31Aug
Izstrādātājiem un IT administratoriem, bez šaubām, ir nepieciešams izvietot kādu vietni, izmantojot HTTPS, izmantojot SSL sertifikātu. Lai gan šis process ir diezgan vienkāršs attiecībā uz ražošanas vietu, izstrādes un testēšanas nolūkos, iespējams, ir jāizmanto arī SSL sertifikāts.
Kā aizstājējs ikgadējā sertifikāta iegādei un atjaunošanai jūs varat izmantot savu Windows servera spēju radīt pašparakstītu sertifikātu, kas ir ērti, viegli un vajadzētu pilnīgi apmierināt šāda veida vajadzības.
Mana parakstītā sertifikāta izveide IIS
Lai gan ir vairāki veidi, kā panākt pašportulētā sertifikāta izveidošanu, mēs izmantosim SelfSSL utilītu no Microsoft. Diemžēl tas netiek piegādāts kopā ar IIS, bet tas ir brīvi pieejams kā daļa no IIS 6.0 resursu rīku komplekta( šī raksta apakšdaļā sniegtā saite).Neskatoties uz nosaukumu "IIS 6.0" šī lietderība darbojas tikai naudas sodu IIS 7.
Viss, kas nepieciešams, ir iegūt IIS6RT, lai iegūtu utilītprogrammu selfssl.exe. No šejienes jūs varat to nokopēt uz savu Windows direktoriju vai tīkla ceļu / USB disku, lai to turpmāk izmantotu citā datorā( tādēļ jums nav nepieciešams lejupielādēt un izvilkt pilnu IIS6RT).
Kad esat izmantojis SelfSSL lietderību, palaidiet šādu komandu( kā administratoru), aizstājot vērtības & lt; & gt;pēc vajadzības:
selfssl /N:CN=<your.domain.com>/ V: & lt; derīgu dienu skaits & gt;
. Turpmāk sniegtais piemērs izsniedz pašrakstītu aizstājējzīmi pret "mydomain.com" un nosaka, ka tas ir derīgs 9999 dienu laikā.Turklāt, atbildot uz "jā" uz uzvedni, šis sertifikāts tiek automātiski konfigurēts, lai saistītu ar portu 443 IIS noklusējuma tīmekļa vietnē.
Šajā brīdī sertifikāts ir gatavs lietošanai, tas tiek glabāts tikai servera personīgajā sertifikātu veikalā.Labākā prakse ir arī šī sertifikāta iestatīšana uzticamajā root.
Atveriet Start & gt;Run( vai Windows Key + R) un ievadiet "mmc".Jūs varat saņemt UAC uzvedni, pieņemt to un atveras tukšas vadības konsoles.
Konsolei dodieties uz failu & gt;Pievienot / noņemt pieskārienu.
Pievienojiet sertifikātus no kreisās puses.
Izvēlieties Datora kontu.
Izvēlieties lokālo datoru.
Noklikšķiniet uz Labi, lai skatītu vietējo sertifikātu veikalu.
Pārvietojieties uz Personīgo & gt;Sertifikāti un atrodiet sertifikātu, kuru iestatāt, izmantojot SelfSSL utilītu. Ar peles labo pogu noklikšķiniet uz sertifikāta un atlasiet Kopēt.
Pārvietojieties uz uzticamām sakņu sertificēšanas iestādēm & gt;Sertifikāti. Ar peles labo pogu noklikšķiniet uz mapes Sertifikāti un atlasiet Ielīmēt.
Sarakstam vajadzētu ierakstīt SSL sertifikātu.
Šajā brīdī jūsu serverim nav problēmu strādāt ar pašparakstītu sertifikātu.
Sertifikāta eksportēšana
Ja jūs plānojat piekļūt vietnei, kurā tiek izmantots pašnodokļa SSL sertifikāts jebkurā klienta datorā( ti, jebkurā datorā, kas nav serveris), lai izvairītos no iespējamās sertifikātu kļūdu un brīdinājumu uzbrukuma, sevKatrā klienta mašīnā ir jāuzstāda parakstīts sertifikāts( tas tiks detalizēti aplūkots zemāk).Lai to izdarītu, vispirms ir jāeksportē attiecīgais sertifikāts, lai to varētu instalēt klientiem.
Konsoļu iekšpusē ar sertifikātu pārvaldību ielādējiet navigācijas lapu uzticamām sakņu sertificēšanas iestādēm & gt;Sertifikāti. Atrodiet sertifikātu, ar peles labo pogu noklikšķiniet un atlasiet Visi uzdevumi & gt;Eksportēt
Kad tiek piedāvāts eksportēt privāto atslēgu, izvēlieties Jā.Noklikšķiniet uz Tālāk.
Atstājiet faila formāta noklusējuma iestatījumus un noklikšķiniet uz Tālāk.
Ievadiet paroli. To izmantos, lai aizsargātu sertifikātu, un lietotāji nevarēs to importēt lokāli, ievadot šo paroli.
Ievadiet vietu, kur eksportēt sertifikāta failu. Tas būs PFX formātā.
Apstipriniet savus iestatījumus un noklikšķiniet uz Pabeigt.
Izveidotais PFX fails ir tas, kas tiks instalēts jūsu klienta mašīnām, lai pateiktu viņiem, ka jūsu pašparakstīts sertifikāts ir no uzticama avota.
izvietošana uz klientu automātiem
Kad serveris ir izveidojis sertifikātu un jums ir viss, kas darbojas, jūs varat pamanīt, ka tad, kad klienta mašīna pieslēdzas attiecīgajam URL, tiek parādīts sertifikāta brīdinājums. Tas notiek tāpēc, ka sertifikātu iestāde( jūsu serveris) nav uzticams klienta SSL sertifikātu avots.
Jūs varat noklikšķināt, izmantojot brīdinājumus un piekļūt vietnei, taču jūs varat saņemt atkārtotus paziņojumus kā izcelto URL joslu vai atkārtot sertifikātu brīdinājumus. Lai izvairītos no šī traucēkļa, klienta datorā vienkārši jāinstalē pielāgotais SSL drošības sertifikāts.
Atkarībā no izmantotās pārlūkprogrammas šis process var atšķirties. IE un Chrome tiek lasīti no Windows sertifikātu veikala, taču Firefox ir pielāgota drošības sertifikātu apstrādes metode.
Svarīga piezīme: Jums nekad nav instalēt drošības sertifikātu no nezināma avota. Praksē sertifikāts jāinstalē tikai lokāli, ja to ģenerējat. Nevienai likumīgai vietnei nebūtu nepieciešams veikt šīs darbības.
Internet Explorer &Google Chrome - Sertifikāta instalēšana lokāli
Piezīme. Lai gan Firefox neizmanto vietējo Windows sertifikātu veikalu, tas joprojām ir ieteicamais solis.
Kopējiet sertifikātu, kas tika eksportēts no servera( PFX fails), uz klientu iekārtu vai pārliecinieties, vai tas ir pieejams tīkla ceļā.
Atveriet vietējo sertifikātu veikala pārvaldību klienta datorā, izmantojot tieši tādas pašas darbības kā iepriekš.Jūs galu galā nonāksiet ekrānā, piemēram, zemāk esošajā.
Kreisajā pusē paplašiniet Sertifikāti & gt;Trusted Root sertificēšanas institūcijas. Ar peles labo pogu noklikšķiniet uz mapes Sertifikāti un atlasiet Visi uzdevumi & gt;Importēt.
Izvēlieties sertifikātu, kas jūsu iekārtā tika kopēts lokāli.
Ievadiet drošības paroli, kas piešķirta, kad sertifikāts tika eksportēts no servera.
Glabāšanas vieta "Uzticamās sakņu sertificēšanas iestādes" ir jāaizpilda kā galamērķis. Noklikšķiniet uz Tālāk.
Pārskatiet iestatījumus un noklikšķiniet uz Pabeigt.
Jums vajadzētu redzēt veiksmes ziņojumu.
Atsvaidziniet savu skatu uz uzticamām sakņu sertificēšanas iestādēm & gt;Sertifikātu mape un jums vajadzētu redzēt servera pašparakstīto sertifikātu, kas ir norādīts veikalā.
Viena no tām tiek veikta, jums vajadzētu būt iespējai pārlūkot HTTPS vietni, kurā tiek izmantoti šie sertifikāti, un nesaņem brīdinājumus vai uzvednes.
Firefox - atļauja izņēmumiem
Firefox šo procesu apstrādā mazliet savādāk, jo tas neizlasa sertifikāta informāciju no Windows veikala. Tā vietā, lai instalētu sertifikātus( per-se), tas ļauj definēt SSL sertifikātu izņēmumus noteiktās vietnēs.
Kad apmeklējat vietni, kurai ir sertifikāta kļūda, jūs saņemsit brīdinājumu, piemēram, zemāk redzamo. Zilā zona norāda attiecīgo URL, kuru mēģināt piekļūt. Lai izveidotu izņēmumu, lai apietu šo brīdinājumu attiecīgajā URL, noklikšķiniet uz pogas Pievienot izņēmumu.
Dialoglodziņā Pievienot drošības izņēmumu noklikšķiniet uz Apstiprināt drošības izņēmumu, lai konfigurētu šo izņēmumu lokāli.
Ņemiet vērā, ka, ja konkrēta vietne no savas iekšienes novirza uz apakšdomēniem, jūs varat saņemt vairākus drošības brīdinājuma uzvednes( URL katrā reizē nedaudz atšķiras).Pievienojiet izņēmumus šiem URL, izmantojot tādas pašas darbības kā iepriekš.
Secinājums
Ir vērts atkārtoti norādīt iepriekš minēto, ka nekad nav instalēt drošības sertifikātu no nezināma avota. Praksē sertifikāts jāinstalē tikai lokāli, ja to ģenerējat. Nevienai likumīgai vietnei nebūtu nepieciešams veikt šīs darbības.
saites
IIS 6.0 resursu rīku komplekts( ietver SelfSSL utilītu) no Microsoft
