31Aug
IT: Kaip sukurti savarankiškai pasirašytą saugos( SSL) sertifikatą ir įdiegti jį į kliento automatus
Programų kūrėjai ir IT administratoriai, be abejo, turi įdiegti tam tikrą svetainę per HTTPS naudodami SSL sertifikatą.Nors šis procesas yra gana paprastas gamybos vietai, plėtrai ir testavimui gali tekti rasti ir SSL sertifikatą.
Kaip pakaitinis narys, norintis įsigyti ir atnaujinti kasmetinį pažymėjimą, galite pasinaudoti savo "Windows Server" gebėjimu sukurti savarankiškai pasirašytą, patogų, lengvą ir tinkamą šių tipų poreikius atitinkantį sertifikatą.
Savarankiškai pasirašyto sertifikato sukūrimas IIS
Nors yra keletas būdų, kaip atlikti savarankiškai pasirašyto sertifikato sukūrimą, mes naudosime "SelfSSL" įrankį iš "Microsoft".Deja, tai neatitinka IIS, bet ji yra laisvai prieinama kaip dalis IIS 6.0 Resource Toolkit( nuoroda pateikiama šio straipsnio apačioje).Nepaisant to, kad vardas "IIS 6.0", ši priemonė puikiai veikia "IIS 7".
Viskas, ko reikia, yra išgauti "IIS6RT", kad gautumėte "selfssl.exe" įrankį.Čia galite nukopijuoti ją į savo "Windows" katalogą arba tinklo kelią / USB diską, kad jį būtų galima naudoti kitoje mašinoje( taigi jums nereikės atsisiųsti ir išgauti viso IIS6RT).
Jei turite "SelfSSL" įrankį, paleiskite šią komandą( kaip administratorių), pakeisdami reikšmes & lt; & gt;jei reikia:
selfssl /N:CN=<your.domain.com>/ V: & lt; galiojančių dienų skaičius & gt;
Toliau pateikiamas pavyzdys sukuria savarankiškai pasirašytą pakaitos kodą "mydomain.com" ir nustato, kad jis galioja 9999 dienų.Be to, atsakydamas į eilutę "taip", šis sertifikatas automatiškai sukonfigūruotas, kad būtų susietas su portalu 443 IIS numatytoje interneto svetainėje.
Šiuo metu sertifikatas yra paruoštas naudoti, jis saugomas tik serveryje esančiame asmeniniame sertifikatų saugykloje. Geriausia yra tai, kad šis sertifikatas taip pat nustatytas patikimoje šaknyje.
Eikite į Start & gt;Paleiskite( arba "Windows Key + R") ir įveskite "mmc".Galite gauti UAC raginimą, priimti jį ir atidaryti tuščią valdymo konsolę.
Konsole eikite į failą & gt;Pridėti / pašalinti Snap-in.
Pridėkite sertifikatus kairėje pusėje.
Pasirinkite kompiuterio paskyrą.
Pasirinkite Vietinis kompiuteris.
Spustelėkite Gerai, jei norite peržiūrėti Vietos sertifikatų saugyklą.
Peršokti į asmeninę & gt;Sertifikatai ir suraskite sertifikatą, kurį nustatėte naudodamiesi "SelfSSL" įrankiu. Dešiniuoju pelės mygtuku spustelėkite sertifikatą ir pasirinkite Kopijuoti.
Peršokti į patikimų šaknies sertifikavimo institucijų & gt;Sertifikatai. Dešiniuoju pelės mygtuku spustelėkite aplanką Sertifikatai ir pasirinkite Įklijuoti.
SSL sertifikato įrašas turėtų būti įtrauktas į sąrašą.
Šiuo metu jūsų serveris neturėtų problemų dirbant su savarankiškai pasirašytu sertifikatu.
Sertifikato
eksportas Jei ketinate pasiekti svetainę, kuri naudoja savarankiškai pasirašytą SSL sertifikatą bet kurioje kliento kompiuteryje( ty bet kuriame kompiuteryje, kuris nėra serveris), siekiant išvengti galimo sertifikavimo klaidų ir įspėjimų įpuolimo, saveKiekviename kliento kompiuteryje turi būti įdiegtas pasirašytas sertifikatas( apie kurį mes išsamiai aptarsime žemiau).Norėdami tai padaryti, pirmiausia turime eksportuoti atitinkamą sertifikatą, kad jį būtų galima įdiegti klientams.
Konsole su sertifikato valdymu pakrauta, pereikite prie Patikimos šaknies sertifikavimo institucijos & gt;Sertifikatai. Suraskite sertifikatą, dešiniuoju pelės mygtuku spustelėkite ir pasirinkite Visos užduotys & gt;Eksportas.
Kai pasirodys paraginimas eksportuoti privatųjį raktą, pasirinkite Taip. Spustelėkite Pirmyn.
Palikite numatytuosius failo formato pasirinkimus ir spustelėkite Pirmyn.
Įveskite slaptažodį.Tai bus naudojama apsaugoti sertifikatą, o vartotojai negalės importuoti jį vietoje, neįvedę šio slaptažodžio.
Įveskite vietą, kurioje norite eksportuoti sertifikato failą.Tai bus PFX formatu.
Patvirtinkite savo nustatymus ir spustelėkite Baigti.
Gautas PFX failas yra tai, kas bus įdiegta į jūsų klientų įrenginius, kad pasakytų jiems, kad jūsų pačių pasirašytas sertifikatas yra patikimo šaltinio.
įdiegimas į klientų automatus
Kai sukūrėte sertifikatą serverio pusėje ir viskas veikia, galite pastebėti, kad kai kliento kompiuteris prisijungia prie atitinkamo URL, rodomas sertifikato įspėjimas. Taip yra todėl, kad sertifikavimo institucija( jūsų serveris) nėra patikimas SSL sertifikato šaltinis kliento.
Galite spustelėti įspėjimus ir pasiekti svetainę, tačiau galite pakartotinai pastebėti pažymėtą URL juostą arba kartoti sertifikato įspėjimus. Kad išvengtumėte šio nepatogumo, tiesiog reikia įdiegti kliento kompiuteryje pasirinktinį SSL saugumo sertifikatą.
Priklausomai nuo naudojamos naršyklės šis procesas gali skirtis."IE" ir "Chrome" yra skaitomi iš "Windows" sertifikatų saugyklos, tačiau "Firefox" turi specialųjį saugumo sertifikatų tvarkymo būdą.
Svarbi pastaba: Jūs turėtumėte niekada įdiegti saugos sertifikatą iš nežinomo šaltinio. Praktikoje sertifikatą turėtumėte įdiegti tik vietoje, jei jį sukūrėte. Jokios teisėtos svetainės nereikėtų atlikti šių veiksmų.
Internet Explorer &"Google Chrome" - sertifikato įdiegimas lokaliai.
Pastaba: net jei "Firefox" nenaudoja gimtoji "Windows" sertifikatų saugyklos, tai vis dar rekomenduojamas žingsnis.
Nukopijuokite iš serverio eksportuotą sertifikatą( PFX failą) į kliento kompiuterį arba įsitikinkite, kad jis pasiekiamas tinklo keliu.
Atidarykite vietinį sertifikato saugyklos valdymą kliento kompiuteryje, naudodami tas pačias pirmiau nurodytas priemones. Galų gale galiausiai atsidursite kaip žemiau esantis ekranas.
Kairėje pusėje išplėskite sertifikatus & gt;Patikimos šaknies sertifikavimo institucijos. Dešiniuoju pelės mygtuku spustelėkite aplanką Sertifikatai ir pasirinkite Visos užduotys & gt;Importuoti.
Pasirinkite sertifikatą, kuris vietoje jūsų kompiuteryje buvo nukopijuotas.
Įveskite apsaugos slaptažodį, priskirtą, kai sertifikatas buvo eksportuotas iš serverio.
Laikmena "Patikimos šaknies sertifikavimo institucijos" turėtų būti užpildyta kaip paskirties vieta. Spustelėkite Pirmyn.
Peržiūrėkite nustatymus ir spustelėkite Baigti.
Turėtumėte pamatyti pranešimą apie sėkmę.
Atnaujinkite savo patikimų šaknų sertifikavimo institucijų rodinį & gt;Sertifikatų aplanką ir turėtumėte pamatyti savarankiškai pasirašytą serverio sertifikatą, nurodytą parduotuvėje.
Viena tai daroma, turėtumėte galėti naršyti HTTPS svetainę, kuri naudoja šiuos sertifikatus ir negavusi jokių įspėjimų ar instrukcijų.
Firefox - Leisti išimtis
"Firefox" tvarko šį procesą šiek tiek kitaip, nes jis neskaito "Windows" parduotuvės sertifikato informacijos. Užuot įdiegę sertifikatus( per-se), galite konkrečiose svetainėse nustatyti SSL sertifikatų išimtis.
Kai apsilankote svetainėje, kurioje yra sertifikato klaida, gausite įspėjimą, panašų į žemiau esantį.Zona mėlyna bus pavadinta atitinkamu URL, kurį bandysite pasiekti. Jei norite sukurti išimtį, kad apeitumėte šį įspėjimą atitinkamame URL, spustelėkite mygtuką "Pridėti išimtį".
Dialogo lange "Pridėti saugumo išskyrimą" spustelėkite "Patvirtinti saugumo išimtį", jei norite konfigūruoti šią išimtį vietoje.
Atkreipkite dėmesį, kad jei konkreti svetainė peradresuoja į savo pačių domenus, galite gauti kelis įspėjimus dėl saugumo įspėjimų( kiekvieną kartą URL šiek tiek skiriasi).Įtraukite išimtis tiems URL, naudojantiems tas pačias priemones kaip ir anksčiau.
Išvada
Verta pakartoti anksčiau pateiktą įspėjimą, kad niekada neturėtų įdiegti saugos sertifikato iš nežinomo šaltinio. Praktikoje sertifikatą turėtumėte įdiegti tik vietoje, jei jį sukūrėte. Jokios teisėtos svetainės nereikėtų atlikti šių veiksmų.
Nuorodos
Atsisiųskite "IIS 6.0 Resource Toolkit"( įskaitant SelfSSL įrankį) iš "Microsoft
"