IT: כיצד ליצור תעודת כניסה עצמית( SSL) אישור ולפרוס אותו למכונות הלקוח

מפתחים ומנהלי IT יש, ללא ספק, את הצורך לפרוס כמה אתר באמצעות HTTPS באמצעות אישור SSL.בעוד תהליך זה הוא פשוט למדי עבור אתר הייצור, לצורך פיתוח ובדיקה אתה עלול למצוא את הצורך להשתמש אישור SSL גם כאן.

כחלופה לרכוש ולחדש תעודה שנתית, אתה יכול למנף את היכולת של Windows Server כדי ליצור תעודת חתום עצמי וזה נוח, קל צריך לענות על סוגים אלה של צרכים בצורה מושלמת.

יצירת אישור עם חתימה עצמית ב- IIS

בעוד שיש כמה דרכים לבצע את המשימה של יצירת אישור חתום על עצמי, נשתמש בכלי השירות SelfSSL של Microsoft.למרבה הצער, זה לא הספינה עם IIS אבל זה זמין באופן חופשי כחלק IIS 6.0 Resource Toolkit( הקישור המסופק בחלק התחתון של מאמר זה).למרות השם "IIS 6.0" כלי זה עובד בסדר גמור ב- IIS 7.

כל שנדרש הוא לחלץ את IIS6RT כדי לקבל את השירות selfssl.exe.מכאן תוכל להעתיק אותו לספריית Windows או לנתיב רשת / כונן USB לשימוש עתידי במכשיר אחר( כך שאין צורך להוריד ולחלץ את IIS6RT המלא).

ברגע שיש לך את כלי השירות SelfSSL במקום, הפעל את הפקודה הבאה( כמנהל המערכת) להחליף את הערכים ב- & lt; & gt;לפי הצורך:

selfssl /N:CN=<your.domain.com>/ V: & lt; מספר הימים החוקיים & gt;

הדוגמה שלהלן מייצרת אישור חתום עצמי חתום כנגד "mydomain.com" ומגדירה אותו תקף למשך 9999 ימים.בנוסף, על ידי מענה על כן להנחיה, אישור זה מוגדר באופן אוטומטי כדי לקשור ליציאה 443 בתוך אתר האינטרנט של ברירת המחדל של IIS.

בשלב זה התעודה מוכנה לשימוש, היא מאוחסנת רק בחנות האישורים האישית בשרת.זהו הנוהג הטוב ביותר יש גם אישור זה מוגדר שורש מהימן גם כן.

עבור אל התחל & gt;הפעל( או Windows Key + R) והזן "mmc".ייתכן שתקבל הנחיה של UAC, תקבל אותה ותפתח מסוף ניהול ריק.

במסוף, עבור אל קובץ & gt;הוספה / הסרה של Snap-in.

הוסף אישורים מהצד השמאלי.

בחר חשבון מחשב.

בחר מחשב מקומי.

לחץ על OK( אישור) כדי להציג את החנות Local Certificate( אישור מקומי).

נווט אל Personal & gt;אישורים ואיתור האישור שאתה מגדיר באמצעות כלי השירות SelfSSL.לחץ לחיצה ימנית על האישור ובחר העתק.

נווט אל 'אישורי שורש מהימנים' & gt;אישורים.לחץ לחיצה ימנית על התיקייה אישורים ובחר הדבק.

רשומה עבור אישור SSL צריכה להופיע ברשימה.

בשלב זה, השרת שלך לא צריך שום בעיות בעבודה עם האישור חתום עצמי.

ייצוא התעודה

אם אתה עומד לגשת לאתר המשתמש באישור SSL חתום על כל מחשב לקוח( כלומר כל מחשב שאינו השרת), כדי למנוע הסתערות פוטנציאלית של שגיאות ותעודות האישור העצמייש להתקין אישור חתום על כל אחד ממחשבי הלקוח( אשר נדון בהם בהמשך).כדי לעשות זאת, תחילה עלינו לייצא את התעודה המתאימה, כך שניתן יהיה להתקין את הלקוחות.

בתוך הקונסולה עם ניהול האישורים שנטענים, נווט אל רשויות אישורים מהימנות & gt;אישורים.אתר את האישור, לחץ לחיצה ימנית ובחר כל המשימות & gt;יְצוּא.

כאשר תתבקש לייצא את המפתח הפרטי, בחר כן.הקש "הבא.

השאר את אפשרויות ברירת המחדל עבור תבנית הקובץ ולחץ על הבא.

הזן סיסמה.פעולה זו תשמש להגנה על האישור, והמשתמשים לא יוכלו לייבא אותו באופן מקומי מבלי להזין סיסמה זו.

הזן מיקום כדי לייצא את קובץ האישור.זה יהיה בפורמט PFX.

אשר את ההגדרות ולחץ על Finish( סיום).

קובץ PFX שנוצר הוא מה יותקן במכונות הלקוח שלך כדי לומר להם כי האישור שלך חתום עצמית הוא ממקור מהימן.

פריסה למכונות לקוח

לאחר שיצרת את האישור בצד השרת והכל עובד, ייתכן שתבחין בכך שכאשר מחשב לקוח מתחבר לכתובת האתר המתאימה, תוצג אזהרת אישור.מצב זה קורה מכיוון שרשות האישורים( השרת שלך) אינה מקור מהימן עבור אישורי SSL בלקוח.

באפשרותך ללחוץ על האזהרות ולגשת לאתר, אולם ייתכן שתקבל הודעות חוזרות ונשנות בצורת שורת כתובת מודגשת או אזהרות אישור חוזרות.כדי למנוע את המטרד הזה, אתה פשוט צריך להתקין את אישור האבטחה SSL מותאם אישית על המחשב הלקוח.

בהתאם לדפדפן שבו אתה משתמש, תהליך זה עשוי להשתנות.IE ו- Chrome קוראים שניהם מחנות האישורים של Windows, אולם ל- Firefox יש שיטה מותאמת אישית לטיפול באישורי אבטחה.

הערה חשובה: עליך לעולם לא להתקין תעודת אבטחה ממקור לא ידוע.בפועל, עליך להתקין אישור מקומי רק אם יצרת אותו.אתר אינטרנט חוקי לא יחייב אותך לבצע את השלבים הבאים.

Internet Explorer &Google Chrome - התקנת האישור באופן מקומי

הערה: למרות ש- Firefox אינו משתמש בחנות האישורים המקורית של Windows, זהו עדיין שלב מומלץ.

העתק את האישור שיוצא מהשרת( קובץ PFX) למכשיר הלקוח או ודא שהוא זמין בנתיב רשת.

פתח את ניהול חנות האישורים המקומי במחשב הלקוח תוך שימוש באותם השלבים שלמעלה.בסופו של דבר אתה בסופו של דבר על המסך כמו אחד למטה.

בצד שמאל, הרחב את אישורים & gt;שורש אישורים מהימנים.לחץ לחיצה ימנית על התיקייה אישורים ובחר כל המשימות & gt;יְבוּא.

בחרו את האישור שהועתק באופן מקומי למכשיר שלכם.

הזן את סיסמת האבטחה שהוקצתה כאשר האישור יצא מהשרת.

החנות "שורש מהימן רשויות הסמכה" צריך להיות prefilled כיעד.הקש "הבא.

סקור את ההגדרות ולחץ על Finish( סיום).

אתה אמור לראות הודעת הצלחה.

רענן את התצוגה של רשויות אישורים מהימנות של שורש & gt;תיקיית אישורים ואתה אמור לראות את האישור החתימה של השרת הרשומה בחנות.

לאחר מכן, אתה אמור להיות מסוגל לגלוש אל אתר HTTPS המשתמש באישורים אלה ולא לקבל אזהרות או הנחיות.

Firefox - מתן חריגות

Firefox מטפל בתהליך זה קצת אחרת מכיוון שהוא אינו קורא מידע אישור מחנות Windows.במקום להתקין אישורים( per-se), הוא מאפשר לך להגדיר חריגים עבור אישורי SSL באתרים מסוימים.

בעת ביקור באתר שבו יש שגיאת אישור, תקבל אזהרה כמו זו שבהמשך.האזור בכחול יקרא את כתובת האתר המתאימה שאליה אתה מנסה לגשת.כדי ליצור חריגה כדי לעקוף את האזהרה הזו בכתובת האתר המתאימה, לחץ על הלחצן הוסף חריגה.

בתיבת הדו-שיח הוספת חריגים אבטחה, לחץ על אישור אבטחה חריגה כדי להגדיר את החריג הזה באופן מקומי.

שים לב שאם אתר מסוים מפנה מחדש לתת-דומיינים מתוך עצמו, ייתכן שתקבל מספר אזהרות לגבי אזהרות אבטחה( עם כתובת האתר שונה במקצת בכל פעם).הוסף חריגים לכתובות אתרים אלה תוך שימוש באותם השלבים כמפורט למעלה.

מסקנה

כדאי לחזור על ההודעה לעיל, כי אתה צריך לעולם לא להתקין תעודת אבטחה ממקור לא ידוע.בפועל, עליך להתקין אישור מקומי רק אם יצרת אותו.אתר אינטרנט חוקי לא יחייב אותך לבצע את השלבים הבאים.

קישורים

הורד את IIS 6.0 Resource Toolkit( כולל כלי השירות SelfSSL) מ- Microsoft