31Aug
Dezvoltatorii și administratorii IT au, fără îndoială, necesitatea de a implementa un anumit site prin HTTPS utilizând un certificat SSL.În timp ce acest proces este destul de simplu pentru un site de producție, în scopul dezvoltării și testării, puteți găsi necesitatea de a folosi și un certificat SSL aici.
Ca alternativă la achiziționarea și reînnoirea unui certificat anual, aveți posibilitatea să utilizați capacitatea Windows Server de a genera un certificat cu auto-semnare, care este convenabil, ușor și ar trebui să satisfacă perfect aceste tipuri de nevoi.
Crearea unui certificat de auto-semnare pe IIS
În timp ce există mai multe modalități de a realiza sarcina de a crea un certificat auto-semnat, vom folosi utilitarul SelfSSL de la Microsoft. Din păcate, acest lucru nu este livrat cu IIS, dar este disponibil în mod liber ca parte a IIS 6.0 Resource Toolkit( link-ul furnizat în partea de jos a acestui articol).În ciuda numelui "IIS 6.0", această utilitate funcționează foarte bine în IIS 7.
Tot ceea ce este necesar este să extrageți IIS6RT pentru a obține utilitarul selfssl.exe. De aici puteți să o copiați în directorul Windows sau pe o cale de rețea / unitate USB pentru o utilizare ulterioară pe o altă mașină( deci nu trebuie să descărcați și să extrageți IIS6RT complet).
După ce ați instalat utilitarul SelfSSL, executați următoarea comandă( ca Administrator) înlocuind valorile în & lt; & gt;după caz:
selfssl /N:CN=<yourdomain.com>/ V:
Exemplul de mai jos produce un certificat de semnătură cu semn de semnătură împotriva "mydomain.com" și îl stabilește pentru a fi valabil timp de 9999 de zile.În plus, răspunzând da la prompt, acest certificat este configurat automat să se lege de portul 443 din Site-ul Web implicit al IIS.
În timp ce în acest moment certificatul este gata de utilizare, acesta este stocat numai în magazinul personal de certificate de pe server. Este o bună practică să aveți și acest certificat setat și în rădăcina de încredere.
Mergeți la Start & gt;Rulați( sau Windows Key + R) și introduceți "mmc".Este posibil să primiți un prompt UAC, acceptați-l și o consolă de administrare goală se va deschide.
În consolă, accesați Fișier & gt;Adăugați / eliminați modul snap-in.
Adaugă certificate din partea stângă.
Selectați Cont computer.
Selectați Computer local.
Faceți clic pe OK pentru a vizualiza magazinul Local Certificate.
Navigați la Personal & gt;Certificate și găsiți certificatul pe care îl configurați utilizând utilitarul SelfSSL.Faceți clic dreapta pe certificat și selectați Copiere.
Navigați la Autoritățile de certificare a autorităților de încredere & gt;Certificate. Faceți clic dreapta pe dosarul Certificate și selectați Paste.
O intrare pentru certificatul SSL ar trebui să apară în listă.
În acest moment, serverul dvs. ar trebui să nu aibă probleme de a lucra cu certificatul de auto-semnare.
Exportul certificatului
Dacă intenționați să accesați un site care utilizează certificatul SSL cu auto-semnare pe orice mașină client( adică orice computer care nu este serverul), pentru a evita un potențial atac de erori și avertismente ale certificatului,certificatul semnat trebuie să fie instalat pe fiecare mașină client( pe care o vom discuta în detaliu mai jos).Pentru a face acest lucru, trebuie mai întâi să exportăm certificatul respectiv, astfel încât acesta să poată fi instalat pe clienți.
În interiorul consolei încărcate cu Certificatul de gestionare încărcat, navigați la Autoritățile de certificare a autorităților de încredere & gt;Certificate. Găsiți certificatul, dați clic dreapta și selectați Toate sarcinile & gt;Export.
Când vi se solicită să exportați cheia privată, selectați Da. Faceți clic pe Următorul.
Lăsați selecțiile implicite pentru formatul de fișier și faceți clic pe Următorul.
Introduceți o parolă.Acest lucru va fi folosit pentru a proteja certificatul și utilizatorii nu vor putea să-l importe la nivel local fără a introduce această parolă.
Introduceți o locație pentru a exporta fișierul de certificat. Va fi în format PFX.
Confirmați setările și faceți clic pe Terminare.
Fișierul PFX rezultat este ceea ce va fi instalat pe mașinile dvs. client pentru a le spune că certificatul dvs. semnat de sine este dintr-o sursă de încredere.
Implementarea la mașinile client
După ce ați creat certificatul pe partea de server și ați lucrat totul, este posibil să observați că atunci când o mașină client se conectează la respectiva adresă URL, este afișat un avertisment privind certificatul. Acest lucru se întâmplă deoarece autoritatea de certificare( serverul dvs.) nu este o sursă de încredere pentru certificatele SSL pe client.
Puteți să faceți clic pe avertismente și să accesați site-ul, totuși puteți primi notificări repetate sub forma unei bare URL sau a avertismentelor repetate. Pentru a evita această neplăcere, pur și simplu trebuie să instalați certificatul de securitate SSL personalizat pe mașina client.
În funcție de browserul pe care îl utilizați, acest proces poate varia. IE și Chrome au citit atât de la magazinul de certificate Windows, însă Firefox are o metodă personalizată de gestionare a certificatelor de securitate.
Notă importantă: Ar trebui să nu instaleze niciodată un certificat de securitate dintr-o sursă necunoscută.În practică, ar trebui să instalați un certificat local doar dacă l-ați generat. Nici un site web legitim nu ar necesita efectuarea acestor pași.
Internet Explorer &Google Chrome - Instalarea certificatului local
Notă: Chiar dacă Firefox nu utilizează magazinul de certificate Windows nativ, acesta este încă un pas recomandat.
Copiați certificatul care a fost exportat de pe server( fișierul PFX) la mașina client sau asigurați-vă că este disponibil într-o cale de rețea.
Deschideți gestionarea magazinului local de certificate pe mașina client utilizând exact aceiași pași ca mai sus.În cele din urmă, veți ajunge pe un ecran ca cel de mai jos.
În partea stângă, extindeți Certificatele & gt;Autoritățile de certificare a rădăcinilor de încredere. Faceți clic dreapta pe dosarul Certificate și selectați Toate sarcinile & gt;Import.
Selectați certificatul copiat local pe aparat.
Introduceți parola de securitate atribuită când certificatul a fost exportat de pe server.
Magazinul "Autorități de certificare a rădăcinilor de încredere" trebuie să fie pre-încărcat ca destinație. Faceți clic pe Următorul.
Examinați setările și faceți clic pe Terminare.
Ar trebui să vedeți un mesaj de succes.
Actualizați-vă opinia autorităților de certificare a principalelor certificate de încredere & gt;Certificat și ar trebui să vedeți certificatul de auto-semnare al serverului menționat în magazin.
Unul este făcut, ar trebui să puteți naviga către un site HTTPS care utilizează aceste certificate și nu primește avertismente sau solicitări.
Firefox - Permiterea excepțiilor
Firefox gestionează acest proces un pic diferit, deoarece nu citește informațiile despre certificatele din magazinul Windows.În loc să instalați certificate( per-se), vă permite să definiți excepții pentru certificate SSL pe anumite site-uri.
Când vizitați un site care are o eroare de certificat, veți primi un avertisment ca cel de mai jos. Zona în albastru va numi adresa URL pe care încercați să o accesați. Pentru a crea o excepție pentru a ocoli acest avertisment pe respectiva adresă URL, faceți clic pe butonul Adăugați excepția.
În dialogul Adăugare securitate excepție, faceți clic pe Confirmare excepție de securitate pentru a configura această excepție local.
Rețineți că dacă un anumit site redirecționează către subdomenii din interiorul său, puteți primi mai multe solicitări de avertizare privind securitatea( cu adresarea URL ușor diferită de fiecare dată).Adăugați excepții pentru acele adrese URL utilizând aceiași pași ca mai sus.
Concluzie
Merită repetată nota de mai sus că ar trebui să nu instalați niciodată un certificat de securitate dintr-o sursă necunoscută.În practică, ar trebui să instalați un certificat local doar dacă l-ați generat. Nici un site web legitim nu ar necesita efectuarea acestor pași.
Linkuri
Descărcați IIS 6.0 Resource Toolkit( include utilitarul SelfSSL) de la Microsoft