IT Kaip sukurti „Self Signed Security“ (SSL) sertifikatą ir įdiegti jį „Client Machines“
Programuotojai ir IT administratoriai, be abejo, turi turėti tam tikrą svetainę per HTTPS, naudodami SSL sertifikatą. Nors šis procesas gamybos vietai yra gana paprastas, kūrimo ir bandymo tikslais čia taip pat gali prireikti naudoti SSL sertifikatą.
Kaip alternatyvą įsigyti ir atnaujinti metinį sertifikatą, galite pasinaudoti savo „Windows Server“ galimybe sukurti patys pasirašytą sertifikatą, kuris yra patogus, paprastas ir turėtų puikiai atitikti šiuos tipų poreikius.
Savarankiškai pasirašyto sertifikato sukūrimas IIS
Nors yra keli būdai, kaip atlikti savarankiškai pasirašyto sertifikato kūrimo užduotį, mes naudosime „Microsoft“ „SelfSSL“ programą. Deja, tai nepateikiama su IIS, tačiau ji yra laisvai prieinama kaip IIS 6.0 išteklių įrankių rinkinio dalis (nuoroda pateikiama šio straipsnio apačioje). Nepaisant pavadinimo „IIS 6.0“, ši programa veikia puikiai IIS 7.
Viskas, ko reikia, yra ištraukti IIS6RT, kad gautumėte „selfssl.exe“ įrankį. Iš čia galite nukopijuoti ją į „Windows“ katalogą arba tinklo kelią / USB diską, kad galėtumėte jį naudoti kitame įrenginyje (todėl nereikia atsisiųsti ir ištraukti viso „IIS6RT“).
Kai įdiegsite „SelfSSL“ įrankį, paleiskite šią komandą (kaip administratorių), pakeičiančią reikšmes:
selfssl / N: CN = / V:
Toliau pateiktame pavyzdyje pateikiamas savarankiškai pasirašytas „mydomain.com“ pakaitos simbolis ir jis galioja 9999 dienas. Be to, atsakydami į klausimą „taip“, šis sertifikatas automatiškai sukonfigūruojamas prisijungti prie 443 prievado, esančio „IIS“ numatytoje žiniatinklio svetainėje.
Nors šiuo metu sertifikatas yra paruoštas naudoti, jis saugomas tik asmeninėje sertifikato saugykloje serveryje. Geriausia yra, kad šis sertifikatas taip pat būtų nustatytas patikimoje šaknyje.
Eikite į Pradėti> Vykdyti (arba „Windows Key + R“) ir įveskite „mmc“. Galite gauti UAC užklausą, priimti ją ir atidaryti tuščią valdymo konsolę.
Konsolėje eikite į File> Add / Remove Snap-in.
Įtraukite sertifikatus iš kairės pusės.
Pasirinkite Kompiuterio paskyra.
Pasirinkite Vietinis kompiuteris.
Spustelėkite Gerai, jei norite peržiūrėti vietos sertifikato saugyklą.
Eikite į Asmeninis> Sertifikatai ir suraskite nustatytą sertifikatą naudodami „SelfSSL“ įrankį. Dešiniuoju pelės mygtuku spustelėkite sertifikatą ir pasirinkite Kopijuoti.
Eikite į patikimas šakninio sertifikavimo institucijas> Sertifikatai. Dešiniuoju pelės mygtuku spustelėkite aplanką Sertifikatai ir pasirinkite Įklijuoti.
Į sąrašą turėtų būti įtrauktas SSL sertifikato įrašas.
Šiuo metu jūsų serveris neturėtų problemų su savarankiškai pasirašytu sertifikatu.
Sertifikato eksportavimas
Jei ketinate pasiekti svetainę, kurioje naudojasi savarankiškai pasirašytas SSL sertifikatas bet kurioje kliento mašinoje (ty bet kuriame kompiuteryje, kuris nėra serveris), siekiant išvengti galimo sertifikato klaidų ir įspėjimų užpuolimo, savarankiškai pasirašytas sertifikatas turėtų būti įdiegtas kiekvienoje kliento mašinoje (kurią toliau išsamiai aptarsime). Norėdami tai padaryti, pirmiausia reikia eksportuoti atitinkamą sertifikatą, kad jį būtų galima įdiegti klientams.
Konsolės viduje, kai įkelta sertifikato tvarkyklė, pereikite prie patikimų šakninio sertifikavimo institucijų> Sertifikatai. Suraskite sertifikatą, dešiniuoju pelės mygtuku spustelėkite ir pasirinkite Visos užduotys> Eksportuoti.
Kai paraginama eksportuoti privatų raktą, pasirinkite Taip. Spustelėkite Next.
Palikite numatytąjį failo formato pasirinkimą ir spustelėkite Pirmyn.
Įveskite slaptažodį. Tai bus naudojama sertifikatui apsaugoti, o naudotojai negalės ją importuoti vietoje įvesdami šį slaptažodį.
Įveskite vietą, kurioje eksportuosite sertifikato failą. Jis bus PFX formatu.
Patvirtinkite nustatymus ir spustelėkite Baigti.
Gautas PFX failas yra tai, kas bus įdiegta jūsų kliento kompiuteriuose, kad jiems būtų pranešta, kad jūsų pasirašytas sertifikatas yra iš patikimo šaltinio.
Diegimas kliento mašinose
Kai sukūrėte sertifikatą serverio pusėje ir turėsite viską, galite pastebėti, kad kai kliento mašina prisijungia prie atitinkamo URL, rodomas sertifikato įspėjimas. Taip atsitinka todėl, kad sertifikato institucija (jūsų serveris) nėra patikimas kliento SSL sertifikatų šaltinis.
Galite spustelėti įspėjimus ir patekti į svetainę, tačiau galite gauti pakartotinius pranešimus kaip pažymėtą URL juostą arba pakartotinius įspėjimus apie sertifikatą. Kad išvengtumėte šio erzinimo, tiesiog reikia įdiegti pasirinktinį SSL saugos sertifikatą kliento mašinoje.
Priklausomai nuo naudojamo naršyklės, šis procesas gali skirtis. „IE“ ir „Chrome“ abu skaito iš „Windows“ sertifikato parduotuvės, tačiau „Firefox“ turi individualų saugos sertifikatų tvarkymo būdą.
Svarbi pastaba: Tu turėtum niekada įdiegti saugumo sertifikatą iš nežinomo šaltinio. Praktikoje sertifikatą reikia įdiegti tik vietoje, jei jį sukūrėte. Nė viena teisėta svetainė jums nereikėtų atlikti šių veiksmų.
„Internet Explorer“ ir „Google Chrome“ - sertifikato diegimas vietoje
Pastaba: nors „Firefox“ nenaudoja „Windows“ sertifikato saugyklos, tai vis tiek yra rekomenduojamas žingsnis.
Nukopijuokite sertifikatą, kuris buvo eksportuotas iš serverio (PFX failo) į kliento mašiną, arba įsitikinkite, kad jis yra prieinamas tinklo kelyje.
Atidarykite vietinio sertifikato saugyklos valdymą kliento mašinoje, naudodami tuos pačius veiksmus kaip ir anksčiau. Galų gale baigsite tokį ekraną, kaip ir toliau.
Kairėje pusėje išskleiskite Sertifikatai> Patikimos šaknų sertifikavimo institucijos. Dešiniuoju pelės mygtuku spustelėkite aplanką Sertifikatai ir pasirinkite Visos užduotys> Importuoti.
Pasirinkite sertifikatą, kuris buvo kopijuojamas į jūsų kompiuterį.
Įveskite saugos slaptažodį, priskirtą, kai sertifikatas buvo eksportuotas iš serverio.
Parduotuvė „Patikimos šaknų sertifikavimo institucijos“ turėtų būti užpildyta kaip paskirties vieta. Spustelėkite Next.
Peržiūrėkite nustatymus ir spustelėkite Baigti.
Turėtumėte matyti sėkmės pranešimą.
Atnaujinkite patikimų šaknų sertifikavimo institucijų> sertifikatų aplanko vaizdą ir turėtumėte matyti serverio pasirašytą sertifikatą, įrašytą parduotuvėje.
Tai daroma, turėtumėte turėti galimybę naršyti į HTTPS svetainę, kurioje naudojami šie sertifikatai, ir nesulaukia įspėjimų ar raginimų.
„Firefox“ - leidžiančios išimtys
„Firefox“ tvarko šį procesą šiek tiek kitaip, nes neskaito sertifikato informacijos iš „Windows“ parduotuvės. Užuot įdiegę sertifikatus (per se), galite nustatyti SSL sertifikatų išimtis konkrečiose svetainėse.
Kai lankotės svetainėje, kurioje yra sertifikavimo klaida, gausite tokį įspėjimą kaip ir toliau. Mėlyna spalva nurodys atitinkamą URL, kurį bandote pasiekti. Jei norite sukurti išimtį, kad apeitumėte šį įspėjimą atitinkamame URL, spustelėkite mygtuką Pridėti išimtį.
Dialogo lange Įtraukti saugos išimtį spustelėkite parinktį Patvirtinti saugumo išimtį, jei norite konfigūruoti šią išimtį vietoje.
Atminkite, kad jei tam tikra svetainė peradresuoja į pačius domenus, galite gauti kelis saugos įspėjimus (kai URL yra šiek tiek skiriasi kiekvieną kartą). Pridėkite tų URL adresų išimtis naudodami tuos pačius veiksmus kaip ir anksčiau.
Išvada
Verta kartoti anksčiau pateiktą pranešimą niekada įdiegti saugumo sertifikatą iš nežinomo šaltinio. Praktikoje sertifikatą reikia įdiegti tik vietoje, jei jį sukūrėte. Nė viena teisėta svetainė jums nereikėtų atlikti šių veiksmų.
Nuorodos
Atsisiųskite „IIS 6.0 Resource Toolkit“ (įskaitant „SelfSSL“ įrankį) iš „Microsoft“