If-Koubou

IT: Miten luodaan oma allekirjoitettu suojaus (SSL) -sertifikaatti ja sijoitetaan se asiakaskoneisiin

IT: Miten luodaan oma allekirjoitettu suojaus (SSL) -sertifikaatti ja sijoitetaan se asiakaskoneisiin (Miten)

Kehittäjät ja IT-järjestelmänvalvojat ovat epäilemättä joutuneet käyttämään verkkosivustoa HTTPS: n kautta käyttämällä SSL-sertifikaattia. Vaikka tämä prosessi on melko suoraviivainen tuotantopaikalle, kehitystyötä ja testausta varten saattaa olla tarpeen käyttää myös SSL-sertifikaattia.

Vuosittaisen sertifikaatin hankkimiseksi ja uusimiseksi voit hyödyntää Windows Serverin kykyä luoda itse allekirjoitettu sertifikaatti, joka on kätevä ja helppo täyttää tämän tyyppiset tarpeet täydellisesti.

Oman allekirjoitetun todistuksen luominen IIS: lle

Vaikka itsenäisen allekirjoitetun todistuksen luomisen tehtävää on useita, käytämme SelfSSL-apuohjelmaa Microsoftilta. Valitettavasti tämä ei lähetä IIS: n mukana, mutta se on vapaasti käytettävissä osana IIS 6.0 Resource Toolkit -työkalua (linkki tämän artikkelin alaosassa). Nimestä "IIS 6.0" huolimatta tämä apuohjelma toimii hyvin IIS 7: ssä.

Kaikki, mitä tarvitset, on purkaa IIS6RT saadaksesi selfssl.exe-apuohjelman. Tästä voit kopioida sen Windows-hakemistoon tai verkkoasemaan / USB-asemaan tulevaa käyttöä varten toiselle laitteelle (joten sinun ei tarvitse ladata ja purkaa koko IIS6RT-tiedostoa).

Kun sinulla on SelfSSL-apuohjelma, suorita seuraava komento (kuten ylläpitäjä), joka korvaa arvot tarvittaessa:

itsen / N: CN = / V:

Alla oleva esimerkki tuottaa itse allekirjoitetun wildcard-todistuksen "mydomain.com" -sivustolta ja asettaa sen voimassa 9999 päivää. Lisäksi vastaamalla kyllä ​​kyselyyn, tämä varmenne määritetään automaattisesti sitomaan porttiin 443 IIS: n oletussivustossa.

Vaikka tällä hetkellä sertifikaatti on käyttövalmis, se tallennetaan vain palvelimessa olevalle henkilökohtaiselle varmenteelle. Se on paras käytäntö myös, että tämä todistus asetetaan myös luotettuun juurikseen.

Valitse Käynnistä> Suorita (tai Windows-näppäin + R) ja kirjoita "mmc". Saat UAC-kehotteen, hyväksyy sen ja avautuu tyhjä hallintakonsoli.

Siirry konsolissa kohtaan Tiedosto> Lisää / Poista snap-in.

Lisää todistuksia vasemmalta.

Valitse Tietokonetili.

Valitse Paikallinen tietokone.

Napsauta OK nähdäksesi paikallisen varaston tallennuksen.

Siirry Henkilökohtaisiin> Varmenteet-kohtaan ja etsi asennetusta varmenteesta SelfSSL-apuohjelma. Napsauta varmennetta hiiren kakkospainikkeella ja valitse Kopioi

Siirry luotettaviin alkuperäisen varmenteen myöntäjiin> Sertifikaatit. Napsauta Certificates-kansiota hiiren kakkospainikkeella ja valitse Liitä.

SSL-varmenteen merkintä tulee näkyä luettelossa.

Tässä vaiheessa palvelimellasi ei pitäisi olla ongelmia itse allekirjoitetun todistuksen kanssa.

Varmenteen vienti

Jos aiot käyttää sivustoa, joka käyttää itse allekirjoitettua SSL-sertifikaattia millä tahansa asiakaskoneella (eli mikä tahansa tietokone, joka ei ole palvelin), varmuusvirheiden ja varoitusten mahdollisen hyökkäyksen välttämiseksi itse allekirjoitettu todistus on asennettava (joista keskustelemme jäljempänä yksityiskohtaisesti). Tätä varten meidän on ensin vietävä kyseinen sertifikaatti, jotta se voidaan asentaa asiakkaille.

Selaaminen konsolin sisällä, jossa Varmenteenhallinta on ladattu, siirry luotettaviin alkuperäisen varmentamisviranomaisiin> Varmenteet. Etsi varmenne, napsauta hiiren kakkospainikkeella ja valitse Kaikki tehtävät> Vie.

Kun sinua pyydetään viemään yksityinen avain, valitse Kyllä. Napsauta Seuraava.

Jätä oletusasetukset tiedostomuotoon ja napsauta Seuraava.

Kirjoita salasana. Tätä käytetään suojaamaan todistusta ja käyttäjät eivät voi tuoda sitä paikallisesti kirjoittamatta tätä salasanaa.

Anna sijainti, johon haluat viedä varmennetiedoston. Se on PFX-muodossa.

Vahvista asetukset ja napsauta Valmis.

Tuloksena oleva PFX-tiedosto on se, mitä asennetaan asiakkaan koneisiin, kertoa heille, että itse allekirjoitettu sertifikaatti on peräisin luotettavasta lähteestä.

Käyttöönotto asiakaskoneisiin

Kun olet luonut sertifikaatin palvelinpuolella ja olet tehnyt kaiken toimimasta, saatat huomata, että kun asiakaslaite liittyy vastaaviin URL-osoitteisiin, näyttöön tulee varmenteen varoitus. Tämä johtuu siitä, että varmenteen myöntäjä (palvelin) ei ole asiakkaan SSL-varmenteiden luotettava lähde.

Voit napsauttaa varoituksia ja käyttää sivustoa, mutta saatat saada toistuvia ilmoituksia korostetun URL-palkin tai toistuvien varmenteiden varoitusten muodossa. Jotta vältätte tämän harmin, sinun tarvitsee vain asentaa mukautettu SSL-tietoturvakirja asiakkaan koneelle.

Käytettävästä selaimesta riippuen tämä prosessi voi vaihdella. IE ja Chrome sekä lukevat Windows Certificate Store, mutta Firefox on mukautettu tapa käsitellä turvallisuustodistuksia.

Tärkeä muistiinpano: Sinun pitäisi ei koskaan asenna varmennustodistus tuntemattomasta lähteestä. Käytännössä sinun pitäisi vain asentaa varmenne paikallisesti, jos luot sen. Mitään laillista verkkosivustoa ei tarvitsisi suorittaa näitä vaiheita.

Internet Explorer ja Google Chrome - Todistuksen asentaminen paikallisesti

Huomaa: Vaikka Firefox ei käytä alkuperäistä Windows-varmennemyymälää, tämä on edelleen suositeltava askel.

Kopioi palvelimelta (PFX-tiedosto) viety asiakasversio asiakaskoneeseen tai varmista, että se on käytettävissä verkko-polussa.

Avaa asiakaskoneen paikallinen varmennetallentimen hallinta täsmälleen samalla tavalla kuin yllä. Lopulta pääset näyttöön kuin alla oleva.

Napsauta vasemmalla puolella Certificates> Trusted Root Certification Authorities. Napsauta hiiren kakkospainikkeella Sertifikaatti-kansiota ja valitse Kaikki tehtävät> Tuo.

Valitse varmenne, joka on kopioitu paikallisesti koneellesi.

Anna varmennussalasana, joka annettiin, kun sertifikaatti vietiin palvelimelta.

Varasto "Luotetut juurenvalvontaviranomaiset" olisi täytettävä määräpaikkana. Napsauta Seuraava.

Tarkista asetukset ja valitse Valmis.

Sinun pitäisi nähdä menestysviesti.

Päivitä näkymä Trusted Root Certification Authorities> Certificates -kansioon ja sinun pitäisi nähdä palvelimessa oleva allekirjoitettu todistus kaupasta.

Yksi tämä on tehty, sinun pitäisi pystyä selailemaan HTTPS-sivustoa, joka käyttää näitä varmenteita, eikä saa varoituksia tai kehotteita.

Firefox - sallimalla poikkeuksia

Firefox käsittelee tätä prosessia hieman eri tavalla, koska se ei lue varmennetietoja Windowsin tallentaa. Sen sijaan, että asennettaisiin todistuksia (per-se), sen avulla voit määrittää tietyn sivuston SSL-varmenteiden poikkeuksia.

Kun vierailet sivustolla, jolla on varmenteen virhe, saat alla olevan varoituksen. Sininen alue nimeää vastaavan URL-osoitteen, jota yrität käyttää. Jos haluat luoda poikkeuksen, joka ohittaa tämän varoituksen kyseisessä URL-osoitteessa, napsauta Lisää poikkeus -painiketta.

Valitse Add Security Exception -valintaikkunassa Confirm Security Exception, jos haluat määrittää tämän poikkeuksen paikallisesti.

Huomaa, että jos tietty sivusto uudelleenohjaa aliverkkotunnisteisiin itsestään, saatat saada useita suojausvaroituksia (URL-osoitteen ollessa hieman erilainen joka kerta). Lisää poikkeuksia niille URL-osoitteille käyttämällä samoja ohjeita kuin edellä.

johtopäätös

On syytä toistaa yllä mainittu ilmoitus ei koskaan asenna varmennustodistus tuntemattomasta lähteestä. Käytännössä sinun pitäisi vain asentaa varmenne paikallisesti, jos luot sen. Mitään laillista verkkosivustoa ei tarvitsisi suorittaa näitä vaiheita.

Linkit

Lataa IIS 6.0 Resource Toolkit (sisältää SelfSSL-apuohjelman) Microsoftilta