31Aug
A fejlesztők és az informatikai rendszergazdák kétségkívül szükségessé teszik, hogy bizonyos webhelyeket telepítsenek HTTPS-en keresztül SSL tanúsítvány használatával. Bár ez a folyamat meglehetősen egyszerű egy gyártási webhely számára, fejlesztés és tesztelés céljából itt is szükség van SSL tanúsítvány használatára.
Az éves tanúsítvány megvásárlásának és megújításának alternatívájaként kihasználhatja a Windows Server azon képességét, hogy önálló aláírással ellátott tanúsítványt hozzon létre, amely kényelmes, könnyű, és tökéletesen megfelel ezeknek a szükségleteknek.
Saját aláírású tanúsítvány létrehozása az IIS
-ben Bár az önaláírt tanúsítvány létrehozásának feladatát többféle módon is elvégezhetjük, a Microsoft saját SelfSSL segédprogramját használjuk. Sajnos ez nem szállít az IIS-mel, de szabadon hozzáférhető az IIS 6.0 Resource Toolkit részeként( a cikk alján található link).Az "IIS 6.0" név ellenére ez a segédprogram jól működik az IIS 7-ben.
Mindössze annyit kell tennie, hogy kivonja az IIS6RT-t, hogy megkapja a selfssl.exe segédprogramot. Innen másolhatja a Windows könyvtárába vagy egy hálózati elérési útba / USB-meghajtóba egy másik gépen való későbbi használathoz( tehát nem kell letöltenie és kivonnia a teljes IIS6RT-t).
Miután a SelfSSL segédprogram helyén volt, futtassa a következő parancsot( a rendszergazdaként) a & lt; & gt;adott esetben:
selfssl /N:CN=<your.domain.com>/ V: & lt; érvényes napok száma & gt;
Az alábbi példa önállóan aláírt helyettesítő tanúsítványt állít elő a "mydomain.com" ellen, és 9 999 napig érvényes. Ezenkívül, ha válaszolunk a "yes" -re a "prompt" -ra, ez a tanúsítvány automatikusan konfigurálva van arra, hogy a 443-as porthoz kapcsolódjon az IIS alapértelmezett webhelyén.
Míg ezen a ponton a tanúsítvány készen áll a használatra, csak a kiszolgáló személyes tanúsítványtárolójában tárolódik. Ez a legjobb gyakorlat, ha a tanúsítványt a megbízható gyökérbe is be kell állítani.
Ugrás a Start & gt;Futtatás( vagy Windows billentyű + R) és írja be a "mmc" parancsot. Kaphat egy UAC-parancsot, fogadja el, és megnyílik egy üres kezelőkonzol.
A konzolban ugorjon a Fájl & gt;A beépülő modul hozzáadása / eltávolítása.
Tanúsítványok hozzáadása a bal oldalon.
Számítógép-fiók kiválasztása.
Válassza a Helyi számítógép lehetőséget.
Az OK gombra kattintva megtekintheti a Helyi tanúsítványtárolót.
Navigáljon a Személyes & gt;Tanúsítványokat és keresse meg a beállított tanúsítványt a SelfSSL segédprogrammal. Kattintson jobb gombbal a tanúsítványra, és válassza a Másolás lehetőséget.
Navigáljon a megbízható gyökérfelügyeleti hatósághoz & gt;Tanúsítványok. Kattintson a jobb gombbal a Tanúsítványok mappára, és válassza a Beillesztés lehetőséget.
Az SSL-tanúsítványra vonatkozó bejegyzést a listában kell megjeleníteni.
Ezen a ponton a kiszolgálónak nincs problémája az önaláírt tanúsítvánnyal való együttműködésben.
A tanúsítvány exportálása
Ha olyan webhelyet szeretne elérni, amely az önállóan aláírt SSL tanúsítványt használ bármely ügyfélgépen( azaz bármely olyan számítógépen, amely nem a szerver), annak érdekében, hogy elkerülje a tanúsítvány hibáinak és figyelmeztetéseinek esetleges támadásátalá kell írni az aláírt tanúsítványt mindegyik ügyfélgépen( amelyről részletesen tárgyalunk).Ehhez először ki kell exportálnunk a megfelelő tanúsítványt, hogy telepíthetjük az ügyfelekre.
A tanúsítványkezeléssel ellátott konzolon belül navigálhat a Megbízható Gyökérigazoló Hatóságok & gt;Tanúsítványok. Keresse meg a tanúsítványt, kattintson a jobb gombbal, és válassza az Összes feladat & gt;Export.
Ha a privát kulcs exportálását kéri, válassza az Igen lehetőséget. Kattintson a Tovább gombra.
Hagyja el a fájlformátum alapértelmezett beállításait, és kattintson a Tovább gombra.
Adjon meg egy jelszót. Ez a tanúsítvány védelme, és a felhasználók nem tudják helyben importálni ezt a jelszót.
Adjon meg egy helyet a tanúsítványfájl exportálásához. PFX formátumban lesz.
Erősítse meg a beállításait, és kattintson a Befejezés gombra.
Az eredményül kapott PFX fájl a kliens gépekre telepíti azt, hogy az Ön által aláírt tanúsítvány megbízható forrásból származik.
Ügyfélgépek
telepítéseMiután létrehozta a tanúsítványt a kiszolgáló oldalán, és mindenben működik, észreveheti, hogy amikor egy ügyfélgép csatlakozik a megfelelő URL-hez, megjelenik a tanúsítványra vonatkozó figyelmeztetés. Ez azért van így, mert a tanúsítványhatóság( a kiszolgáló) nem megbízható forrás az SSL-tanúsítványokon az ügyfél számára.
A figyelmeztetésekre kattintva beléphet a webhelyre, azonban ismételt értesítéseket kaphat kiemelt URL-sáv vagy ismétlődő tanúsítvány-figyelmeztetések formájában. A bosszúság elkerülése érdekében egyszerűen telepítenie kell az egyéni SSL biztonsági tanúsítványt az ügyfélgépre.
A használt böngészőtől függően ez a folyamat változhat. Az IE és a Chrome mindkettőt a Windows tanúsítványboltból olvassa, bár a Firefox egyéni módja a biztonsági tanúsítványok kezelésének.
Fontos megjegyzés: Az soha nem telepít biztonsági tanúsítványt ismeretlen forrásból. A gyakorlatban csak akkor szabad telepíteni a tanúsítványt, ha azt generálta. Semmi törvényes webhely nem követelné meg ezeket a lépéseket.
Internet Explorer &Google Chrome - Tanúsítvány telepítése helyileg
Megjegyzés: Habár a Firefox nem használja a natív Windows tanúsítványtárolót, ez még mindig egy ajánlott lépés.
Másolja ki a kiszolgálóról( PFX fájl) exportált tanúsítványt az ügyfélgépre, vagy győződjön meg róla, hogy elérhető a hálózati elérési útvonalon.
Nyissa meg a helyi tanúsítványtároló menedzsmentet az ügyfélgépen a fenti lépésekkel. Végül egy olyan képernyőre fogsz kerülni, mint az alábbiakban.
A bal oldalon a Tanúsítványok & gt;Megbízható gyökértanúsító hatóságok. Kattintson a jobb gombbal a Tanúsítványok mappára, és válassza az Összes feladat & gt;Import.
Válassza ki azt a tanúsítványt, amelyet helyileg másolta a készülékre.
Adja meg a tanúsítvány exportálásakor megadott biztonsági jelszót.
A "Trusted Root Certification Authorities" áruházat célállomásként kell kitölteni. Kattintson a Tovább gombra.
Tekintse át a beállításokat, és kattintson a Befejezés gombra.
Meg kell jelennie egy sikeres üzenetet.
Frissítse a Megbízható Gyökér Tanúsító Hatóságok & gt;Tanúsítványok mappát, és látnia kell a kiszolgáló önálló aláírt tanúsítványát a tárolóban.
Egy ilyen megoldás, akkor képesnek kell lennie arra, hogy egy olyan HTTPS-webhelyre böngészhessen, amely ezeket a tanúsítványokat használja, és nem kap figyelmeztetést és figyelmeztetést.
Firefox - Kivételek engedélyezése
A Firefox egy kicsit másképp kezeli ezt a folyamatot, mivel nem olvassa el a Windows-boltból származó tanúsítványinformációkat. A tanúsítványok( per-se) telepítése helyett lehetővé teszi bizonyos webhelyek SSL-tanúsítványainak kivételét.
Ha olyan webhelyet látogat meg, amelynek tanúsítványhibája van, figyelmeztetést kap, mint az alábbiakban. A kék színű terület megadja a megfelelő URL-címet, amelyet megpróbál elérni. Ha kivételt kíván létrehozni a figyelmeztetés megkerüléséhez a megfelelő URL-en, kattintson az Exception hozzáadása gombra.
A Biztonsági mentés hozzáadása párbeszédablakban kattintson a Biztonsági kivétel megerősítése lehetőségre a kivétel helyileg történő konfigurálásához.
Megjegyezzük, hogy ha egy adott webhely az aldomainekről belülről átirányítja magát, akkor több biztonsági figyelmeztetést kaphat( az URL pedig kicsit másként változik).Adjon kivételeket ezekhez az URL-ekhez ugyanazokkal a lépésekkel.
Következtetés
Meg kell ismételni a fenti közleményt, hogy soha ne telepítse biztonsági tanúsítványt ismeretlen forrásból. A gyakorlatban csak akkor szabad telepíteni a tanúsítványt, ha azt generálta. Semmi törvényes webhely nem követelné meg ezeket a lépéseket.
Linkek
Letöltés IIS 6.0 Resource Toolkit( magában foglalja a SelfSSL segédprogramot) a Microsoft
