Hjemmeside » hvordan » IT Sådan opretter du et SSL-certifikat (SIGN) og distribuerer det til klientmaskiner

    IT Sådan opretter du et SSL-certifikat (SIGN) og distribuerer det til klientmaskiner

    Udviklere og it-administratorer har uden tvivl behov for at implementere nogle hjemmesider via HTTPS ved hjælp af et SSL-certifikat. Mens denne proces er ret ligetil for et produktionssted, kan du med henblik på udvikling og test også finde brug for at bruge et SSL-certifikat her også.

    Som alternativ til køb og fornyelse af et årligt certifikat kan du udnytte din Windows Server evne til at generere et selvstændigt underskrevet certifikat, som er praktisk, nemt og skal opfylde disse typer behov perfekt..

    Oprettelse af et selvtegnet certifikat på IIS

    Selv om der er flere måder at udføre opgaven med at oprette et selv underskrevet certifikat på, vil vi bruge SelfSSL-værktøjet fra Microsoft. Desværre leverer dette ikke med IIS, men det er frit tilgængeligt som led i IIS 6.0 Resource Toolkit (linket findes i bunden af ​​denne artikel). Trods navnet "IIS 6.0" fungerer dette værktøj fint i IIS 7.

    Alt hvad der kræves er at udvinde IIS6RT for at få selvssl.exe-værktøjet. Herfra kan du kopiere den til din Windows-mappe eller en netværkssti / USB-drev til fremtidig brug på en anden maskine (så du behøver ikke downloade og udtrække hele IIS6RT).

    Når du har SelfSSL-værktøjet på plads, skal du køre følgende kommando (som administrator), som erstatter værdierne som det er relevant:

    selfssl / N: CN = / V:

    Nedenstående eksempel producerer et selv underskrevet wildcard certifikat mod "mydomain.com" og sætter det til at være gyldigt i 9.999 dage. Derudover ved at svare ja til prompten, er dette certifikat automatisk konfigureret til at binde til port 443 inde i IIS 'standardwebsted.

    Selvom certifikatet på dette tidspunkt er klar til brug, gemmes det kun i den personlige certifikat butik på serveren. Det er en god praksis at også have dette certifikat sat i den betroede rod.

    Gå til Start> Kør (eller Windows Nøgle + R) og indtast "mmc". Du kan modtage en UAC-prompt, acceptere den, og en tom administrationskonsol åbnes.

    I konsollen skal du gå til Filer> Tilføj / fjern indlæg.

    Tilføj certifikater fra venstre side.

    Vælg Computer-konto.

    Vælg Lokal computer.

    Klik på OK for at se den lokale certifikat butik.

    Naviger til Personlig> Certifikater og find certifikatet, du opsætter ved hjælp af SelfSSL-værktøjet. Højreklik på certifikatet, og vælg Kopier.

    Naviger til Trusted Root Certification Authorities> Certifikater. Højreklik på mappen Certifikater, og vælg Indsæt.

    En post til SSL-certifikatet skal vises på listen.

    På dette tidspunkt skal din server ikke have problemer med at arbejde med det selv underskrevne certifikat.

    Eksport af certifikatet

    Hvis du vil få adgang til et websted, der bruger det selvskrevne SSL-certifikat på en hvilken som helst klientmaskin (dvs. en hvilken som helst computer, som ikke er serveren), for at undgå et potentielt angreb på certifikatfejl og advarsler skal det selv underskrevne certifikat installeres på hver af klientmaskinerne (som vi vil diskutere i detaljer nedenfor). For at gøre dette skal vi først eksportere det pågældende certifikat, så det kan installeres på klienterne.

    Inde i konsollen med den Certifikatstyring, der er indlæst, skal du navigere til Trusted Root Certification Authorities> Certificates. Find certifikatet, højreklik og vælg Alle opgaver> Eksporter.

    Når du bliver bedt om at eksportere den private nøgle, skal du vælge Ja. Klik på Næste.

    Forlad standardvalgene for filformatet, og klik på Næste.

    Indtast et kodeord. Dette bruges til at beskytte certifikatet, og brugerne kan ikke importere det lokalt uden at indtaste dette kodeord.

    Indtast et sted for at eksportere certifikatfilen. Det vil være i PFX format.

    Bekræft dine indstillinger, og klik på Udfør.

    Den resulterende PFX-fil er, hvad der vil blive installeret på dine klientmaskiner for at fortælle dem, at dit selv underskrevne certifikat er fra en pålidelig kilde.

    Implementering til klientmaskiner

    Når du har oprettet certifikatet på serverens side og har alt i gang, kan du bemærke, at når en klientmaskin forbinder til den respektive webadresse, vises en advarselsadvarsel. Dette sker, fordi certifikatmyndigheden (din server) ikke er en pålidelig kilde til SSL-certifikater på klienten.

    Du kan klikke gennem advarslerne og få adgang til webstedet, men du kan få gentagne notifikationer i form af en fremhævet URL-bar eller gentagne certifikatadvarsler. For at undgå denne irritation skal du blot installere det brugerdefinerede SSL-sikkerhedscertifikat på klientmaskinen.

    Afhængigt af den browser, du bruger, kan denne proces variere. IE og Chrome læses begge fra Windows-certifikatbutikken, men Firefox har en brugerdefineret metode til håndtering af sikkerhedscertifikater.

    Vigtig note: Du burde aldrig installer et sikkerhedscertifikat fra en ukendt kilde. I praksis bør du kun installere et certifikat lokalt, hvis du genererede det. Intet legitimt websted vil kræve, at du udfører disse trin.

    Internet Explorer & Google Chrome - Installation af certifikatet lokalt

    Bemærk: Selv om Firefox ikke bruger det indbyggede Windows-certifikatlager, er dette stadig et anbefalet trin.

    Kopier certifikatet, som blev eksporteret fra serveren (PFX-filen) til klientmaskinen, eller sørg for, at den er tilgængelig på en netværkssti.

    Åbn den lokale certifikat butikshåndtering på klientmaskinen ved hjælp af nøjagtig samme trin som ovenfor. Du vil til sidst ende på en skærm som den nedenfor.

    På venstre side skal du udvide certifikater> Trusted Root Certification Authorities. Højreklik på mappen Certifikater og vælg Alle opgaver> Importer.

    Vælg det certifikat, der blev kopieret lokalt til din maskine.

    Indtast det sikkerhedsadgangskode, der blev tildelt, da certifikatet blev eksporteret fra serveren.

    Butikken "Trusted Root Certification Authorities" skal udfyldes som destination. Klik på Næste.

    Gennemgå indstillingerne, og klik på Udfør.

    Du skal se en succesmeddelelse.

    Opdater dit syn på Trusted Root Certification Authorities> Certificates-mappen, og du skal se serverens selv underskrevne certifikat, der er angivet i butikken..

    Et sådant er gjort, du skal kunne browse til et HTTPS-websted, der bruger disse certifikater og ikke modtager advarsler eller meddelelser.

    Firefox - Tillader undtagelser

    Firefox håndterer denne proces lidt anderledes, da den ikke læser certifikatoplysninger fra Windows-butikken. I stedet for at installere certifikater (per-se), kan du definere undtagelser for SSL-certifikater på bestemte websteder.

    Når du besøger et websted, der har en certifikatfejl, får du en advarsel som den nedenfor. Området i blåt vil navngive den respektive webadresse, du forsøger at få adgang til. Hvis du vil oprette en undtagelse for at omgå denne advarsel på den respektive webadresse, skal du klikke på knappen Tilføj undtagelse.

    Klik på Bekræft sikkerhedsundtagelse for at konfigurere denne undtagelse lokalt i dialogboksen Tilføj sikkerhedsundtagelse.

    Bemærk, at hvis en bestemt side omdirigerer til underdomæner indefra, kan du få flere sikkerhedsadvarsler (med webadressen lidt forskellig hver gang). Tilføj undtagelser for disse webadresser ved hjælp af de samme trin som ovenfor.

    Konklusion

    Det er værd at gentage oplysningen ovenfor, som du skal aldrig installer et sikkerhedscertifikat fra en ukendt kilde. I praksis bør du kun installere et certifikat lokalt, hvis du genererede det. Intet legitimt websted vil kræve, at du udfører disse trin.

    Links

    Download IIS 6.0 Resource Toolkit (indeholder SelfSSL-værktøj) fra Microsoft