Kehittäjät ja IT-järjestelmänvalvojat ovat epäilemättä joutuneet käyttämään verkkosivustoa HTTPS: n kautta käyttämällä SSL-sertifikaattia. Vaikka tämä prosessi on melko suoraviivainen tuotantopaikalle, kehitystyötä ja testausta varten saattaa olla tarpeen käyttää myös SSL-sertifikaattia.
Vuosittaisen sertifikaatin hankkimiseksi ja uusimiseksi voit hyödyntää Windows Serverin kykyä luoda itse allekirjoitettu sertifikaatti, joka on kätevä ja helppo täyttää tämän tyyppiset tarpeet täydellisesti.
Vaikka itsenäisen allekirjoitetun todistuksen luomisen tehtävää on useita, käytämme SelfSSL-apuohjelmaa Microsoftilta. Valitettavasti tämä ei lähetä IIS: n mukana, mutta se on vapaasti käytettävissä osana IIS 6.0 Resource Toolkit -työkalua (linkki tämän artikkelin alaosassa). Nimestä "IIS 6.0" huolimatta tämä apuohjelma toimii hyvin IIS 7: ssä.
Kaikki, mitä tarvitset, on purkaa IIS6RT saadaksesi selfssl.exe-apuohjelman. Tästä voit kopioida sen Windows-hakemistoon tai verkkoasemaan / USB-asemaan tulevaa käyttöä varten toiselle laitteelle (joten sinun ei tarvitse ladata ja purkaa koko IIS6RT-tiedostoa).
Kun sinulla on SelfSSL-apuohjelma, suorita seuraava komento (kuten ylläpitäjä), joka korvaa arvot tarvittaessa:
itsen / N: CN = / V:
Alla oleva esimerkki tuottaa itse allekirjoitetun wildcard-todistuksen "mydomain.com" -sivustolta ja asettaa sen voimassa 9999 päivää. Lisäksi vastaamalla kyllä kyselyyn, tämä varmenne määritetään automaattisesti sitomaan porttiin 443 IIS: n oletussivustossa.
Vaikka tällä hetkellä sertifikaatti on käyttövalmis, se tallennetaan vain palvelimessa olevalle henkilökohtaiselle varmenteelle. Se on paras käytäntö myös, että tämä todistus asetetaan myös luotettuun juurikseen.
Valitse Käynnistä> Suorita (tai Windows-näppäin + R) ja kirjoita "mmc". Saat UAC-kehotteen, hyväksyy sen ja avautuu tyhjä hallintakonsoli.
Siirry konsolissa kohtaan Tiedosto> Lisää / Poista snap-in.
Lisää todistuksia vasemmalta.
Valitse Tietokonetili.
Valitse Paikallinen tietokone.
Napsauta OK nähdäksesi paikallisen varaston tallennuksen.
Siirry Henkilökohtaisiin> Varmenteet-kohtaan ja etsi asennetusta varmenteesta SelfSSL-apuohjelma. Napsauta varmennetta hiiren kakkospainikkeella ja valitse Kopioi
Siirry luotettaviin alkuperäisen varmenteen myöntäjiin> Sertifikaatit. Napsauta Certificates-kansiota hiiren kakkospainikkeella ja valitse Liitä.
SSL-varmenteen merkintä tulee näkyä luettelossa.
Tässä vaiheessa palvelimellasi ei pitäisi olla ongelmia itse allekirjoitetun todistuksen kanssa.
Jos aiot käyttää sivustoa, joka käyttää itse allekirjoitettua SSL-sertifikaattia millä tahansa asiakaskoneella (eli mikä tahansa tietokone, joka ei ole palvelin), varmuusvirheiden ja varoitusten mahdollisen hyökkäyksen välttämiseksi itse allekirjoitettu todistus on asennettava (joista keskustelemme jäljempänä yksityiskohtaisesti). Tätä varten meidän on ensin vietävä kyseinen sertifikaatti, jotta se voidaan asentaa asiakkaille.
Selaaminen konsolin sisällä, jossa Varmenteenhallinta on ladattu, siirry luotettaviin alkuperäisen varmentamisviranomaisiin> Varmenteet. Etsi varmenne, napsauta hiiren kakkospainikkeella ja valitse Kaikki tehtävät> Vie.
Kun sinua pyydetään viemään yksityinen avain, valitse Kyllä. Napsauta Seuraava.
Jätä oletusasetukset tiedostomuotoon ja napsauta Seuraava.
Kirjoita salasana. Tätä käytetään suojaamaan todistusta ja käyttäjät eivät voi tuoda sitä paikallisesti kirjoittamatta tätä salasanaa.
Anna sijainti, johon haluat viedä varmennetiedoston. Se on PFX-muodossa.
Vahvista asetukset ja napsauta Valmis.
Tuloksena oleva PFX-tiedosto on se, mitä asennetaan asiakkaan koneisiin, kertoa heille, että itse allekirjoitettu sertifikaatti on peräisin luotettavasta lähteestä.
Kun olet luonut sertifikaatin palvelinpuolella ja olet tehnyt kaiken toimimasta, saatat huomata, että kun asiakaslaite liittyy vastaaviin URL-osoitteisiin, näyttöön tulee varmenteen varoitus. Tämä johtuu siitä, että varmenteen myöntäjä (palvelin) ei ole asiakkaan SSL-varmenteiden luotettava lähde.
Voit napsauttaa varoituksia ja käyttää sivustoa, mutta saatat saada toistuvia ilmoituksia korostetun URL-palkin tai toistuvien varmenteiden varoitusten muodossa. Jotta vältätte tämän harmin, sinun tarvitsee vain asentaa mukautettu SSL-tietoturvakirja asiakkaan koneelle.
Käytettävästä selaimesta riippuen tämä prosessi voi vaihdella. IE ja Chrome sekä lukevat Windows Certificate Store, mutta Firefox on mukautettu tapa käsitellä turvallisuustodistuksia.
Tärkeä muistiinpano: Sinun pitäisi ei koskaan asenna varmennustodistus tuntemattomasta lähteestä. Käytännössä sinun pitäisi vain asentaa varmenne paikallisesti, jos luot sen. Mitään laillista verkkosivustoa ei tarvitsisi suorittaa näitä vaiheita.
Huomaa: Vaikka Firefox ei käytä alkuperäistä Windows-varmennemyymälää, tämä on edelleen suositeltava askel.
Kopioi palvelimelta (PFX-tiedosto) viety asiakasversio asiakaskoneeseen tai varmista, että se on käytettävissä verkko-polussa.
Avaa asiakaskoneen paikallinen varmennetallentimen hallinta täsmälleen samalla tavalla kuin yllä. Lopulta pääset näyttöön kuin alla oleva.
Napsauta vasemmalla puolella Certificates> Trusted Root Certification Authorities. Napsauta hiiren kakkospainikkeella Sertifikaatti-kansiota ja valitse Kaikki tehtävät> Tuo.
Valitse varmenne, joka on kopioitu paikallisesti koneellesi.
Anna varmennussalasana, joka annettiin, kun sertifikaatti vietiin palvelimelta.
Varasto "Luotetut juurenvalvontaviranomaiset" olisi täytettävä määräpaikkana. Napsauta Seuraava.
Tarkista asetukset ja valitse Valmis.
Sinun pitäisi nähdä menestysviesti.
Päivitä näkymä Trusted Root Certification Authorities> Certificates -kansioon ja sinun pitäisi nähdä palvelimessa oleva allekirjoitettu todistus kaupasta.
Yksi tämä on tehty, sinun pitäisi pystyä selailemaan HTTPS-sivustoa, joka käyttää näitä varmenteita, eikä saa varoituksia tai kehotteita.
Firefox käsittelee tätä prosessia hieman eri tavalla, koska se ei lue varmennetietoja Windowsin tallentaa. Sen sijaan, että asennettaisiin todistuksia (per-se), sen avulla voit määrittää tietyn sivuston SSL-varmenteiden poikkeuksia.
Kun vierailet sivustolla, jolla on varmenteen virhe, saat alla olevan varoituksen. Sininen alue nimeää vastaavan URL-osoitteen, jota yrität käyttää. Jos haluat luoda poikkeuksen, joka ohittaa tämän varoituksen kyseisessä URL-osoitteessa, napsauta Lisää poikkeus -painiketta.
Valitse Add Security Exception -valintaikkunassa Confirm Security Exception, jos haluat määrittää tämän poikkeuksen paikallisesti.
Huomaa, että jos tietty sivusto uudelleenohjaa aliverkkotunnisteisiin itsestään, saatat saada useita suojausvaroituksia (URL-osoitteen ollessa hieman erilainen joka kerta). Lisää poikkeuksia niille URL-osoitteille käyttämällä samoja ohjeita kuin edellä.
On syytä toistaa yllä mainittu ilmoitus ei koskaan asenna varmennustodistus tuntemattomasta lähteestä. Käytännössä sinun pitäisi vain asentaa varmenne paikallisesti, jos luot sen. Mitään laillista verkkosivustoa ei tarvitsisi suorittaa näitä vaiheita.
Lataa IIS 6.0 Resource Toolkit (sisältää SelfSSL-apuohjelman) Microsoftilta
