If-Koubou

IT: Cum se creează un certificat de securitate SSL și se implementează în mașinile client

IT: Cum se creează un certificat de securitate SSL și se implementează în mașinile client (Cum să)

Dezvoltatorii și administratorii de IT au, fără îndoială, necesitatea de a implementa un site web prin HTTPS utilizând un certificat SSL. În timp ce acest proces este destul de simplu pentru un site de producție, în scopul dezvoltării și testării, puteți găsi necesitatea de a folosi și un certificat SSL aici.

În calitate de alternativă la achiziționarea și reînnoirea unui certificat anual, puteți utiliza capacitatea Windows Server de a genera un certificat cu auto-semnare, care este convenabil, ușor și ar trebui să răspundă perfect acestor tipuri de nevoi.

Crearea unui certificat auto-semnat pe IIS

Deși există mai multe modalități de a realiza sarcina de a crea un certificat cu auto-semnare, vom folosi utilitarul SelfSSL de la Microsoft. Din păcate, acest lucru nu este livrat cu IIS, dar este disponibil în mod liber ca parte a IIS 6.0 Resource Toolkit (link-ul furnizat în partea de jos a acestui articol). În ciuda numelui "IIS 6.0", această utilitate funcționează foarte bine în IIS 7.

Tot ce este necesar este să extrageți IIS6RT pentru a obține utilitarul selfssl.exe. De aici puteți să o copiați în directorul Windows sau pe o cale de rețea / unitate USB pentru o utilizare ulterioară pe o altă mașină (deci nu trebuie să descărcați și să extrageți IIS6RT complet).

După ce ați instalat utilitarul SelfSSL, executați următoarea comandă (ca Administrator) înlocuind valorile în mod corespunzător:

selfssl / N: CN = / V:

Exemplul de mai jos produce un certificat de tip "wildcard" împotriva "mydomain.com" și îl stabilește ca fiind valabil pentru 9,999 de zile. În plus, răspunzând da la prompt, acest certificat este configurat automat să se lege de portul 443 din Site-ul Web implicit al IIS.

În timp ce în acest moment certificatul este gata de utilizare, acesta este stocat numai în magazinul de certificate personale de pe server. Este o bună practică să aveți și acest certificat setat și în rădăcina de încredere.

Mergeți la Start> Run (sau Windows Key + R) și introduceți "mmc". Este posibil să primiți un prompt UAC, acceptați-l și o consolă de administrare goală se va deschide.

În consola, accesați Fișier> Adăugare / Eliminare modul snap-in.

Adăugați certificate din partea stângă.

Selectați contul Computer.

Selectați Computer local.

Faceți clic pe OK pentru a vizualiza magazinul Local Certificate.

Navigați la Personal> Certificate și găsiți certificatul pe care îl configurați utilizând utilitarul SelfSSL. Faceți clic dreapta pe certificat și selectați Copiere.

Navigați la Autoritățile de certificare a certificatelor de rădăcină> Certificate. Faceți clic dreapta pe dosarul Certificate și selectați Paste.

O intrare pentru certificatul SSL ar trebui să apară în listă.

În acest moment, serverul dvs. nu ar trebui să aibă probleme cu lucrul cu certificatul semnat.

Exportul certificatului

Dacă intenționați să accesați un site care utilizează certificatul SSL cu auto-semnare pe orice mașină client (adică orice computer care nu este serverul), pentru a evita un atac potențial al erorilor de certificat și al avertismentelor, certificatul auto-semnat ar trebui instalat pe fiecare dintre mașinile client (pe care le vom discuta în detaliu mai jos). Pentru a face acest lucru, trebuie mai întâi să exportăm certificatul respectiv, astfel încât acesta să poată fi instalat pe clienți.

În interiorul consolei cu gestionarea certificatelor încărcate, navigați la Autoritățile de certificare a certificatelor de rădăcină> Certificate. Găsiți certificatul, dați clic dreapta și selectați Toate sarcinile> Export.

Când vi se solicită să exportați cheia privată, selectați Da. Faceți clic pe Următorul.

Lăsați selecțiile implicite pentru formatul de fișier și faceți clic pe Următorul.

Scrie o parolă. Acest lucru va fi folosit pentru a proteja certificatul și utilizatorii nu vor putea să-l importe la nivel local fără a introduce această parolă.

Introduceți o locație pentru a exporta fișierul de certificat. Va fi în format PFX.

Confirmați setările și faceți clic pe Terminare.

Fișierul PFX care rezultă este ceea ce va fi instalat pe mașinile dvs. client pentru a le spune că certificatul dvs. cu semn de sine este dintr-o sursă de încredere.

Implementarea în mașinile client

Odată ce ați creat certificatul pe partea de server și ați lucrat totul, este posibil să observați că atunci când o mașină client se conectează la respectiva adresă URL, este afișat un avertisment privind certificatul. Acest lucru se întâmplă deoarece autoritatea de certificare (serverul dvs.) nu este o sursă de încredere pentru certificatele SSL pe client.

Puteți să faceți clic pe avertismente și să accesați site-ul, cu toate acestea, puteți primi notificări repetate sub forma unei bare de adrese URL sau a avertismentelor repetate. Pentru a evita această neplăcere, pur și simplu trebuie să instalați certificatul de securitate SSL personalizat pe mașina client.

În funcție de browserul pe care îl utilizați, acest proces poate varia. IE și Chrome au citit atât de la magazinul de certificate Windows, însă Firefox are o metodă personalizată de gestionare a certificatelor de securitate.

Notă importantă: Tu ar trebui nu instalați un certificat de securitate dintr-o sursă necunoscută. În practică, ar trebui să instalați un certificat local doar dacă l-ați generat. Nici un site web legitim nu ar necesita efectuarea acestor pași.

Internet Explorer și Google Chrome - Instalarea certificatului local

Notă: Chiar dacă Firefox nu utilizează magazinul de certificate Windows nativ, acesta este încă un pas recomandat.

Copiați certificatul care a fost exportat de pe server (fișierul PFX) la mașina client sau asigurați-vă că este disponibil într-o cale de rețea.

Deschideți gestionarea magazinului local de certificate pe mașina client utilizând exact aceiași pași ca mai sus. În cele din urmă, veți ajunge pe un ecran ca cel de mai jos.

În partea stângă, extindeți Certificatele> Autorități autorizate de certificare a rădăcinilor. Faceți clic dreapta pe dosarul Certificate și selectați Toate sarcinile> Import.

Selectați certificatul copiat local pe aparat.

Introduceți parola de securitate atribuită când certificatul a fost exportat de pe server.

Magazinul "Autorități de certificare a rădăcinilor de încredere" trebuie să fie precompletat ca destinație. Faceți clic pe Următorul.

Examinați setările și faceți clic pe Terminare.

Ar trebui să vedeți un mesaj de succes.

Reîmprospătați vizualizarea dosarului Autoritățile de certificare a certificatelor rădăcinoase> Certificate și ar trebui să vedeți certificatul de auto-semnare al serverului menționat în magazin.

Unul este făcut, ar trebui să puteți naviga către un site HTTPS care utilizează aceste certificate și nu primește avertismente sau solicitări.

Firefox - Permiterea excepțiilor

Firefox se ocupă de acest proces puțin diferit, deoarece nu citește informații despre certificatele din magazinul Windows. În loc să instalați certificate (per-se), vă permite să definiți excepții pentru certificate SSL pe anumite site-uri.

Când vizitați un site care are o eroare de certificat, veți primi un avertisment ca cel de mai jos. Zona în albastru va numi adresa URL pe care încercați să o accesați. Pentru a crea o excepție pentru a ocoli acest avertisment pe respectiva adresă URL, faceți clic pe butonul Adăugați excepția.

În dialogul Adăugare excepție securitate, faceți clic pe Confirmare excepție de securitate pentru a configura această excepție local.

Rețineți că, dacă un anumit site redirecționează către subdomenii din sine, puteți primi mai multe solicitări de avertizare privind securitatea (cu URL-ul fiind ușor diferit de fiecare dată). Adăugați excepții pentru acele adrese URL utilizând aceiași pași ca mai sus.

Concluzie

Merită repetată nota de mai sus pe care ar trebui să o faceți nu instalați un certificat de securitate dintr-o sursă necunoscută. În practică, ar trebui să instalați un certificat local doar dacă l-ați generat. Nici un site web legitim nu ar necesita efectuarea acestor pași.

Link-uri

Descărcați IIS 6.0 Resource Toolkit (include utilitarul SelfSSL) de la Microsoft