31Aug
Gli sviluppatori e gli amministratori IT hanno, senza dubbio, la necessità di distribuire alcuni siti Web tramite HTTPS utilizzando un certificato SSL.Anche se questo processo è abbastanza semplice per un sito di produzione, ai fini dello sviluppo e dei test si può trovare la necessità di utilizzare anche qui un certificato SSL.
In alternativa all'acquisto e al rinnovo di un certificato annuale, è possibile sfruttare la capacità del server Windows di generare un certificato autofirmato che sia comodo, semplice e che soddisfi perfettamente questi tipi di esigenze.
Creazione di un certificato autofirmato su IIS
Sebbene esistano diversi modi per eseguire l'attività di creazione di un certificato autofirmato, utilizzeremo l'utilità SelfSSL di Microsoft. Sfortunatamente, questo non viene fornito con IIS ma è liberamente disponibile come parte di IIS 6.0 Resource Toolkit( link fornito in fondo a questo articolo).Nonostante il nome "IIS 6.0", questa utility funziona perfettamente in IIS 7.
Tutto ciò che è necessario è estrarre IIS6RT per ottenere l'utilità selfssl.exe. Da qui è possibile copiarlo nella directory di Windows o in un percorso di rete / unità USB per un utilizzo futuro su un'altra macchina( quindi non è necessario scaricare ed estrarre l'IIS6RT completo).
Una volta installata l'utilità SelfSSL, eseguire il seguente comando( come amministratore) sostituendo i valori in & lt; & gt;come appropriato:
selfssl /N:CN=<your.domain.com>/ V: & lt; numero di giorni validi & gt;
L'esempio seguente produce un certificato con caratteri jolly autofirmati contro "mydomain.com" e lo imposta come valido per 9999 giorni. Inoltre, rispondendo si al prompt, questo certificato viene automaticamente configurato per collegarsi alla porta 443 all'interno del sito Web predefinito di IIS.
Mentre a questo punto il certificato è pronto per l'uso, viene memorizzato solo nell'archivio certificati personale sul server.È buona pratica avere anche questo certificato impostato nella root attendibile.
Vai a Start & gt;Esegui( o Tasto Windows + R) e inserisci "mmc".È possibile ricevere un prompt UAC, accettarlo e verrà aperta una console di gestione vuota.
Nella console, vai su File & gt;Aggiungi / Rimuovi snap-in.
Aggiungi certificati dal lato sinistro.
Seleziona account computer.
Seleziona computer locale.
Fare clic su OK per visualizzare l'archivio dei certificati locali.
Vai a Personal & gt;Certificati e trova il certificato che hai configurato utilizzando l'utilità SelfSSL.Fare clic con il tasto destro del mouse sul certificato e selezionare Copia.
Naviga verso Autorità di certificazione radice affidabili & gt;Certificati. Fare clic con il tasto destro sulla cartella Certificati e selezionare Incolla.
Una voce per il certificato SSL dovrebbe apparire nell'elenco.
A questo punto, il tuo server non dovrebbe avere problemi a lavorare con il certificato autofirmato.
Esportazione del certificato
Se si sta per accedere a un sito che utilizza il certificato SSL autofirmato su qualsiasi macchina client( vale a dire qualsiasi computer che non sia il server), al fine di evitare un potenziale assalto di errori e avvisi del certificato il séil certificato firmato deve essere installato su ciascuna macchina client( di cui parleremo in dettaglio qui di seguito).Per fare ciò, dobbiamo prima esportare il rispettivo certificato in modo che possa essere installato sui client.
All'interno della console con la gestione certificati caricata, vai a Autorità di certificazione fonti attendibili & gt;Certificati. Individua il certificato, fai clic con il pulsante destro del mouse e seleziona Tutte le attività & gt;Esportare.
Quando viene richiesto di esportare la chiave privata, selezionare Sì.Fare clic su Avanti.
Lasciare le selezioni predefinite per il formato file e fare clic su Avanti.
Immettere una password. Questo verrà utilizzato per proteggere il certificato e gli utenti non saranno in grado di importarlo localmente senza inserire questa password.
Immettere un percorso per esportare il file del certificato. Sarà in formato PFX.
Confermare le impostazioni e fare clic su Fine.
Il file PFX risultante è ciò che verrà installato sulle macchine client per comunicare loro che il certificato autofirmato proviene da una fonte attendibile.
Distribuzione su macchine client
Una volta creato il certificato sul lato server e tutto funziona, si può notare che quando un computer client si connette al rispettivo URL, viene visualizzato un avviso del certificato. Ciò accade perché l'autorità di certificazione( il tuo server) non è un'origine affidabile per i certificati SSL sul client.
È possibile fare clic sulle avvertenze e accedere al sito, tuttavia è possibile ottenere avvisi ripetuti sotto forma di una barra degli URL evidenziata o di avvisi di certificati ripetuti. Per evitare questo fastidio, è sufficiente installare il certificato di sicurezza SSL personalizzato sul computer client.
A seconda del browser che si utilizza, questo processo può variare. Sia IE sia Chrome leggono dall'archivio certificati di Windows, tuttavia Firefox ha un metodo personalizzato per gestire i certificati di sicurezza. Nota importante
: non deve mai installare un certificato di sicurezza da un'origine sconosciuta. In pratica, dovresti installare un certificato solo localmente se lo hai generato. Nessun sito Web legittimo richiederebbe di eseguire questi passaggi.
Internet Explorer &Google Chrome - Installazione del certificato in locale
Nota: anche se Firefox non utilizza l'archivio certificati nativo di Windows, questo è comunque un passaggio consigliato.
Copia il certificato che è stato esportato dal server( il file PFX) sul computer client o assicurati che sia disponibile in un percorso di rete.
Aprire la gestione dell'archivio certificati locale sul computer client utilizzando gli stessi identici passaggi precedenti. Alla fine finirai su uno schermo come quello qui sotto.
Sul lato sinistro, espandi Certificati & gt;Autorità di certificazione Fidata. Fai clic con il tasto destro sulla cartella Certificati e seleziona Tutte le attività & gt;Importare.
Selezionare il certificato che è stato copiato localmente sulla macchina.
Immettere la password di sicurezza assegnata quando il certificato è stato esportato dal server.
Il negozio "Autorità di certificazione delle fonti attendibili" deve essere precompilato come destinazione. Fare clic su Avanti.
Rivedere le impostazioni e fare clic su Fine.
Dovresti vedere un messaggio di successo.
Aggiorna la visualizzazione delle Autorità di certificazione radice attendibili & gt;Cartella dei certificati e dovresti vedere il certificato autofirmato del server elencato nello store.
Una volta fatto questo, dovresti essere in grado di navigare su un sito HTTPS che utilizza questi certificati e non ricevere avvisi o prompt.
Firefox - Come consentire eccezioni
Firefox gestisce questo processo in modo leggermente diverso in quanto non legge le informazioni del certificato dall'archivio di Windows. Anziché installare certificati( per-se), consente di definire eccezioni per i certificati SSL su determinati siti.
Quando visiti un sito che ha un errore di certificato, riceverai un avvertimento come quello qui sotto. L'area in blu indicherà il rispettivo URL a cui stai tentando di accedere. Per creare un'eccezione per ignorare questo avviso sul rispettivo URL, fare clic sul pulsante Aggiungi eccezione.
Nella finestra di dialogo Aggiungi eccezione di sicurezza, fare clic su Conferma eccezione di sicurezza per configurare localmente questa eccezione.
Si noti che se un particolare sito reindirizza i sottodomini da se stesso, è possibile ricevere più prompt di avviso di sicurezza( con l'URL leggermente diverso ogni volta).Aggiungi eccezioni per quegli URL utilizzando gli stessi passaggi di cui sopra.
Conclusione
Vale la pena ripetere l'avviso sopra riportato che non deve mai installare un certificato di sicurezza da un'origine sconosciuta. In pratica, dovresti installare un certificato solo localmente se lo hai generato. Nessun sito Web legittimo richiederebbe di eseguire questi passaggi. Collegamenti
Download IIS 6.0 Resource Toolkit( include utilità SelfSSL) da Microsoft