vahvista asetukset ja napsauta Valmis.
Tuloksena oleva PFX-tiedosto on se, mitä asennetaan asiakkaan koneisiin, kertoa heille, että itse allekirjoitettu sertifikaatti on peräisin luotetusta lähteestä.
Asennus asiakkaiden koneisiin
Kun olet luonut sertifikaatin palvelinpuolella ja olet kaiken toiminnassa, saatat huomata, että kun asiakaskone liittyy vastaaviin URL-osoitteisiin, näyttöön tulee varmenteen varoitus. Tämä johtuu siitä, että varmenteen myöntäjä( palvelin) ei ole asiakkaan SSL-varmenteiden luotettava lähde.
Voit napsauttaa varoituksia ja käyttää sivustoa, mutta saatat saada toistuvat ilmoitukset korostetun URL-palkin tai toistuvien varmenteiden varoitusten muodossa. Jotta vältätte tämän harmin, sinun tarvitsee vain asentaa mukautettu SSL-tietoturvakirja asiakkaan koneelle.
Käytettävästä selaimesta riippuen tämä prosessi voi vaihdella. IE ja Chrome sekä lukevat Windows Certificate Store, mutta Firefox on mukautettu tapa käsitellä turvallisuustodistuksia.
Tärkeä huomautus: : n ei koskaan : n tulisi asentaa turvatodistusta tuntemattomasta lähteestä.Käytännössä sinun pitäisi vain asentaa varmenne paikallisesti, jos luot sen. Mitään laillista verkkosivustoa ei tarvitsisi suorittaa näitä vaiheita.
Internet Explorer &Google Chrome - Varmenteen asentaminen paikallisesti
Huomaa: Vaikka Firefox ei käytä alkuperäistä Windows-varmennemyymälää, tämä on edelleen suositeltava askel.
Kopioi palvelimelta( PFX-tiedosto) viety asiakasversio asiakaskoneeseen tai varmista, että se on käytettävissä verkon reitillä.
Avaa paikallisen varmenteiden tallennuksen hallinta asiakaskoneella käyttäen samoja ohjeita kuin yllä.Lopulta pääset näyttöön kuin alla oleva.
Valitse vasemmalla puolella Sertifikaatit & gt;Luotetut päälliköt. Napsauta hiiren kakkospainikkeella Sertifikaatti-kansiota ja valitse Kaikki tehtävät & gt;Tuonti.
Valitse varmenne, joka on kopioitu paikallisesti laitteellesi.
Syötä varmennussalasana, joka annettiin, kun varmenne vietiin palvelimelta.
"Trusted Root Certification Authorities" -myymälä on esitäytettävä kohteeksi. Napsauta Seuraava.
Tarkastele asetukset ja valitse Valmis.
Sinun pitäisi nähdä menestysviesti.
Päivitä näkymä Trusted Root Certification Authorities & gt;Todistukset-kansiossa ja sinun pitäisi nähdä palvelimen oma allekirjoitettu varmenteet, jotka on lueteltu myymälässä.
Yksi tämä on tehty, sinun pitäisi pystyä selailemaan HTTPS-sivustoa, joka käyttää näitä varmenteita eikä saa varoituksia tai kehotteita.
Firefox - Poikkeukset sallivat
Firefox hoitaa tämän prosessin hieman eri tavalla, koska se ei lue varmennetietoja Windowsin tallentaa. Sen sijaan, että asennettaisiin todistuksia( per-se), sen avulla voit määrittää tietyn sivuston SSL-varmenteiden poikkeuksia.
Kun vierailet sivustolla, jolla on varmistusvirhe, saat seuraavan varoituksen. Sininen alue nimeää vastaavan URL-osoitteen, jota yrität käyttää.Jos haluat luoda poikkeuksen, joka ohittaa tämän varoituksen kyseisessä URL-osoitteessa, napsauta Lisää poikkeus -painiketta.
Valitse Lisää suojauspoikkeus -valintaikkunassa Vahvista suojauspoikkeus määrittääksesi tämän poikkeuksen paikallisesti.
Huomaa, että jos tietty sivusto ohjaa uudelleen aliverkkotunnuksille itseensä, saatat saada useita suojausvaroituksia( URL-osoitteen ollessa hieman erilainen joka kerta).Lisää poikkeuksia niille URL-osoitteille käyttämällä samoja ohjeita kuin edellä.
Johtopäätös
On syytä toistaa yllä oleva ilmoitus, että : n ei koskaan : n tulisi asentaa turvatodistusta tuntemattomasta lähteestä.Käytännössä sinun pitäisi vain asentaa varmenne paikallisesti, jos luot sen. Mitään laillista verkkosivustoa ei tarvitsisi suorittaa näitä vaiheita.
Linkit
Lataa IIS 6.0 Resource Toolkit( sisältää SelfSSL-apuohjelman) Microsoft