31Aug
Utvecklare och IT-administratörer har utan tvekan behov av att distribuera en webbplats via HTTPS med ett SSL-certifikat. Medan denna process är ganska enkel för en produktionsplats, kan du med hjälp av ett SSL-certifikat här med tanke på utveckling och provning också behöva använda ett SSL-certifikat.
Som ett alternativ till inköp och förnyelse av ett årligt certifikat kan du utnyttja din Windows Server förmåga att skapa ett självtecknat certifikat som är bekvämt, enkelt och bör uppfylla dessa typer av behov perfekt.
Skapa ett självtecknat certifikat på IIS
Även om det finns flera sätt att uppnå uppgiften att skapa ett självtecknat certifikat använder vi SelfSSL-verktyget från Microsoft. Tyvärr skickas inte detta med IIS men det är fritt tillgängligt som en del av IIS 6.0 Resource Toolkit( länk som finns längst ner i den här artikeln).Trots namnet "IIS 6.0" fungerar det här verktyget bara bra i IIS 7.
Allt som krävs är att extrahera IIS6RT för att få verktyget selfssl.exe. Härifrån kan du kopiera den till din Windows-katalog eller en nätverksväg / USB-enhet för framtida användning på en annan maskin( så du behöver inte ladda ner och extrahera hela IIS6RT).
När du har SelfSSL-verktyget på plats, kör följande kommando( som administratör) som ersätter värdena i & lt; & gt;i förekommande fall:
selfssl /N:CN=<your.domain.com>/ V: & lt; antal giltiga dagar & gt;
Exemplet nedan ger ett självtecknat wildcard-certifikat mot "mydomain.com" och anger att det är giltigt i 9,999 dagar. Vidare, genom att svara ja till prompten, är detta certifikat automatiskt konfigurerat att binda till port 443 på IIS-standardwebbplatsen.
Även om certifikatet vid denna tidpunkt är färdigt att använda, lagras det endast i den personliga certifikatbutiken på servern. Det är en bra praxis att också ha detta certifikat i den betrodda roten också.
Gå till Start & gt;Kör( eller Windows-tangent + R) och skriv in "mmc".Du kan få en UAC-prompt, acceptera den och en tom hanteringskonsol öppnas.
I konsolen, gå till File & gt;Lägg till / ta bort Snap-in.
Lägg till certifikat från vänster sida.
Välj Datorkonto.
Välj Lokal dator.
Klicka på OK för att visa Local Certificate Store.
Navigera till Personlig & gt;Certifikat och leta upp certifikatet du installerade med SelfSSL-verktyget. Högerklicka på certifikatet och välj Kopiera.
Navigera till betrodda rotcertifieringsmyndigheter & gt;Certifikat. Högerklicka på mappen Certifikat och välj Klistra in.
En post för SSL-certifikatet ska visas i listan.
Vid denna tidpunkt ska din server inte ha några problem med att arbeta med det självtecknade certifikatet.
Exportera certifikatet
Om du ska komma åt en webbplats som använder det självtecknade SSL-certifikatet på vilken klientmaskin som helst( dvs. vilken dator som inte är servern), för att undvika ett eventuellt intrång i certifikatsfel och varningar självUndertecknat certifikat ska installeras på var och en av klientmaskinerna( som vi kommer att diskutera i detalj nedan).För att göra detta måste vi först exportera respektive certifikat så att det kan installeras på klienterna.
Inne i konsolen med certifikathanteringen laddad, navigera till Trusted Root Certification Authorities & gt;Certifikat. Leta upp certifikatet, högerklicka och välj Alla uppdrag & gt;Exportera.
När du uppmanas att exportera den privata nyckeln väljer du Ja. Klicka på Nästa.
Lämna standardvalen för filformatet och klicka på Nästa.
Ange ett lösenord. Detta kommer att användas för att skydda certifikatet och användare kan inte importera det lokalt utan att skriva in det här lösenordet.
Ange en plats för att exportera certifikatfilen. Det kommer att finnas i PFX-format.
Bekräfta dina inställningar och klicka på Slutför.
Den resulterande PFX-filen är det som kommer att installeras på dina klientmaskiner för att berätta för dig att ditt självtecknade certifikat är från en betrodd källa.
Utplacering till klientmaskiner
När du har skapat certifikatet på serverns sida och har allt som fungerar kan du märka att när en klientmaskin ansluter till respektive webbadress visas en certifikatvarning. Detta händer eftersom certifikatmyndigheten( din server) inte är en pålitlig källa för SSL-certifikat på klienten.
Du kan klicka igenom varningarna och komma åt webbplatsen, men du kan få upprepade meddelanden i form av en markerad URL-bar eller upprepade certifikatvarningar. För att undvika denna irritation behöver du bara installera det anpassade SSL-säkerhetscertifikatet på klientmaskinen.
Beroende på vilken webbläsare du använder kan denna process variera. IE och Chrome läser båda från Windows-certifikatbutiken, men Firefox har en anpassad metod för hantering av säkerhetscertifikat.
Viktig anmärkning: Du bör aldrig installera ett säkerhetscertifikat från en okänd källa. I praktiken bör du bara installera ett certifikat lokalt om du genererade det. Ingen legitim webbplats kräver att du utför dessa steg.
Internet Explorer &Google Chrome - Installera certifikatet lokalt
Obs! Även om Firefox inte använder den inbyggda Windows-certifikatbutiken är detta fortfarande ett rekommenderat steg.
Kopiera certifikatet som exporterades från servern( PFX-filen) till klientmaskinen eller se till att den är tillgänglig i en nätverksväg.
Öppna den lokala certifikataffärshanteringen på klientmaskinen med exakt samma steg som ovan. Du kommer så småningom att hamna på en skärm som den nedan.
På vänster sida, expandera Certifikat & gt;Betrodda rotcertifikatutfärdare. Högerklicka på mappen Certifikat och välj Alla uppdrag & gt;Importera.
Välj det certifikat som kopierades lokalt till din maskin.
Ange säkerhetslösenordet som tilldelats när certifikatet exporterades från servern.
Butiken "Trusted Root Certification Authorities" bör fyllas i som destination. Klicka på Nästa.
Granska inställningarna och klicka på Slutför.
Du bör se ett framgångsrikt meddelande.
Uppdatera din syn på certifieringsmyndigheterna med tillförlitliga rötter & gt;Certifikatmapp och du bör se serverns självtecknade certifikat som finns i butiken.
Ett sådant är gjort, du borde kunna bläddra till en HTTPS-webbplats som använder dessa certifikat och får inga varningar eller uppmaningar.
Firefox - tillåter undantag
Firefox hanterar denna process lite annorlunda eftersom den inte läser certifikatinformation från Windows-butiken. I stället för att installera certifikat( per-se) kan du definiera undantag för SSL-certifikat på vissa webbplatser.
När du besöker en webbplats som har ett certifikatfel får du en varning som den nedan. Området i blått kommer att namnge respektive webbadress du försöker komma åt. För att skapa ett undantag för att kringgå denna varning på respektive URL, klicka på knappen Lägg till undantag.
Klicka på Bekräfta säkerhetsundantag i dialogrutan Lägg till säkerhetsundantag för att konfigurera detta undantag lokalt.
Observera att om en viss webbplats omdirigeras till underdomäner inom sig själv, kan du få flera säkerhetsvarningsanvisningar( med URL-adressen något annorlunda varje gång).Lägg till undantag för de webbadresserna med samma steg som ovan.
Slutsats
Det är värt att upprepa meddelandet ovan att du ska aldrig installera ett säkerhetscertifikat från en okänd källa. I praktiken bör du bara installera ett certifikat lokalt om du genererade det. Ingen legitim webbplats kräver att du utför dessa steg.
Länkar
Hämta IIS 6.0 Resource Toolkit( innehåller SelfSSL-verktyg) från Microsoft