31Aug
dan administrator TI tidak diragukan lagi perlu menyebarkan beberapa situs web melalui HTTPS menggunakan sertifikat SSL.Meskipun proses ini sangat mudah dilakukan untuk situs produksi, untuk keperluan pengembangan dan pengujian, Anda mungkin juga perlu menggunakan sertifikat SSL di sini.
Sebagai alternatif untuk membeli dan memperbarui sertifikat tahunan, Anda dapat memanfaatkan kemampuan Windows Server Anda untuk menghasilkan sertifikat yang ditandatangani sendiri yang nyaman, mudah dan harus memenuhi jenis kebutuhan ini dengan sempurna.
Membuat Self Signed Certificate di IIS
Meskipun ada beberapa cara untuk menyelesaikan tugas membuat sertifikat yang ditandatangani sendiri, kami akan menggunakan utilitas SelfSSL dari Microsoft. Sayangnya, ini tidak dikirimkan bersama IIS namun tersedia secara gratis sebagai bagian dari IIS 6.0 Resource Toolkit( tautan yang tersedia di bagian bawah artikel ini).Meskipun nama "IIS 6.0" utilitas ini bekerja dengan baik di IIS 7.
Semua yang diperlukan adalah mengekstrak IIS6RT untuk mendapatkan utilitas selfssl.exe. Dari sini Anda dapat menyalinnya ke direktori Windows atau jalur jaringan / drive USB untuk penggunaan masa depan pada mesin lain( jadi Anda tidak perlu mendownload dan mengekstrak IIS6RT penuh).
Begitu Anda memiliki utilitas SelfSSL di tempat, jalankan perintah berikut( sebagai Administrator) untuk mengganti nilai di & lt; & gt;yang sesuai:
selfssl /N:CN=<your.domain.com>/ V: & lt; jumlah hari yang valid & gt;
Contoh di bawah ini menghasilkan sertifikat wildcard yang ditandatangani sendiri terhadap "mydomain.com" dan menetapkannya berlaku untuk 9.999 hari. Selain itu, dengan menjawab ya pada prompt, sertifikat ini dikonfigurasi secara otomatis untuk mengikat port 443 di dalam Situs Web Default IIS.
Sementara pada saat ini sertifikat siap digunakan, hanya disimpan di toko sertifikat pribadi di server. Ini adalah praktik terbaik untuk juga memiliki sertifikat ini di akar terpercaya juga.
Buka Start & gt;Run( atau Windows Key + R) dan masukkan "mmc".Anda mungkin menerima UAC prompt, menerimanya dan Konsol Manajemen kosong akan terbuka.
Di konsol, masuk ke File & gt;Tambah / Hapus Snap-in
Tambahkan Sertifikat dari sisi kiri.
Pilih akun Komputer.
Pilih Local computer.
Klik OK untuk melihat Local Certificate store.
Arahkan ke Personal & gt;Sertifikat dan cari sertifikat yang Anda siapkan menggunakan utilitas SelfSSL.Klik kanan sertifikat dan pilih Copy.
Arahkan ke Otoritas Sertifikasi Root Tepercaya & gt;Sertifikat. Klik kanan pada folder Sertifikat dan pilih Tempel.
Entri untuk sertifikat SSL akan muncul dalam daftar.
Pada titik ini, server Anda seharusnya tidak memiliki masalah saat bekerja dengan sertifikat yang ditandatangani sendiri.
Mengekspor Sertifikat
Jika Anda ingin mengakses situs yang menggunakan sertifikat SSL yang ditandatangani sendiri pada mesin klien apa pun( misalnya komputer mana pun yang bukan servernya), untuk menghindari potensi serangan kesalahan sertifikat dan peringatan terhadap diri sendiriSertifikat yang ditandatangani harus dipasang pada masing-masing mesin klien( yang akan kita diskusikan secara rinci di bawah ini).Untuk melakukan ini, pertama kita perlu mengekspor sertifikat masing-masing sehingga bisa dipasang pada klien.
Di dalam konsol dengan Manajemen Sertifikat dimuat, navigasikan ke Otoritas Sertifikasi Root Terpercaya & gt;Sertifikat. Cari sertifikat, klik kanan dan pilih All Tasks & gt;Ekspor.
Saat diminta mengekspor kunci privat, pilih Ya. Klik Berikutnya.
Biarkan pilihan default untuk format file dan klik Next.
Masukkan kata sandi. Ini akan digunakan untuk melindungi sertifikat dan pengguna tidak akan dapat mengimpornya secara lokal tanpa memasukkan kata sandi ini.
Masukkan lokasi untuk mengekspor file sertifikat. Ini akan dalam format PFX.
Konfirmasikan pengaturan Anda dan klik Finish.
File PFX yang dihasilkan adalah apa yang akan diinstal ke mesin klien Anda untuk memberi tahu mereka bahwa sertifikat diri Anda ditandatangani berasal dari sumber terpercaya.
Menyalurkan ke Mesin Klien
Setelah Anda membuat sertifikat di sisi server dan mengerjakan semuanya, Anda mungkin memperhatikan bahwa saat mesin klien terhubung ke URL masing-masing, peringatan sertifikat akan ditampilkan. Hal ini terjadi karena otoritas sertifikat( server Anda) bukan sumber terpercaya untuk sertifikat SSL pada klien.
Anda dapat mengeklik melalui peringatan dan mengakses situs ini, namun Anda mungkin mendapat pemberitahuan berulang berupa bilah URL yang disorot atau peringatan sertifikat yang berulang. Untuk menghindari gangguan ini, Anda perlu menginstal sertifikat keamanan SSL khusus pada mesin klien.
Tergantung pada browser yang Anda gunakan, proses ini dapat bervariasi. IE dan Chrome keduanya membaca dari toko Sertifikat Windows, namun Firefox memiliki metode penanganan sertifikat keamanan yang sesuai.
Catatan Penting: Anda harus tidak pernah menginstal sertifikat keamanan dari sumber yang tidak diketahui. Dalam prakteknya, sebaiknya Anda hanya memasang sertifikat secara lokal jika Anda membuatnya. Tidak ada situs yang sah yang mengharuskan Anda untuk melakukan langkah-langkah ini.
Internet Explorer &Google Chrome - Memasang Sertifikat Secara Lokal
Catatan: Meskipun Firefox tidak menggunakan toko sertifikat Windows asli, ini masih merupakan langkah yang disarankan.
Salin sertifikat yang diekspor dari server( file PFX) ke mesin klien atau pastikan tersedia di jalur jaringan.
Buka pengelolaan toko sertifikat lokal pada mesin klien dengan menggunakan langkah yang sama persis seperti di atas. Anda akhirnya akan berakhir di layar seperti di bawah ini.
Di sisi kiri, luaskan Sertifikat & gt;Otoritas Sertifikasi Akar Terpercaya. Klik kanan pada folder Certificates dan pilih All Tasks & gt;Impor.
Pilih sertifikat yang telah disalin secara lokal ke mesin Anda.
Masukkan kata sandi keamanan yang ditetapkan saat sertifikat diekspor dari server.
Toko "Otoritas Sertifikasi Root Terpercaya" harus memenuhi tujuan sebagai tujuan. Klik Berikutnya.
Tinjau pengaturannya dan klik Finish.
Anda harus melihat pesan sukses.
Segarkan pendapat Anda tentang Otoritas Sertifikasi Root Tepercaya & gt;Sertifikat folder dan Anda harus melihat diri sertifikat server ditandatangani di toko.
Satu hal ini dilakukan, Anda harus bisa browse ke situs HTTPS yang menggunakan sertifikat ini dan tidak menerima peringatan atau petunjuk.
Firefox - Mengizinkan Pengecualian
Firefox menangani proses ini sedikit berbeda karena tidak membaca informasi sertifikat dari toko Windows. Daripada memasang sertifikat( per-se), ini memungkinkan Anda menentukan pengecualian untuk sertifikat SSL di situs tertentu.
Saat Anda mengunjungi situs yang memiliki kesalahan sertifikat, Anda akan mendapatkan peringatan seperti di bawah ini. Area dengan warna biru akan memberi nama URL masing-masing yang ingin Anda akses. Untuk membuat pengecualian untuk mengabaikan peringatan ini di URL masing-masing, klik tombol Add Exception.
Dalam dialog Add Security Exception, klik Confirm Security Exception untuk mengkonfigurasi pengecualian ini secara lokal.
Perhatikan bahwa jika situs tertentu mengalihkan ke subdomain dari dalam dirinya sendiri, Anda mungkin mendapatkan beberapa petunjuk peringatan keamanan( dengan URL sedikit berbeda setiap kali).Tambahkan pengecualian untuk URL tersebut menggunakan langkah yang sama seperti di atas.
Kesimpulan
Perlu diulang pemberitahuan di atas bahwa Anda harus tidak pernah menginstal sertifikat keamanan dari sumber yang tidak diketahui. Dalam prakteknya, sebaiknya Anda hanya memasang sertifikat secara lokal jika Anda membuatnya. Tidak ada situs yang sah yang mengharuskan Anda untuk melakukan langkah-langkah ini.
Links
Download IIS 6.0 Resource Toolkit( termasuk utilitas SelfSSL) dari Microsoft