If-Koubou

IT: Kā izveidot pašdarināts drošības (SSL) sertifikātu un izvietot to klienta aparātiem

IT: Kā izveidot pašdarināts drošības (SSL) sertifikātu un izvietot to klienta aparātiem (Kā)

Izstrādātājiem un IT administratoriem, bez šaubām, ir jāizvieto daži tīmekļa vietni, izmantojot HTTPS, izmantojot SSL sertifikātu. Lai gan šis process ir diezgan vienkāršs attiecībā uz ražošanas vietu, izstrādes un testēšanas nolūkos, iespējams, ir jāizmanto arī SSL sertifikāts.

Kā alternatīva gada sertifikāta iegādei un atjaunošanai, varat izmantot savu Windows servera spēju radīt pašparakstītu sertifikātu, kas ir ērti, viegli un vajadzētu pilnīgi apmierināt šāda veida vajadzības.

Mana parakstītā sertifikāta izveide IIS

Lai gan ir vairāki veidi, kā izpildīt uzdevumu izveidot pašparakstītu sertifikātu, mēs izmantosim SelfSSL utilītu no Microsoft. Diemžēl tas netiek piegādāts kopā ar IIS, bet tas ir brīvi pieejams kā daļa no IIS 6.0 resursu rīku komplekta (šī raksta apakšdaļā sniegtā saite). Neskatoties uz nosaukumu "IIS 6.0" šī lietderība darbojas tik labi, IIS 7.

Viss, kas nepieciešams, ir iegūt IIS6RT, lai iegūtu utilītprogrammu selfssl.exe. No šejienes jūs varat to nokopēt uz savu Windows direktoriju vai tīkla ceļu / USB disku, lai to turpmāk izmantotu citā datorā (tādēļ jums nav nepieciešams lejupielādēt un izvilkt pilnu IIS6RT).

Kad esat izveidojis SelfSSL lietojumprogrammu, palaidiet tālāk norādīto komandu (kā administrators), kas attiecīgi aizstāj vērtības:

selfssl / N: CN = / V:

Tālāk parādītajā piemērā ir izveidots pašparakstīts aizstājējzīmes sertifikāts pret "mydomain.com" un noteikts, ka tas ir derīgs 9999 dienu laikā. Turklāt, atbildot uz "jā" uz uzvedni, šis sertifikāts tiek automātiski konfigurēts, lai saistītu ar portu 443 IIS noklusējuma tīmekļa vietnē.

Šajā brīdī sertifikāts ir gatavs lietošanai, tas tiek glabāts tikai servera personīgajā sertifikātu veikalā. Labākā prakse ir arī šī sertifikāta iestatīšana uzticamajā root.

Atveriet Start> Run (vai Windows Key + R) un ievadiet "mmc". Jūs varat saņemt UAC uzvedni, pieņemt to un atveras tukšas vadības konsoles.

Konsolei dodieties uz File> Add / Remove snap-in.

Pievienot sertifikātus no kreisās puses.

Atlasiet Datora kontu.

Atlasiet lokālo datoru.

Noklikšķiniet uz Labi, lai skatītu vietējo sertifikātu veikalu.

Pārejiet uz Personal> Certificates un atrodiet sertifikātu, kuru iestatāt, izmantojot SelfSSL utilītu. Ar peles labo pogu noklikšķiniet uz sertifikāta un atlasiet Kopēt.

Virzīties uz uzticamām sakņu sertifikācijas iestādēm> Sertifikāti. Ar peles labo pogu noklikšķiniet uz mapes Sertifikāti un atlasiet Ielīmēt.

Sarakstam vajadzētu ierakstīt SSL sertifikātu.

Šajā brīdī jūsu serverim nav problēmu ar pašparakstītu sertifikātu.

Sertifikāta eksportēšana

Ja jūs gatavojaties piekļūt vietnei, kurā tiek izmantots pašnoslēgtais SSL sertifikāts jebkurā klienta datorā (ti, jebkurā datorā, kas nav serveris), lai izvairītos no iespējamās sertifikātu kļūdu un brīdinājumu uzbrukuma, jāuzstāda pašparakstīts sertifikāts. par katru no klienta mašīnām (par ko mēs sīki apspriedīsim tālāk). Lai to izdarītu, vispirms ir jāeksportē attiecīgais sertifikāts, lai to varētu instalēt klientiem.

Konsoles iekšpusē, kurā ir ievietota sertifikātu pārvaldība, dodieties uz uzticamām sakņu sertifikācijas iestādēm> Sertifikāti. Atrodiet sertifikātu, ar peles labo pogu noklikšķiniet un atlasiet Visi uzdevumi> Eksportēt.

Kad tiek piedāvāts eksportēt privāto atslēgu, izvēlieties Jā. Noklikšķiniet uz Tālāk.

Atstājiet faila formāta noklusējuma iestatījumus un noklikšķiniet uz Tālāk.

Ievadiet paroli. To izmantos, lai aizsargātu sertifikātu, un lietotāji nevarēs to importēt lokāli, ievadot šo paroli.

Ievadiet eksporta sertifikāta faila atrašanās vietu. Tas būs PFX formātā.

Apstipriniet savus iestatījumus un noklikšķiniet uz Pabeigt.

Iegūtais PFX fails ir tas, kas tiks instalēts jūsu klienta mašīnām, lai pateiktu viņiem, ka jūsu pašparakstīts sertifikāts ir no uzticama avota.

Izvietošana uz klientu mašīnām

Kad sertifikāts ir izveidots servera pusē un ir viss, kas darbojas, jūs varat pamanīt, ka tad, kad klienta mašīna pieslēdzas attiecīgajam URL, tiek parādīts sertifikāta brīdinājums. Tas notiek tāpēc, ka sertifikātu iestāde (jūsu serveris) nav uzticams klienta SSL sertifikātu avots.

Varat noklikšķināt, izmantojot brīdinājumus, un piekļūt vietnei, tomēr jūs varat saņemt atkārtotus paziņojumus kā izcelto URL joslu vai atkārtot sertifikāta brīdinājumus. Lai izvairītos no šī traucēkļa, klienta datorā vienkārši jāinstalē pielāgotais SSL drošības sertifikāts.

Atkarībā no izmantotās pārlūkprogrammas šis process var atšķirties. IE un Chrome tiek lasīti no Windows sertifikātu veikala, taču Firefox ir pielāgota drošības sertifikātu apstrādes metode.

Svarīga piezīme: Jums vajadzētu nekad instalējiet drošības sertifikātu no nezināma avota. Praksē sertifikāts jāinstalē tikai lokāli, ja to ģenerējat. Nevienai likumīgai vietnei nebūtu nepieciešams veikt šīs darbības.

Internet Explorer un Google Chrome - sertifikāta instalēšana lokāli

Piezīme: lai gan Firefox neizmanto vietējo Windows sertifikātu veikalu, tas joprojām ir ieteicamais solis.

Kopējiet sertifikātu, kas tika eksportēts no servera (PFX fails) uz klienta iekārtu, vai pārliecinieties, vai tas ir pieejams tīkla ceļā.

Atveriet vietējo sertifikātu veikala pārvaldību klienta datorā, izmantojot tieši tādas pašas darbības kā iepriekš. Jūs galu galā nonāksiet ekrānā, piemēram, zemāk esošajā.

Kreisajā pusē paplašiniet Sertifikāti> Uzticamās sakņu sertifikācijas iestādes. Ar peles labo pogu noklikšķiniet uz mapes Sertifikāti un atlasiet Visi uzdevumi> Importēt.

Atlasiet sertifikātu, kas jūsu iekārtā tika kopēts lokāli.

Ievadiet drošības paroli, kas piešķirta, kad sertifikāts tika eksportēts no servera.

Veikals "Uzticamās sakņu sertificēšanas iestādes" ir jāaizpilda kā galamērķis. Noklikšķiniet uz Tālāk.

Pārskatiet iestatījumus un noklikšķiniet uz Pabeigt.

Jums vajadzētu redzēt veiksmes ziņojumu.

Atsvaidziniet savu skatu uz uzticamo sakņu sertifikācijas iestāžu sertifikātu mapi Sertifikāti un jums vajadzētu redzēt serverī pašparakstīto sertifikātu, kas ir norādīts veikalā.

Viena no tām tiek veikta, jums vajadzētu būt iespējai pārlūkot HTTPS vietni, kurā tiek izmantoti šie sertifikāti, un nevar saņemt brīdinājumus vai ieteikumus.

Firefox - pieļaujot izņēmumus

Firefox šo procesu maina mazliet savādāk, jo tas neizlasa sertifikāta informāciju no Windows veikala. Tā vietā, lai instalētu sertifikātus (per-se), tas ļauj definēt SSL sertifikātu izņēmumus noteiktās vietnēs.

Apmeklējot vietni, kurai ir sertifikāta kļūda, jūs saņemsit brīdinājumu, piemēram, zemāk redzamo. Zilā zona norāda attiecīgo URL, kuru mēģināt piekļūt. Lai izveidotu izņēmumu, lai apietu šo brīdinājumu attiecīgajā URL, noklikšķiniet uz pogas Pievienot izņēmumu.

Dialoglodziņā Pievienot drošības izņēmumu noklikšķiniet uz Apstiprināt drošības izņēmumu, lai konfigurētu šo izņēmumu lokāli.

Ņemiet vērā, ka, ja konkrēta vietne pārorientē uz apakšdomēniem no sevis, jūs varat saņemt vairākus drošības brīdinājuma uzvednes (ar katru reizi nedaudz atšķirīgu URL). Pievienojiet izņēmumus šiem URL, izmantojot tādas pašas darbības kā iepriekš.

Secinājums

Ir vērts atkārtot iepriekš minēto paziņojumu, ka jums vajadzētu nekad instalējiet drošības sertifikātu no nezināma avota. Praksē sertifikāts jāinstalē tikai lokāli, ja to ģenerējat. Nevienai likumīgai vietnei nebūtu nepieciešams veikt šīs darbības.

Saites

Lejupielādēt Microsoft IIS 6.0 resursu rīku komplektu (ietver SelfSSL utilītu)