31Aug
Utviklere og IT-administratorer har ingen tvil om behovet for å distribuere noe nettsted gjennom HTTPS ved hjelp av et SSL-sertifikat. Selv om denne prosessen er ganske enkel for et produksjonssted, kan du i utviklings- og testformål også finne behovet for å bruke et SSL-sertifikat her også.
Som et alternativ til innkjøp og fornyelse av et årlig sertifikat, kan du utnytte din Windows Server evne til å generere et selvsignert sertifikat som er praktisk, enkelt og bør oppfylle disse typene behov perfekt.
Opprette et selvsignert sertifikat på IIS
Selv om det finnes flere måter å oppnå oppgaven med å opprette et selvsignert sertifikat, vil vi bruke SelfSSL-verktøyet fra Microsoft. Dessverre sendes ikke dette med IIS, men det er fritt tilgjengelig som en del av IIS 6.0 Resource Toolkit( lenke som er oppgitt nederst i denne artikkelen).Til tross for navnet "IIS 6.0" fungerer dette verktøyet fint i IIS 7.
Alt som kreves er å pakke ut IIS6RT for å få selvssl.exe-verktøyet. Herfra kan du kopiere den til Windows-katalogen eller en nettverksbane / USB-stasjon for fremtidig bruk på en annen maskin( slik at du ikke trenger å laste ned og pakke ut hele IIS6RT).
Når du har SelfSSL-verktøyet på plass, kjør følgende kommando( som administrator) erstatter verdiene i & lt; & gt;ettersom:
selvbetjening / N: CN =<your.domain.com>/ V: & lt; antall gyldige dager & gt;
Eksempelet nedenfor produserer et selvsignert wildcard-sertifikat mot "mydomain.com" og angir at det gjelder 9.999 dager. I tillegg ved å svare ja til spørringen, er dette sertifikatet automatisk konfigurert til å binde til port 443 inne i IIS standardwebområde.
Selv om sertifikatet er klar til bruk, er det bare lagret i personlig sertifikatbutikk på serveren. Det er en god praksis å også ha dette sertifikatet satt i den klarerte rotten også.
Gå til Start & gt;Kjør( eller Windows-tast + R) og skriv inn "mmc".Du kan få en UAC-prompt, godta den og en tom administrasjonskonsoll åpnes.
I konsollen går du til File & gt;Legg til / fjern Snap-in.
Legg til sertifikater fra venstre side.
Velg Computer-konto.
Velg Lokal datamaskin.
Klikk OK for å vise lokal sertifikat butikk.
Naviger til Personlig & gt;Sertifikater og finn sertifikatet du konfigurerer ved hjelp av SelfSSL-verktøyet. Høyreklikk på sertifikatet og velg Kopier.
Naviger til Trusted Root Certification Authorities & gt;Sertifikater. Høyreklikk på sertifikatmappen og velg Lim inn.
En oppføring for SSL-sertifikatet skal vises i listen.
På dette tidspunktet må serveren ikke ha problemer med å arbeide med det selvsignerte sertifikatet.
Eksportere sertifikatet
Hvis du skal få tilgang til et nettsted som bruker det selvskrevne SSL-sertifikatet på en hvilken som helst klientmaskin( dvs. en hvilken som helst datamaskin som ikke er serveren), for å unngå et potensielt angrep av sertifikatfeil og advarsler selvsignert sertifikat skal installeres på hver av klientmaskinene( som vi vil diskutere i detalj nedenfor).For å gjøre dette må vi først eksportere respektive sertifikat slik at det kan installeres på klientene.
Innsiden av konsollen med sertifiseringsadministrasjon lastet, naviger til Trusted Root Certification Authorities & gt;Sertifikater. Finn sertifikatet, høyreklikk og velg Alle oppgaver & gt;Eksport.
Når du blir bedt om å eksportere den private nøkkelen, velger du Ja. Klikk på Neste.
Legg til standardvalgene for filformatet og klikk på Neste.
Skriv inn et passord. Dette vil bli brukt til å beskytte sertifikatet, og brukere vil ikke kunne importere det lokalt uten å skrive inn dette passordet.
Skriv inn et sted for å eksportere sertifikatfilen. Det vil være i PFX-format.
Bekreft innstillingene dine og klikk på Fullfør.
Den resulterende PFX-filen er det som vil bli installert på klientmaskinene dine for å fortelle dem at ditt selvsignerte sertifikat er fra en klarert kilde.
Utplassering til klientmaskiner
Når du har opprettet sertifikatet på serverens side og har alt som fungerer, kan du merke at når en klientmaskin kobles til den respektive nettadressen, vises en sertifikatvarsel. Dette skjer fordi sertifikatautoriteten( serveren din) ikke er en klar kilde for SSL-sertifikater på klienten.
Du kan klikke gjennom advarslene og få tilgang til nettstedet, men du kan få gjentatte merknader i form av en uthevet nettadresselinje eller gjentatte sertifikatadvarsler. For å unngå denne irritasjonen trenger du bare å installere det egendefinerte SSL-sikkerhetssertifikatet på klientmaskinen.
Avhengig av hvilken nettleser du bruker, kan denne prosessen variere. IE og Chrome leses begge fra Windows-sertifikatbutikken, men Firefox har en tilpasset metode for håndtering av sikkerhetssertifikater.
Viktig merknad: Du bør aldri installere et sikkerhetssertifikat fra en ukjent kilde. I praksis bør du bare installere et sertifikat lokalt hvis du genererer det. Ingen legitim nettside vil kreve at du utfører disse trinnene.
Internet Explorer &Google Chrome - Installere sertifikatet lokalt
Merk: Selv om Firefox ikke bruker den innfødte Windows-sertifikatbutikken, er dette fortsatt et anbefalt trinn.
Kopier sertifikatet som ble eksportert fra serveren( PFX-filen) til klientmaskinen, eller sørg for at den er tilgjengelig i en nettverksbane.
Åpne den lokale sertifikatbutikkstyringen på klientmaskinen ved hjelp av nøyaktig samme trinn som ovenfor. Du vil til slutt ende opp på en skjerm som den nedenfor.
På venstre side utvider du Sertifikater & gt;Trusted Root Certification Authorities. Høyreklikk på sertifikatmappen og velg Alle oppgaver & gt;Import.
Velg sertifikatet som ble kopiert lokalt til maskinen din.
Skriv inn sikkerhetspassordet tildelt når sertifikatet ble eksportert fra serveren.
Butikken "Trusted Root Certification Authorities" bør fylles ut som destinasjon. Klikk på Neste.
Gjennomgå innstillingene og klikk på Fullfør.
Du bør se en suksessmelding.
Oppdater visningen din av Trusted Root Certification Authorities & gt;Sertifikatmappe og du bør se serverens selvsignerte sertifikat som er oppført i butikken.
En dette er gjort, du bør kunne bla gjennom til et HTTPS-nettsted som bruker disse sertifikatene og ikke mottar advarsler eller instruksjoner.
Firefox - Tillat unntak
Firefox håndterer denne prosessen litt annerledes, ettersom den ikke leser sertifikatinformasjon fra Windows-butikken. I stedet for å installere sertifikater( per-se), kan du definere unntak for SSL-sertifikater på bestemte nettsteder.
Når du besøker et nettsted som har en sertifikatfeil, får du en advarsel som den nedenfor. Området i blått vil nevne den respektive nettadressen du prøver å få tilgang til. Hvis du vil opprette et unntak for å omgå denne advarselen på den respektive nettadressen, klikker du på Legg til unntak-knappen.
I dialogboksen Add Security Exception, klikk på Bekreft sikkerhetseksjonen for å konfigurere dette unntaket lokalt.
Vær oppmerksom på at hvis et bestemt nettsted omdirigerer til underdomener fra seg selv, kan du få flere advarselsmeldinger( med nettadressen noe annerledes hver gang).Legg til unntak for de nettadressene som bruker de samme trinnene som ovenfor.
Konklusjon
Det er verdt å gjenta varselet ovenfor at du skal aldri installere et sikkerhetssertifikat fra en ukjent kilde. I praksis bør du bare installere et sertifikat lokalt hvis du genererer det. Ingen legitim nettside vil kreve at du utfører disse trinnene.
Lenker
Last ned IIS 6.0 Resource Toolkit( inkluderer SelfSSL-verktøy) fra Microsoft
