31Aug

IT: Como criar um certificado de segurança autenticado( SSL) e implantá-lo em máquinas cliente

Os desenvolvedores e os administradores de TI têm, sem dúvida, a necessidade de implantar algum site através do HTTPS usando um certificado SSL.Embora este processo seja bastante direto para um site de produção, para fins de desenvolvimento e testes, você também pode achar a necessidade de usar um certificado SSL aqui.

Como alternativa para a compra e renovação de um certificado anual, você pode aproveitar a capacidade do Windows Server para gerar um certificado auto-assinado que seja conveniente, fácil e que satisfaça perfeitamente esses tipos de necessidades.

Criando um certificado autenticado no IIS

Embora existam várias maneiras de realizar a tarefa de criar um certificado auto-assinado, usaremos o utilitário SelfSSL da Microsoft. Infelizmente, isso não é enviado com o IIS, mas está livremente disponível como parte do IIS 6.0 Resource Toolkit( link fornecido na parte inferior deste artigo).Apesar do nome "IIS 6.0", este utilitário funciona bem no IIS 7.

Tudo o que é necessário é extrair o IIS6RT para obter o utilitário selfssl.exe. A partir daqui, você pode copiá-lo para o diretório do Windows ou um caminho de rede / unidade USB para uso futuro em outra máquina( para que não seja necessário baixar e extrair o IIS6RT completo).

Depois de ter o utilitário SelfSSL no lugar, execute o seguinte comando( como o Administrador) substituindo os valores em & lt; & gt;conforme apropriado:

selfssl /N:CN=< your.domain.com>/ V: & lt; número de dias válidos & gt;

O exemplo abaixo produz um certificado curinga auto-assinado contra "mydomain.com" e define que seja válido por 9,999 dias. Além disso, respondendo sim ao prompt, este certificado é configurado automaticamente para vincular a porta 443 dentro do Site Padrão do IIS.

Enquanto neste momento o certificado está pronto para usar, ele é armazenado apenas no armazenamento de certificados pessoais no servidor.É uma prática recomendada também ter este certificado definido na raiz confiável também.

Vá para Iniciar & gt;Execute( ou Windows Key + R) e entre "mmc".Você pode receber um prompt do UAC, aceitá-lo e um Open Management Console será aberto.

No console, vá para Arquivo & gt;Adicionar / remover snap-in.

Adicione Certificados do lado esquerdo.

Selecione a conta Computador.

Selecione o computador local.

Clique em OK para visualizar a loja do Certificado Local.

Navegue para Personal & gt;Certificados e localize o certificado que você configurou usando o utilitário SelfSSL.Clique com o botão direito do mouse no certificado e selecione Copiar.

Navegue para Autoridades de Certificação Raiz Confiáveis ​​& gt;Certificados. Clique com o botão direito do mouse na pasta Certificados e selecione Colar.

Uma entrada para o certificado SSL deve aparecer na lista.

Neste ponto, seu servidor não deve ter problemas para trabalhar com o certificado auto assinado.

Exportando o Certificado

Se você estiver acessando um site que use o certificado SSL auto-assinado em qualquer máquina cliente( ou seja, qualquer computador que não seja o servidor), para evitar possíveis ataques de erros e avisos de certificado, o eu próprioO certificado assinado deve ser instalado em cada uma das máquinas clientes( o que discutiremos em detalhes abaixo).Para fazer isso, primeiro precisamos exportar o respectivo certificado para que ele possa ser instalado nos clientes.

Dentro do console com o Gerenciamento de Certificado carregado, navegue para Autoridades de Certificação Raiz Confiáveis ​​& gt;Certificados. Localize o certificado, clique com o botão direito do mouse e selecione Todas as tarefas & gt;Exportar.

Quando solicitado a exportar a chave privada, selecione Sim. Clique em Avançar.

Deixe as seleções padrão para o formato do arquivo e clique em Avançar.

Digite uma senha. Isso será usado para proteger o certificado e os usuários não poderão importá-lo localmente sem entrar nesta senha.

Digite um local para exportar o arquivo de certificado. Será no formato PFX.

Confirme as configurações e clique em Concluir.

O arquivo PFX resultante é o que será instalado em suas máquinas clientes para dizer-lhes que seu certificado auto-assinado é de uma fonte confiável.

Implantação em máquinas cliente

Depois de ter criado o certificado do lado do servidor e ter tudo funcionando, você pode notar que, quando uma máquina cliente se conecta ao respectivo URL, um aviso de certificado é exibido. Isso acontece porque a autoridade de certificação( seu servidor) não é uma fonte confiável para certificados SSL no cliente.

Você pode clicar nos avisos e acessar o site, no entanto, você pode receber avisos repetidos sob a forma de uma barra de URL destacada ou notificações de certificados repetidos. Para evitar esse aborrecimento, você simplesmente precisa instalar o certificado de segurança SSL personalizado na máquina cliente.

Dependendo do navegador que você usa, esse processo pode variar. O IE e o Chrome são lidos da loja de certificados do Windows, no entanto, o Firefox possui um método personalizado de tratamento de certificados de segurança.

Nota importante: Você deve nunca instalar um certificado de segurança de uma fonte desconhecida. Na prática, você deve instalar um certificado localmente se você o gerou. Nenhum site legítimo exigiria que você execute essas etapas.

Internet Explorer &Google Chrome - Instalando o certificado localmente

Nota: Mesmo que o Firefox não use o armazenamento de certificados nativos do Windows, isso ainda é uma etapa recomendada.

Copie o certificado que foi exportado do servidor( o arquivo PFX) para a máquina cliente ou assegure-se de estar disponível em um caminho de rede.

Abra o gerenciamento da loja de certificados local na máquina do cliente usando os mesmos passos que os anteriores. Você acabará por acabar em uma tela como a abaixo.

No lado esquerdo, expanda Certificates & gt;Autoridades de certificação raiz confiáveis. Clique com o botão direito na pasta Certificados e selecione Todas as tarefas & gt;Importar.

Selecione o certificado que foi copiado localmente para sua máquina.

Digite a senha de segurança atribuída quando o certificado foi exportado do servidor.

A loja "Autoridades de Certificação Raiz Confiáveis" deve ser pré-requisitada como destino. Clique em Avançar.

Revise as configurações e clique em Concluir.

Você deve ver uma mensagem de sucesso.

Atualize sua visão das Autoridades de Certificação Raiz Confiáveis ​​& gt;A pasta Certificados e você deve ver o certificado auto assinado do servidor listado na loja.

Um é feito, você deve navegar para um site HTTPS que usa esses certificados e não receber avisos nem avisos.

Firefox - Permitir Exceções

O Firefox lida com esse processo um pouco diferente, pois não lê informações de certificados da loja do Windows. Em vez de instalar certificados( per se), ele permite que você defina exceções para certificados SSL em sites específicos.

Quando você visita um site com um erro de certificado, você receberá um aviso como o abaixo. A área em azul nomeará o respectivo URL que você está tentando acessar. Para criar uma exceção para ignorar este aviso no respectivo URL, clique no botão Adicionar Exceção.

Na caixa de diálogo Adicionar exceção de segurança, clique em Confirmar exceção de segurança para configurar esta exceção localmente.

Observe que, se um site específico redirecionar para subdomínios dentro de si, você pode obter vários prompts de aviso de segurança( sendo o URL ligeiramente diferente cada vez).Adicione exceções para esses URLs usando os mesmos passos como acima.

Conclusão

Vale a pena repetir o aviso acima que você deve nunca instalar um certificado de segurança de uma fonte desconhecida. Na prática, você deve instalar um certificado localmente se você o gerou. Nenhum site legítimo exigiria que você execute essas etapas.

Links

Baixe o IIS 6.0 Resource Toolkit( inclui o utilitário SelfSSL) da Microsoft