IT Miten itse allekirjoitettu suojaus (SSL) -sertifikaatti luodaan ja se asennetaan asiakaskoneisiin
Kehittäjät ja IT-järjestelmänvalvojat ovat epäilemättä tarvitsevat joitakin verkkosivustoja HTTPS: n kautta käyttämällä SSL-sertifikaattia. Vaikka tämä prosessi on melko yksinkertainen tuotantolaitokselle, kehitys- ja testaustarkoituksiin saattaa olla tarpeen käyttää myös SSL-sertifikaattia.
Vuotuisen sertifikaatin ostamisen ja uusimisen vaihtoehtona voit hyödyntää Windows Serverin kykyä luoda itse allekirjoitettu varmenne, joka on kätevä, helppo ja joka täyttää tämäntyyppiset tarpeet täydellisesti.
Itse allekirjoitetun sertifikaatin luominen IIS-järjestelmään
Itse allekirjoitetun varmenteen luomiseen liittyvää tehtävää on useita tapoja, mutta käytämme Microsoftin SelfSSL-apuohjelmaa. Valitettavasti tämä ei toimi IIS: n mukana, mutta se on vapaasti saatavilla osana IIS 6.0 Resource Toolkit -ohjelmaa (linkki, joka on tämän artikkelin alaosassa). Nimestä IIS 6.0 huolimatta tämä apuohjelma toimii hienosti IIS 7: ssä.
Tarvitaan vain IIS6RT: n purkaminen selfssl.exe-apuohjelman saamiseksi. Täältä voit kopioida sen Windows-hakemistoon tai verkon polkuun / USB-asemaan tulevaa käyttöä varten toisessa laitteessa (joten sinun ei tarvitse ladata ja purkaa täyttä IIS6RT-tiedostoa).
Kun SelfSSL-apuohjelma on käytössä, suorita seuraava komento (järjestelmänvalvojana), joka korvaa arvot tarvittaessa:
selfssl / N: CN = / V:
Alla oleva esimerkki tuottaa itse allekirjoitetun tunnusluvun "mydomain.com" -sovellusta vastaan ja asettaa sen voimassa 9 999 päivää. Lisäksi, kun vastaat kyllä kehotteeseen, tämä varmenne määritetään automaattisesti sitoutumaan porttiin 443 IIS: n oletussivuston sisällä.
Vaikka tässä vaiheessa varmenne on valmis käytettäväksi, se tallennetaan vain palvelimen henkilökohtaiseen varmenteeseen. Paras käytäntö on, että tämä sertifikaatti asetetaan myös luotettavaan juuriin.
Siirry kohtaan Käynnistä> Suorita (tai Windows-näppäin + R) ja kirjoita ”mmc”. Saatat saada UAC-kehotteen, hyväksyä sen ja tyhjä hallintakonsoli avautuu.
Siirry konsolissa kohtaan Tiedosto> Lisää tai poista laajennus.
Lisää sertifikaatteja vasemmalta puolelta.
Valitse Tietokone-tili.
Valitse Paikallinen tietokone.
Napsauta OK nähdäksesi paikallinen varmenteen tallennus.
Siirry kohtaan Personal> Sertifikaatit ja etsi itse määrittämäsi sertifikaatti SelfSSL-apuohjelman avulla. Napsauta varmennetta hiiren kakkospainikkeella ja valitse Kopioi.
Siirry luotettaviin juurihyväksyntäviranomaisiin> Sertifikaatit. Napsauta Sertifikaatit-kansiota hiiren kakkospainikkeella ja valitse Liitä.
SSL-varmenteen merkinnän pitäisi näkyä luettelossa.
Tässä vaiheessa palvelimella ei saa olla ongelmia itse allekirjoitetun varmenteen kanssa.
Varmenteen vieminen
Jos aiot käyttää sivustoa, joka käyttää itse allekirjoitettua SSL-sertifikaattia missä tahansa asiakaskoneessa (ts. Missä tahansa tietokoneessa, joka ei ole palvelin), varmenteiden virheiden ja varoitusten mahdollisen hyökkäyksen välttämiseksi itse allekirjoitettu varmenne olisi asennettava jokaisesta asiakaskoneesta (josta keskustelemme tarkemmin alla). Tätä varten täytyy ensin viedä kyseinen sertifikaatti, jotta se voidaan asentaa asiakkaille.
Siirry konsolin sisälle, kun sertifikaatinhallinta on ladattu, siirry Luotetut juurihyväksyntäviranomaiset> Sertifikaatit. Etsi todistus, napsauta hiiren kakkospainikkeella ja valitse Kaikki tehtävät> Vie.
Kun näyttöön tulee kehote viedä yksityinen avain, valitse Kyllä. Valitse Seuraava.
Jätä tiedostomuodon oletusvalinnat ja napsauta Seuraava.
Kirjoita salasana. Tätä käytetään suojaamaan todistus ja käyttäjät eivät voi tuoda sitä paikallisesti syöttämättä tätä salasanaa.
Anna paikka, johon voit viedä varmennetiedoston. Se on PFX-muodossa.
Vahvista asetukset ja napsauta Valmis.
Tuloksena oleva PFX-tiedosto on se, joka asennetaan asiakaskoneisiin ja kerrotaan, että itse allekirjoitettu varmenne on luotettavasta lähteestä.
Asennus Client-koneisiin
Kun olet luonut sertifikaatin palvelimen puolella ja sinulla on kaikki toimi, saatat huomata, että kun asiakaskone muodostaa yhteyden vastaavaan URL-osoitteeseen, varmenneilmoitus näytetään. Tämä johtuu siitä, että varmentajaviranomainen (palvelin) ei ole luotettava lähde SSL-varmenteille asiakkaalle.
Voit napsauttaa varoituksia ja käyttää sivustoa, mutta saatat saada toistuvia ilmoituksia korostetun URL-osoitepalkin tai toistuvien varmenteiden varoitusten muodossa. Tämän ärsytyksen välttämiseksi sinun tarvitsee vain asentaa mukautettu SSL-suojaustodistus asiakaskoneeseen.
Käytettävästä selaimesta riippuen tämä prosessi voi vaihdella. IE ja Chrome lukevat molemmat Windows-sertifikaattivarastosta, mutta Firefoxilla on mukautettu suojaustodistusten käsittely.
Tärkeä muistiinpano: Sinun pitäisi ei koskaan asenna tietoturvatodistus tuntemattomasta lähteestä. Käytännössä sinun pitäisi asentaa varmenne vain paikallisesti, jos luot sen. Mikään laillinen sivusto ei vaadi sinua suorittamaan nämä vaiheet.
Internet Explorer ja Google Chrome - sertifikaatin asentaminen paikallisesti
Huomautus: Vaikka Firefox ei käytä alkuperäistä Windows-sertifikaattivarastoa, tämä on edelleen suositeltava vaihe.
Kopioi palvelimelta (PFX-tiedosto) viety varmenne asiakaskoneeseen tai varmista, että se on käytettävissä verkkopolussa.
Avaa paikallisen varmenteen tallennuksen hallinta asiakaskoneessa käyttämällä samat vaiheet kuin edellä. Lopulta päädyt alla olevaan näyttöön.
Laajenna vasemmalla puolella Sertifikaatit> Luotetut root-sertifiointiviranomaiset. Napsauta sertifikaatit-kansiota hiiren kakkospainikkeella ja valitse Kaikki tehtävät> Tuo.
Valitse sertifikaatti, joka kopioitiin paikallisesti laitteeseesi.
Anna suojaussalasana, joka on annettu, kun varmenne vietiin palvelimelta.
Kauppa ”Trusted Root Certification Authorities” on täytettävä määränpäänä. Valitse Seuraava.
Tarkista asetukset ja napsauta Valmis.
Sinun pitäisi nähdä menestysviesti.
Päivitä luotettujen juurihyväksyntäviranomaisten> Sertifikaatit-kansion näkymä ja sinun pitäisi nähdä palvelimen itse allekirjoittama varmenne, joka on lueteltu kaupassa.
Tämä on tehty, sinun pitäisi pystyä selaamaan HTTPS-sivustoon, joka käyttää näitä varmenteita eikä saa varoituksia tai kehotuksia.
Firefox - poikkeusten salliminen
Firefox käsittelee tätä prosessia hieman eri tavalla, koska se ei lue varmenteita koskevia tietoja Windows-kaupasta. Sen sijaan, että asennat varmenteita (per-se), voit määrittää poikkeuksia SSL-varmenteille tietyillä sivustoilla.
Kun käyt sivustossa, jossa on varmenteuvirhe, saat alla olevan varoituksen. Sininen alue nimeää vastaavan URL-osoitteen, johon yrität käyttää. Jos haluat luoda poikkeuksen ohittaa tämän varoituksen vastaavassa URL-osoitteessa, napsauta Lisää poikkeus -painiketta.
Napsauta Lisää tietoturvaa koskeva -valintaikkuna napsauttamalla Vahvista tietoturvaa, jos haluat määrittää poikkeuksen paikallisesti.
Huomaa, että jos jokin tietty sivusto ohjaa itsensä aliverkkotunnuksia, saatat saada useita turvallisuusvaroituksia (URL-osoite on hieman erilainen joka kerta). Lisää poikkeuksia näihin URL-osoitteisiin käyttämällä samoja ohjeita kuin edellä.
johtopäätös
On syytä toistaa edellä mainittua ilmoitusta ei koskaan asenna tietoturvatodistus tuntemattomasta lähteestä. Käytännössä sinun pitäisi asentaa varmenne vain paikallisesti, jos luot sen. Mikään laillinen sivusto ei vaadi sinua suorittamaan nämä vaiheet.
Linkit
Lataa IIS 6.0 Resource Toolkit (sisältää SelfSSL-apuohjelman) Microsoftilta