IT: een zelfondertekend( SSL) -beveiligingscertificaat maken en dit op clientcomputers implementeren

Ontwikkelaars en IT-beheerders hebben ongetwijfeld de noodzaak om een ​​bepaalde website via HTTPS te implementeren met behulp van een SSL-certificaat. Hoewel dit proces vrij eenvoudig is voor een productiesite, kan het voor de doeleinden van ontwikkeling en testen ook nodig zijn om hier een SSL-certificaat te gebruiken.

Als een alternatief voor het kopen en vernieuwen van een jaarlijks certificaat, kunt u gebruik maken van de mogelijkheid van uw Windows Server om een ​​zelfondertekend certificaat te genereren, dat handig en gemakkelijk is en perfect aan dit soort behoeften moet voldoen.

Een zelfondertekend certificaat maken op IIS

Hoewel er verschillende manieren zijn om een ​​zelf ondertekend certificaat te maken, gebruiken we het SelfSSL-hulpprogramma van Microsoft. Helaas wordt dit niet geleverd met IIS, maar het is gratis beschikbaar als onderdeel van de IIS 6.0 Resource Toolkit( link onderaan dit artikel).Ondanks de naam "IIS 6.0" werkt dit hulpprogramma prima in IIS 7.

Het enige dat nodig is, is het extraheren van de IIS6RT om het hulpprogramma selfssl.exe te krijgen. Vanaf hier kunt u het kopiëren naar uw Windows-map of een netwerkpad / USB-station voor toekomstig gebruik op een andere machine( zodat u niet de volledige IIS6RT hoeft te downloaden en extraheren).

Nadat u het SelfSSL-hulpprogramma hebt geïnstalleerd, voert u de volgende opdracht uit( als de beheerder) die de waarden in & lt; & gt;naargelang het geval:

selfssl /N:CN=<uw.domein.com>/ V: & lt; aantal geldige dagen & gt;

Het onderstaande voorbeeld produceert een zelfondertekend wildcard-certificaat tegen "mijndomein.com" en stelt het in op 9.999 dagen. Bovendien, door Ja te antwoorden op de vraag, wordt dit certificaat automatisch geconfigureerd om te binden aan poort 443 binnen de standaardwebsite van IIS.

Terwijl het certificaat op dit moment klaar is voor gebruik, wordt het alleen opgeslagen in het persoonlijke certificaatarchief op de server. Het is een goede gewoonte om dit certificaat ook in de vertrouwde root te laten instellen.

Ga naar start & gt;Uitvoeren( of Windows-toets + R) en voer "mmc" in. Mogelijk ontvangt u een UAC-prompt, accepteert u deze en wordt een lege beheerconsole geopend.

Ga in de console naar Bestand & gt;Module toevoegen / verwijderen.

Certificaten toevoegen aan de linkerkant.

Selecteer een computeraccount.

Selecteer Lokale computer.

Klik op OK om de lokale certificaatopslag te bekijken.

Navigeer naar Persoonlijk & gt;Certificaten en zoek het certificaat dat u hebt ingesteld met behulp van het SelfSSL-hulpprogramma. Klik met de rechtermuisknop op het certificaat en selecteer Kopiëren.

Navigeer naar Vertrouwde basiscertificeringsinstanties & gt;Certificaten. Klik met de rechtermuisknop op de map Certificaten en selecteer Plakken.

Een vermelding voor het SSL-certificaat zou in de lijst moeten verschijnen.

Op dit punt heeft uw server geen problemen met het werken met het zelfondertekende certificaat.

Het certificaat exporteren

Als u toegang wilt krijgen tot een site die het zelfondertekende SSL-certificaat gebruikt op een clientcomputer( dwz elke computer die niet de server is), om een ​​mogelijke aanval van certificaatfouten en waarschuwingen te voorkomen,ondertekend certificaat moet op elk van de clientcomputers worden geïnstalleerd( die we hieronder in detail zullen bespreken).Om dit te doen, moeten we eerst het respectieve certificaat exporteren zodat het op de clients kan worden geïnstalleerd.

Ga naar de console met het certificaatbeheer geladen en ga naar Vertrouwde basiscertificeringsinstanties & gt;Certificaten. Zoek het certificaat, klik met de rechtermuisknop en selecteer Alle taken & gt;Exporteren.

Selecteer Ja wanneer u wordt gevraagd om de persoonlijke sleutel te exporteren. Klik volgende.

Laat de standaard selecties voor de bestandsindeling en klik op Volgende.

Voer een wachtwoord in. Dit wordt gebruikt om het certificaat te beschermen en gebruikers kunnen het lokaal niet importeren zonder dit wachtwoord in te voeren.

Voer een locatie in om het certificaatbestand te exporteren. Het zal in PFX-formaat zijn.

Bevestig uw instellingen en klik op Voltooien.

Het resulterende PFX-bestand is wat op uw clientmachines wordt geïnstalleerd om hen te vertellen dat uw zelfondertekende certificaat afkomstig is van een vertrouwde bron.

Implementatie naar clientmachines

Nadat u het certificaat aan de serverzijde hebt gemaakt en alles werkt, merkt u misschien dat wanneer een clientcomputer verbinding maakt met de betreffende URL, er een certificaatwaarschuwing wordt weergegeven. Dit gebeurt omdat de certificeringsinstantie( uw server) geen vertrouwde bron is voor SSL-certificaten op de client.

U kunt door de waarschuwingen bladeren en toegang krijgen tot de site, maar u krijgt mogelijk herhaaldelijke meldingen in de vorm van een gemarkeerde URL-balk of herhaling van certificaatwaarschuwingen. Om deze ergernis te voorkomen, hoeft u alleen maar het aangepaste SSL-beveiligingscertificaat op de clientcomputer te installeren.

Afhankelijk van de browser die u gebruikt, kan dit proces variëren. IE en Chrome lezen beide uit de Windows Certificate Store, maar Firefox heeft een aangepaste methode voor het afhandelen van beveiligingscertificaten.

Belangrijke opmerking: U moet nooit een beveiligingscertificaat installeren van een onbekende bron. In de praktijk zou u een certificaat alleen lokaal moeten installeren als u het hebt gegenereerd. Geen enkele legitieme website vereist dat u deze stappen uitvoert.

Internet Explorer &Google Chrome - Lokaal certificaat installeren

Opmerking: hoewel Firefox het oorspronkelijke Windows-certificaatarchief niet gebruikt, is dit nog steeds een aanbevolen stap.

Kopieer het certificaat dat is geëxporteerd van de server( het PFX-bestand) naar de clientcomputer of controleer of het beschikbaar is in een netwerkpad.

Open het lokale certificaatarchiefbeheer op de clientcomputer met exact dezelfde stappen als hierboven. Uiteindelijk zul je eindigen op een scherm zoals hieronder.

Vouw aan de linkerkant Certificaten uit & gt;Trusted Root Certification Authorities. Klik met de rechtermuisknop op de map Certificaten en selecteer Alle taken & gt;Importeren.

Selecteer het certificaat dat lokaal naar uw machine is gekopieerd.

Voer het beveiligingswachtwoord in dat is toegewezen toen het certificaat van de server werd geëxporteerd.

De winkel "Vertrouwde basiscertificeringsinstanties" moet vooraf als bestemming worden gebruikt. Klik volgende.

Controleer de instellingen en klik op Voltooien.

U zou een succesmelding moeten zien.

Vernieuw uw weergave van de Trusted Root Certification Authorities & gt;Certificatenmap en u zou het zelfondertekende certificaat van de server in de winkel moeten zien.

Als dit eenmaal is gebeurd, moet u naar een HTTPS-site kunnen bladeren die deze certificaten gebruikt en geen waarschuwingen of aanwijzingen ontvangt.

Firefox - Uitzonderingen toestaan ​​

Firefox gaat dit proces een beetje anders aan omdat het geen certificaatinformatie uit de Windows-winkel leest. In plaats van certificaten( per se) te installeren, kunt u uitzonderingen voor SSL-certificaten op bepaalde sites definiëren.

Wanneer u een site bezoekt met een certificaatfout, krijgt u een waarschuwing zoals hieronder. Het blauwe gebied geeft de respectieve URL aan die u probeert te openen. Als u een uitzondering wilt maken om deze waarschuwing op de betreffende URL te omzeilen, klikt u op de knop Uitzondering toevoegen.

Klik in het dialoogvenster Beveiligingsuitzondering toevoegen op Beveiligingsuitzondering bevestigen om deze uitzondering lokaal te configureren.

Merk op dat als een bepaalde site doorverwijst naar subdomeinen vanuit zichzelf, u mogelijk meerdere beveiligingswaarschuwingsprompts krijgt( waarbij de URL telkens een beetje anders is).Voeg uitzonderingen toe voor die URL's met dezelfde stappen als hierboven.

Conclusie

Het is de moeite waard om de bovenstaande opmerking te herhalen dat nooit een beveiligingscertificaat van een onbekende bron moet installeren. In de praktijk zou u een certificaat alleen lokaal moeten installeren als u het hebt gegenereerd. Geen enkele legitieme website vereist dat u deze stappen uitvoert.

Links

Download IIS 6.0 Resource Toolkit( inclusief SelfSSL utility) van Microsoft