31Aug

IT: Kako stvoriti potvrdu o samozignutoj sigurnosti( SSL) i staviti ga na klijentske strojeve

Razvojni programeri i IT administratori imaju, bez sumnje, potrebu da implementiraju neke web stranice putem HTTPS-a koristeći SSL certifikat. Iako je ovaj proces prilično jednostavan za proizvodnu stranicu, za potrebe razvoja i testiranja možda ćete ovdje morati koristiti SSL certifikat.

Kao alternativu kupnji i obnavljanju godišnjeg certifikata, možete iskoristiti sposobnost sustava Windows Server za generiranje self-signed certifikat koji je prikladan, jednostavan i trebao bi savršeno ispuniti ove vrste potreba.

Stvaranje potvrde o samoznačenju na IIS

Iako postoji nekoliko načina za obavljanje zadatka izrade self-signed certifikat, koristit ćemo SelfSSL uslužni program tvrtke Microsoft. Nažalost, to se ne isporučuje s IIS-om, no slobodno je dostupno kao dio IIS 6.0 Resource Toolkit( veza koja se nalazi na dnu ovog članka).Unatoč imenu "IIS 6.0", ovaj uslužni program funkcionira sasvim u redu u IIS-u 7.

Sve što je potrebno je izdvojiti IIS6RT da biste dobili program selfssl.exe. Odavde možete kopirati u Windows direktorij ili mrežni put / USB disk za buduću upotrebu na drugom računalu( tako da ne morate preuzeti i izvući puni IIS6RT).

Nakon što na svom mjestu imate program SelfSSL, pokrenite sljedeću naredbu( kao administratora) koja zamjenjuje vrijednosti u & lt; & gt;prema potrebi:

selfssl /N:CN=<your.domain.com>/ V:

Primjer u nastavku donosi potvrdu o zamjenskoj potvrdi sa "mydomain.com" i postavlja ga na 9.999 dana. Osim toga, odgovarajući na upit na upit, ovaj certifikat automatski se konfigurira da se veže na priključak 443 unutar zadane web stranice IIS-a.

Dok je u ovom trenutku potvrda spremna za upotrebu, ona se pohranjuje samo u osobnu trgovinu potvrda na poslužitelju. Najbolja je praksa da i ovaj certifikat bude postavljen u pouzdanom korijenu.

Idite na Start & gt;Run( ili Windows Key + R) i unesite "mmc".Možete primiti UAC prompt, prihvatiti ga i otvorit će se prazna konzola za upravljanje.

U konzoli idite na datoteku & gt;Dodaj / ukloni ugriz.

Dodajte certifikate s lijeve strane.

Odaberite Račun račun.

Odaberite Lokalno računalo.

Kliknite OK( U redu) da biste vidjeli trgovinu lokalnih certifikata.

Idite na Osobno & gt;Potvrde i pronađite certifikat koji ste postavili pomoću uslužnog programa SelfSSL.Desnom tipkom miša kliknite certifikat i odaberite Kopiraj.

Kretanje prema tijelima za certificiranje certificiranog korijena & gt;Potvrde. Desnom tipkom miša kliknite mapu Potvrde i odaberite Zalijepi.

Na popisu se treba pojaviti unos za SSL certifikat.

U ovom trenutku, vaš poslužitelj ne bi trebao imati problema s radom sa potpisom s potpisom.

Izvoz certifikata

Ako ćete pristupiti web stranici koja koristi samostalno potpisanu SSL certifikat na bilo kojem računalu klijenta( tj. Bilo kojem računalu koje nije poslužitelj), kako bi se izbjegao potencijal potresa pogrešaka i upozorenja certifikata samoupravepotpisani certifikat trebao bi biti instaliran na svakom od klijentskih strojeva( o čemu ćemo detaljno razgovarati u nastavku).Da biste to učinili, prvo moramo izvesti odgovarajući certifikat tako da se može instalirati na klijente.

Unutar konzole s Upravom certifikata učitan, idite na Pouzdana tijela za certificiranje korijena & gt;Potvrde. Pronađite certifikat, desnom tipkom kliknite i odaberite Sve zadaće & gt;Izvoz.

Kada se zatraži da izvezete privatni ključ, odaberite Da. Kliknite Dalje.

Ostavite zadane odabire za format datoteke i kliknite Dalje.

Unesite lozinku. To će se koristiti za zaštitu certifikata, a korisnici ga neće moći uvesti lokalno bez unosa ove zaporke.

Unesite mjesto za izvoz datoteke certifikata. Bit će u PFX formatu.

Potvrdite svoje postavke i kliknite Završi.

Rezultatna PFX datoteka je ono što će biti instalirano na strojeve klijenta da im kažete da je vaš potpisani certifikat iz pouzdanog izvora.

Uvođenje u klijentske strojeve

Nakon što stvorite certifikat na strani poslužitelja i imate sve što funkcionira, primijetit ćete da kada se stroj klijenta spoji na odgovarajući URL, prikazuje se upozorenje o potvrdi. To se događa jer autoritet certifikata( vaš poslužitelj) nije pouzdan izvor za SSL certifikate klijenta.

Možete kliknuti upozorenja i pristupiti web stranici, međutim, možda ćete dobiti ponovljene obavijesti u obliku označene trake URL-a ili ponavljanja upozorenja o certifikatima. Da biste izbjegli smetnje, jednostavno morate instalirati prilagođeni SSL sigurnosni certifikat na klijentskom računalu.

Ovisno o pregledniku koji koristite, taj postupak može varirati. IE i Chrome čitali su iz trgovine Windows certifikata, no Firefox ima prilagođenu metodu rukovanja sigurnosnim certifikatima.

Važna napomena: Trebali biste nikada instalirati sigurnosni certifikat iz nepoznatih izvora. U praksi, lokalno biste trebali instalirati certifikat samo ako je generirate. Nijedna legitimna web stranica ne bi trebala izvršiti ove korake.

Internet Explorer &Google Chrome - lokalno instaliranje certifikata

Napomena: Iako Firefox ne koristi izvornu trgovinu certifikata sustava Windows, to je i dalje preporučeni korak.

Kopirajte certifikat koji je izvezen s poslužitelja( PFX datoteka) na stroj klijenta ili osigurajte da je dostupan u mrežnom putu.

Otvorite lokalno upravljanje trgovinom certifikata na računalu klijenta koristeći iste korake kao gore. Naposljetku ćete završiti na zaslonu poput onog u nastavku.

S lijeve strane proširite Potvrde & gt;Pouzdana tijela za certificiranje korijena. Desnom tipkom miša kliknite mapu Certificates i odaberite All Tasks & gt;Uvoz.

Odaberite certifikat koji je kopiran lokalno na vaš uređaj.

Unesite sigurnosnu lozinku dodijeljenu nakon izdavanja certifikata s poslužitelja.

Trgovina "Pouzdana tijela za certificiranje korijena" treba biti unaprijed ispunjena kao odredište. Kliknite Dalje.

Pregledajte postavke i kliknite Završi.

Trebali biste vidjeti poruku o uspjehu.

Osvježite svoj pogled na tijela za certificiranje certificiranih korijena & gt;Potvrde i trebali biste vidjeti potvrdnu potvrdu poslužitelja navedenu u trgovini.

Jedan je to učinio, trebali biste moći pregledavati HTTPS web mjesto koje koristi te certifikate i ne dobiva nikakva upozorenja niti upute.

Firefox - Dopuštajući iznimke

Firefox obrađuje ovaj proces malo drugačije jer ne čita podatke o certifikatima iz trgovine Windows. Umjesto instalacije certifikata( per-se), omogućuje vam da odredite iznimke za SSL certifikate na određenim web stranicama.

Kada posjetite web stranicu koja ima pogrešku certifikata, dobit ćete upozorenje kao što je prikazano u nastavku. Područje u plavom naziva će odgovarajući URL koji pokušavate pristupiti. Da biste izradili izuzetak za zaobilaženje upozorenja na odgovarajućem URL-u, kliknite gumb Dodaj iznimku.

U dijaloškom okviru Dodavanje sigurnosne zaštite kliknite potvrdu iznimke sigurnosti da biste lokalno konfigurirali ovaj izuzetak.

Imajte na umu da ako određena web lokacija preusmjerava na poddomene iznutra, možda ćete dobiti više upozorenja o sigurnosnim upozorenjima( pri čemu se svaki put blago razlikuje).Dodajte iznimke za te URL-ove pomoću istih koraka kao gore.

Zaključak

Vrijedi napomenuti da nikad ne treba instalirati sigurnosni certifikat iz nepoznatih izvora. U praksi, lokalno biste trebali instalirati certifikat samo ako je generirate. Nijedna legitimna web stranica ne bi trebala izvršiti ove korake.

Linkovi

Preuzmite IIS 6.0 Resource Toolkit( uključuje SelfSSL program) iz Microsoft