31Aug
Развојни и ИТ администратори без сумње имају потребу за постављањем неке веб странице путем ХТТПС-а користећи ССЛ сертификат.Иако је овај процес прилично једноставан за производну локацију, у сврху развоја и тестирања можете пронаћи потребу за кориштењем ССЛ цертификата и овдје.
Као алтернатива куповини и обнављању годишњег сертификата, можете искористити способност Виндовс Сервера да генерише сам потписани сертификат који је згодан, једноставан и савршено одговара овим врстама потреба.
Стварање самоподписаног сертификата на ИИС
Иако постоји неколико начина за остваривање задатка креирања самог потписаног сертификата, ми ћемо користити Мицрософт СелфССЛ услужни програм.Нажалост, ово се не шаље са ИИС-ом, али је слободно доступно као део ИИС 6.0 Ресоурце Тоолкит-а( линк наведен на дну овог чланка).Упркос називу "ИИС 6.0" овај услужни програм добро функционише у ИИС-у 7.
Све што је потребно је да извучете ИИС6РТ да бисте добили помоћ селфссл.еке.Одавде можете копирати у ваш Виндовс директоријум или мрежни пут / УСБ драјв за будућу употребу на другој машини( тако да не морате да преузимате и извадите комплетну ИИС6РТ).
Када имате услужни програм СелфССЛ на свом месту, покрените следећу команду( као администратор) која замењује вредности у & лт; & гт;по потреби:
селфссл /Н:ЦН=&лт;иоур.домаин.цом&гт;/ В: број важећих дана & гт;
Пример који следи производи самопокренути цертификат са дијалогом против "мидомаин.цом" и поставља да важи за 9.999 дана.Поред тога, одговором да на позив, овај сертификат се аутоматски конфигурише да се везује за порт 443 унутар подразумеване Веб локације ИИС-а.
Док је у овом тренутку сертификат спреман за коришћење, он се чува само у личном сертификату сертификата на серверу.Најбоља је пракса да овај цертификат буде постављен иу поузданом корену.
Иди на Старт & гт;Рун( или Виндовс Кеи + Р) и унесите "ммц".Можете добити УАЦ позив, прихватити је и отворити празну конзолу за менаџмент.
У конзоли идите на Филе & гт;Додај / уклони Снап-ин.
Додајте сертификате са леве стране.
Изаберите Цомпутер аццоунт.
Изаберите Локални рачунар.
Кликните на дугме У реду да бисте приказали спремиште Локалног сертификата.
Пређите на Персонал & гт;Сертификате и лоцирајте сертификат који сте подесили помоћу услужног програма СелфССЛ.Кликните десним тастером миша на сертификат и изаберите Копирај.
Пређите до ауторитета за поуздане корене цертификације & гт;Сертификати.Кликните десним тастером миша на фасциклу Сертификати и изаберите Пасте.
Ставка за ССЛ сертификат треба да се појави на листи.
У овом тренутку ваш сервер не би требао имати проблема са самопотписаним сертификатом.
Извоз цертификата
Ако ћете приступити веб локацији која користи сам потписани ССЛ сертификат на било којој машини клијента( тј. Сваки рачунар који није сервер), како би се избјегао потенцијални напад на грешке сертификата и упозорења,потписани сертификат треба да буде инсталиран на свакој од клијентских машина( о чему ћемо детаљније размотрити у наставку).Да би то урадили, прво морамо да извеземо одговарајући сертификат како би га могли инсталирати на клијенте.
Унутар конзоле са учитаним управљањем цертификата, пређите на Трустед Роот Цертифицатион Аутхоритиес & гт;Сертификати.Пронађите цертификат, кликните десним тастером миша и изаберите Сви задаци>Извоз.
Када се од вас затражи да извезете приватни кључ, изаберите Да.Кликните на дугме Даље.
Оставите подразумеване изборе за формат датотеке и кликните на Даље.
Унесите лозинку.Ово ће се користити за заштиту сертификата и корисници неће моћи да га импортирају локално без уноса ове лозинке.
Унесите локацију за извоз датотеке сертификата.То ће бити у ПФКС формату.
Потврдите подешавања и кликните на Заврши.
Добијени ПФКС фајл је оно што ће бити инсталирано на ваше машине за клијенте како би им рекли да је ваш самопотписани цертификат из поузданог извора.
Деплоиинг то Цлиент Мацхинес
Када сте створили сертификат на страни сервера и имате све што радите, можете приметити да када се клијентска машина повезује са одговарајућим УРЛ-јем, приказује се упозорење сертификата.Ово се дешава јер ауторитет сертификата( ваш сервер) није поуздани извор за ССЛ сертификате на клијенту.
Можете да кликнете кроз упозорења и приступите страници, међутим можете добити поновљена обавештења у облику означене траке УРЛ-ова или поновити упозорења за сертификате.Да бисте избегли ову непријатност, једноставно морате инсталирати прилагођени ССЛ сигурносни сертификат на машини клијента.
У зависности од претраживача који користите, овај процес може да варира.ИЕ и Цхроме су читали из продавнице Виндовс цертификата, иако Фирефок има прилагођени начин управљања сигурносним сертификатима.
Важна напомена: Требало би да никада не инсталира сигурносни сертификат из непознатог извора.У пракси, требало би да инсталирате сертификат само ако сте га генерирали.Ниједна легитимна веб страница не захтева од вас да извршите ове кораке.
Интернет Екплорер & амп;Гоогле Цхроме - Инсталирање сертификата локално
Напомена: Иако Фирефок не користи изворну продавницу сертификата Виндовс, ово је и даље препоручени корак.
Копирајте сертификат који је извезен са сервера( ПФКС датотека) на клијентску машину или осигурати да је доступан у мрежној стази.
Отворите менаџмент локалних продавница цертификата на клијентској машини користећи исте кораке као горе.На крају ћете завршити на екрану као што је он доле.
Са леве стране проширите Цертификате & гт;Органи поузданог коријеног сертификовања.Десни клик на фасциклу Сертификати и изаберите Алл Таскс & гт;Увоз.
Изаберите сертификат који је копиран локално на вашу машину.
Унесите лозинку за безбедност додељену када је сертификат извезен са сервера.
Продавница "Трустед Роот Цертифицатион Аутхоритиес" требало би да буде напуњена као одредиште.Кликните на дугме Даље.
Прегледајте подешавања и кликните на Заврши.
Требало би да видите поруку о успеху.
Освежите свој преглед над органима поузданог коријеног цертифицирања & гт;Фасцикле сертификата и требали бисте да видите самопотписани цертификат сервера који је наведен у продавници.
Један је ово учињено, требали бисте бити у могућности претраживати ХТТПС сајт који користи ове сертификате и не примају никаква упозорења или упутства.
Фирефок - Омогућавање изузетака
Фирефок обрађује овај процес мало другачије јер не прочита информације о сертификату из Виндовс продавнице.Уместо инсталирања сертификата( пер-се), он вам омогућава да дефинишете изузетке за ССЛ сертификате на одређеним локацијама.
Када посјетите страницу која има грешку сертификата, добићете упозорење слично доле.Подручје у плавом именуће одговарајућу УРЛ адресу коју покушавате да приступите.Да бисте направили изузетак да бисте заобилажили ово упозорење на одговарајућем УРЛ-у, кликните на дугме Додај изузеће.
У дијалогу Адд Сецурити Екцептион изаберите Цонфирм Сецурити Екцептион да конфигуришете овај изузетак локално.
Имајте на уму да ако одређена страница преусмери на поддомене из себе, можете добити више упозорења упозорења( са УРЛ-ом која се мало разликује сваки пут).Додајте изузетке за те УРЛ-ове користећи исте кораке као горе.
Закључак
Важно је поновити обавештење изнад да никада никада не инсталира сигурносни сертификат из непознатог извора.У пракси, требало би да инсталирате сертификат само ако сте га генерирали.Ниједна легитимна веб страница не захтева од вас да извршите ове кораке.
Линкови
Преузмите ИИС 6.0 Ресоурце Тоолкит( укључује СелфССЛ услужни програм) из Мицрософт