IT Как да създадете сертификат за самоподписана сигурност (SSL) и да го инсталирате на клиентските машини

Разработчиците и ИТ администраторите, без съмнение, се нуждаят от разгръщане на уебсайт чрез HTTPS, използвайки SSL сертификат. Въпреки че този процес е доста ясен за производствения обект, за целите на разработването и тестването може да се наложи да използвате и SSL сертификат..

Като алтернатива на закупуването и подновяването на годишен сертификат, можете да използвате способността на Windows Server да генерира сертификат, подписан самостоятелно, който е удобен, лесен и трябва да отговаря напълно на тези видове нужди..

Създаване на самостоятелно подписан сертификат за IIS

Въпреки че има няколко начина да се изпълни задачата за създаване на сертификат, подписан от собственика, ние ще използваме помощната програма SelfSSL от Microsoft. За съжаление, това не е свързано с IIS, но е свободно достъпно като част от IIS 6.0 Resource Toolkit (линк, представен в долната част на тази статия). Въпреки името “IIS 6.0” тази програма работи добре в IIS 7.

Всичко, което се изисква, е да извлечете IIS6RT, за да получите помощната програма selfssl.exe. Оттук можете да го копирате в директорията на Windows или в мрежов път / USB устройство за бъдеща употреба на друга машина (така че не е необходимо да изтегляте и извличате пълния IIS6RT).

След като сте инсталирали помощната програма SelfSSL, изпълнете следната команда (като администратор), която замества стойностите, както е подходящо:

selfssl / N: CN = / V:

Примерът по-долу създава сертификат за самозалепващ знак срещу “mydomain.com” и го определя за 9,999 дни. Освен това, като отговорите с „да“ на подканата, този сертификат автоматично се конфигурира да се свързва към порт 443 вътре в уебсайта по подразбиране на IIS.

Докато на този етап сертификатът е готов за използване, той се съхранява само в личния магазин за сертификати на сървъра. Добре е също така този сертификат да бъде поставен и в доверения корен.

Отидете в Start> Run (или Windows Key + R) и въведете "mmc". Може да получите UAC съобщение, да го приемете и да се отвори празна конзола за управление.

В конзолата отидете на File> Add / Remove Snap-in.

Добавете сертификати от лявата страна.

Изберете Компютърен акаунт.

Изберете Локален компютър.

Кликнете върху OK, за да видите магазина за местни сертификати.

Отидете до Лични> Сертификати и намерете сертификата, който настройвате, с помощта на помощната програма SelfSSL. Щракнете с десния бутон върху сертификата и изберете Копиране.

Отидете до доверени коренни сертифициращи органи> Сертификати. Щракнете с десния бутон върху папката Сертификати и изберете Постави.

В списъка трябва да се появи запис за SSL сертификата.

В този момент вашият сървър не би трябвало да има проблеми с работата със сертификата, подписан от собственика.

Експортиране на сертификата

Ако ще имате достъп до сайт, който използва самоподписания SSL сертификат на всяка клиентска машина (т.е. всеки компютър, който не е сървър), за да се избегне потенциален натиск на грешки в сертификата и предупреждения, трябва да се инсталира самостоятелно подписан сертификат. на всяка от клиентските машини (които ще разгледаме подробно по-долу). За да направите това, първо трябва да експортирате съответния сертификат, така че да може да бъде инсталиран на клиентите.

Вътре в конзолата с зареденото Управление на сертификати, преминете към доверени коренни сертифициращи органи> Сертификати. Намерете сертификата, щракнете с десния бутон и изберете Всички задачи> Експортиране.

Когато бъдете подканени да експортирате частния ключ, изберете Да. Кликнете върху Напред.

Оставете настройките по подразбиране за файловия формат и кликнете върху Напред.

Въведете парола. Това ще бъде използвано за защита на сертификата и потребителите няма да могат да го импортират локално, без да въвеждат тази парола.

Въведете местоположение за експортиране на файла на сертификата. Тя ще бъде във формат PFX.

Потвърдете настройките си и кликнете върху Готово.

Полученият PFX файл е това, което ще бъде инсталирано на вашите клиентски машини, за да им се каже, че вашият подписан сертификат е от надежден източник.

Разполагане на клиентски машини

След като сте създали сертификата на сървърната страна и имате всичко работещо, може да забележите, че когато клиентската машина се свърже със съответния URL адрес, се показва предупредително съобщение. Това се случва, защото органът за сертифициране (вашият сървър) не е надежден източник за SSL сертификати на клиента.

Можете да кликнете върху предупрежденията и да влезете в сайта, но можете да получавате многократни известия под формата на подчертана лента с URL адрес или повтарящи се предупреждения за сертификати. За да избегнете това раздразнение, просто трябва да инсталирате потребителския SSL сертификат за защита на клиентската машина.

В зависимост от браузъра, който използвате, този процес може да варира. IE и Chrome се четат от магазина за сертификати на Windows, но Firefox има персонализиран метод за работа със сертификати за защита.

Важна забележка: Ти трябва никога инсталирайте сертификат за сигурност от неизвестен източник. На практика трябва да инсталирате сертификат само локално, ако сте го генерирали. Никой законен уебсайт не изисква от вас да извършвате тези стъпки.

Internet Explorer и Google Chrome - локално инсталиране на сертификата

Забележка: Въпреки че Firefox не използва родния Windows сертификат, това все още е препоръчителна стъпка.

Копирайте сертификата, изнесен от сървъра (PFX файла) на клиентската машина или се уверете, че е налице в мрежов път.

Отворете локалното управление на хранилището за сертификати на клиентската машина, като използвате същите стъпки, както по-горе. В крайна сметка ще стигнете до екран като този по-долу.

От лявата страна разгънете Сертификати> Доверени коренни сертифициращи органи. Кликнете с десния бутон върху папката Сертификати и изберете Всички задачи> Импортиране.

Изберете сертификата, който е копиран локално на вашето устройство.

Въведете паролата за защита, зададена, когато сертификатът е бил изнесен от сървъра.

Магазинът "Доверени основни сертифициращи органи" трябва да бъде предварително попълнен като дестинация. Кликнете върху Напред.

Прегледайте настройките и щракнете върху Готово.

Трябва да видите съобщение за успех.

Обновете изгледа на доверените коренно удостоверяващи органи> папка "Сертификати" и трябва да видите сертификата, подписан от сървъра, вписан в магазина.

Това е направено, трябва да можете да търсите до HTTPS сайт, който използва тези сертификати и да не получавате предупреждения или подкани.

Firefox - Разрешаване на изключения

Firefox обработва този процес малко по различен начин, тъй като не чете информация за сертификата от магазина на Windows. Вместо да инсталирате сертификати (per-se), тя ви позволява да дефинирате изключения за SSL сертификати на определени сайтове.

Когато посетите сайт, който има грешка в сертификата, ще получите предупреждение като това по-долу. Областта в синьо ще посочи съответния URL адрес, който се опитвате да осъществите. За да създадете изключение, за да заобиколите това предупреждение на съответния URL адрес, кликнете върху бутона Добавяне на изключение.

В диалоговия прозорец Добавяне на изключение на защитата щракнете върху Потвърдете изключение на защитата, за да конфигурирате това изключение локално.

Обърнете внимание, че ако даден сайт пренасочва към поддомейни от самия себе си, може да получите множество предупредителни предупреждения (като URL адресът се различава всеки път). Добавете изключения за тези URL адреси, като използвате същите стъпки, както по-горе.

заключение

Струва си да повторите горепосоченото съобщение, което трябва да направите никога инсталирайте сертификат за сигурност от неизвестен източник. На практика трябва да инсталирате сертификат само локално, ако сте го генерирали. Никой законен уебсайт не изисква от вас да извършвате тези стъпки.

звена

Изтеглете IIS 6.0 Resource Toolkit (включва селекция на SelfSSL) от Microsoft