31Aug
Vývojári a IT administrátori nepochybne potrebujú nasadiť niektoré webové stránky prostredníctvom protokolu HTTPS pomocou certifikátu SSL.Zatiaľ čo tento proces je pre výrobnú lokalitu dosť jednoduchý, na účely vývoja a testovania môžete nájsť tu aj potrebu použiť certifikát SSL.
Ako alternatívu k nákupu a obnovovaniu ročného certifikátu môžete využiť schopnosť systému Windows Server generovať certifikát s vlastným podpisom, ktorý je pohodlný a jednoduchý a mal by spĺňať tieto typy potrieb dokonale.
Vytvorenie certifikátu s vlastným podpisom v službe IIS
Aj keď existuje niekoľko spôsobov, ako splniť úlohu vytvorenia certifikátu s vlastným podpisom, použijeme nástroj SelfSSL od spoločnosti Microsoft. Bohužiaľ, toto nie je dodávané so službou IIS, ale je voľne k dispozícii ako súčasť nástroja IIS 6.0 Resource Toolkit( odkaz uvedený v spodnej časti tohto článku).Napriek názvu "IIS 6.0" tento nástroj funguje v IIS 7 v pohode.
Všetko, čo je potrebné, je extrahovať IIS6RT a získať nástroj selfssl.exe. Odtiaľ ho môžete skopírovať do adresára systému Windows alebo do sieťovej cesty / USB disku pre budúce použitie na inom počítači( takže nemusíte stahovať a extrahovať úplný IIS6RT).
Keď už máte nástroj SelfSSL, spustite nasledujúci príkaz( ako správca), ktorý nahradí hodnoty v & lt; & gt;podľa potreby:
selfssl /N:CN=<yourdomain.com>/ V: Nasledujúci príklad vytvára vlastný podpísaný zástupný certifikát proti "mydomain.com" a nastaví ho na 9999 dní.Okrem toho odpovedaním áno na výzvu je tento certifikát automaticky nakonfigurovaný tak, aby sa viazal na port 443 vnútri predvolenej webovej lokality IIS. Zatiaľ čo je certifikát v tomto okamihu pripravený na použitie, je uložený iba na úložisku osobných certifikátov na serveri. Je najlepšou praxou mať aj tento certifikát nastavený v dôveryhodnom koreňu. Prejdite na Štart & gt;Run( alebo Windows Key + R) a zadajte "mmc".Môžete dostať výzvu nástroja UAC, prijať ho a otvorí sa prázdna konzola na správu. V konzole prejdite na položku Súbor & gt;Pridať / odstrániť modul Snap-in. Pridať certifikáty z ľavej strany. Vyberte účet počítača. Vyberte lokálny počítač. Kliknutím na tlačidlo OK zobrazíte úložisko miestnych certifikátov. Prejdite na položku Osobné & gt;Certifikáty a vyhľadajte certifikát, ktorý ste nastavili pomocou pomôcky SelfSSL.Kliknite pravým tlačidlom na certifikát a vyberte možnosť Kopírovať. Prejdite na Trusted Root Certification Authorities & gt;Certifikáty. Kliknite pravým tlačidlom na priečinok Certifikáty a vyberte možnosť Prilepiť. V zozname by sa mala nachádzať položka pre certifikát SSL. V tomto bode by váš server nemal mať žiadne problémy s prácou s certifikátom s vlastným podpisom. Ak chcete pristupovať k stránkam, ktoré používajú certifikát SSL s vlastným podpisom, na akomkoľvek klientskom počítači( tj akýkoľvek počítač, ktorý nie je serverom), aby sa zabránilo možnému náporu chýb certifikátov a upozornení,podpísaný certifikát by mal byť nainštalovaný na každom klientskom počítači( o ktorom budeme podrobnejšie diskutovať nižšie).Ak to chcete urobiť, najprv musíte exportovať príslušný certifikát, aby ho bolo možné nainštalovať na klientov. Vnútri konzoly s načítaním správy certifikátov prejdite na Trusted Root Certification Authorities & gt;Certifikáty. Vyhľadajte certifikát, kliknite pravým tlačidlom myši a vyberte položku Všetky úlohy & gt;Export. Po výzve na export súkromného kľúča vyberte možnosť Áno. Kliknite na tlačidlo Ďalej. Ponechajte predvolené výbery pre formát súboru a kliknite na tlačidlo Ďalej. Zadajte heslo. Toto sa použije na ochranu certifikátu a používatelia ho nebudú môcť lokálne importovať bez zadania tohto hesla. Zadajte umiestnenie na export súboru s certifikátom. Bude vo formáte PFX. Potvrďte svoje nastavenia a kliknite na tlačidlo Dokončiť. Výsledný súbor PFX je to, čo bude nainštalované do vašich klientských počítačov, aby ste im povedali, že váš certifikát s vlastným podpisom pochádza z dôveryhodného zdroja. Akonáhle vytvoríte certifikát na strane servera a všetko funguje, môžete si všimnúť, že keď sa klientske zariadenie pripája k príslušnej adrese URL, zobrazí sa upozornenie na certifikát. Stáva sa to preto, že certifikačná autorita( váš server) nie je dôveryhodným zdrojom certifikátov SSL v klientovi. Môžete kliknúť na upozornenia a pristupovať na stránku, avšak môžete získať opakované upozornenia vo forme zvýraznenej lišty URL alebo opakovaných upozornení na certifikáty. Aby ste sa vyhli tejto nepríjemnosti, jednoducho musíte na klientskom počítači nainštalovať vlastný certifikát zabezpečenia SSL. V závislosti od prehliadača, ktorý používate, sa tento proces môže líšiť.IE a prehliadač Chrome čítajú z obchodu s certifikátmi systému Windows, avšak Firefox má vlastnú metódu na spracovanie bezpečnostných certifikátov. Dôležitá poznámka: by ste nikdy nemali nainštalovať bezpečnostný certifikát z neznámeho zdroja. V praxi by ste mali nainštalovať certifikát lokálne iba ak ste ho vygenerovali.Žiadna legitímna webová stránka by nevyžadovala, aby ste vykonali tieto kroky. Poznámka: Aj keď Firefox nepoužíva úložisko certifikátov natívneho systému Windows, je to stále odporúčaný krok. Skopírujte certifikát, ktorý bol exportovaný zo servera( súbor PFX) do klientskeho počítača, alebo uistite sa, že je dostupný v sieťovej ceste. Otvorte správu lokálneho certifikátu úložiska na klientskom počítači pomocou rovnakých krokov ako vyššie. Nakoniec skončíte na obrazovke, ako je nižšie. Na ľavej strane rozbaľte položku Certifikáty & gt;Dôveryhodné koreňové certifikačné autority. Kliknite pravým tlačidlom na priečinok Certifikáty a vyberte položku Všetky úlohy & gt;Import. Vyberte certifikát, ktorý bol lokálne skopírovaný do vášho zariadenia. Zadajte bezpečnostné heslo pridelené pri vývoze certifikátu zo servera. Úložisko "Dôveryhodné koreňové certifikačné úrady" by malo byť naplnené ako miesto určenia. Kliknite na tlačidlo Ďalej. Skontrolujte nastavenia a kliknite na tlačidlo Dokončiť. Mali by ste vidieť správu o úspechu. Obnovte svoj pohľad na dôveryhodné koreňové certifikačné autority & gt;Certifikáty a mali by ste vidieť certifikát servera, ktorý je uvedený v obchode. Jeden sa to robí, mali by ste byť schopní prechádzať na webovú stránku HTTPS, ktorá používa tieto certifikáty a nedostáva žiadne upozornenia alebo výzvy. Firefox spracuje tento proces trochu inak, pretože nečíta informácie o certifikátoch z obchodu Windows. Namiesto inštalácie certifikátov( per-se) vám umožňuje definovať výnimky pre certifikáty SSL na konkrétnych stránkach. Keď navštívite stránku, ktorá má chybu certifikátu, dostanete upozornenie, ako je uvedené nižšie. Modrá oblasť pomenuje príslušnú webovú adresu, ku ktorej sa pokúšate pristupovať.Ak chcete vytvoriť výnimku, aby ste vynechali toto upozornenie na príslušnej adrese URL, kliknite na tlačidlo Pridať výnimku. V dialógovom okne Pridanie zabezpečenia výnimky kliknite na položku Potvrdiť výnimku zabezpečenia, aby ste túto výnimku lokálne nakonfigurovali. Všimnite si, že ak konkrétna lokalita presmeruje na subdomény z vnútra jej samotného, môžete získať viaceré výzvy na upozornenie na zabezpečenie( vždy keď sa adresa URL mierne líši).Pridanie výnimiek pre tieto adresy URL pomocou rovnakých krokov ako vyššie. Stojí za to opakovať vyššie uvedené oznámenie, že by nikdy nemal inštalovať bezpečnostný certifikát z neznámeho zdroja. V praxi by ste mali nainštalovať certifikát lokálne iba ak ste ho vygenerovali.Žiadna legitímna webová stránka by nevyžadovala, aby ste vykonali tieto kroky. Stiahnuť nástroj IIS 6.0 Resource Toolkit( obsahuje nástroj SelfSSL) od spoločnosti Microsoft Export certifikátu
Nasadenie do klientských počítačov
Internet Explorer &Google Chrome - inštalácia certifikátu lokálne
Firefox - povolenie výnimiek
Záver
Odkazy