31Aug
Razvijalci in IT skrbniki imajo nedvomno potrebo po uvedbi nekaterih spletnih strani preko HTTPS z uporabo potrdila SSL.Čeprav je ta postopek precej preprost za proizvodno mesto, lahko za razvoj in testiranje ugotovite potrebo po uporabi potrdila SSL tudi tukaj.
Kot namestnik za nakup in obnovo letnega certifikata lahko izkoristite zmožnost vašega strežnika Windows Server za ustvarjanje samopotpisnega certifikata, ki je priročen, enostaven in mora biti v skladu s temi vrstami potreb.
Ustvarjanje samopodpisanega certifikata na IIS
Čeprav obstaja več načinov za izpolnitev naloge ustvarjanja samopotpisanega potrdila, bomo z Microsofta uporabili pripomoček SelfSSL.Na žalost se to ne pošilja z IIS-jem, ampak je prosto dostopno kot del orodja za orodje IIS 6.0( povezava na dnu tega članka).Kljub imenu "IIS 6.0" ta pripomoček deluje v redu v IIS 7.
Vse, kar je potrebno, je, da izvlečete IIS6RT, da bi dobili selfssl.exe korist. Od tu lahko kopirate v svoj imenik Windows ali omrežno pot / USB pogon za prihodnjo uporabo na drugem računalniku( zato vam ni treba prenesti in izvleči celotnega IIS6RT).
Ko imate na voljo pripomoček SelfSSL, zaženite naslednji ukaz( kot skrbnik), ki nadomesti vrednosti v & lt; & gt;kot je primerno:
selfssl /N:CN=<your.domain.com>/ V: število veljavnih dni & gt;
Spodnji primer proizvaja samopodpisano nadomestno potrdilo z oznako »mydomain.com« in ga nastavi za 9.999 dni. Poleg tega se z odgovorom na poziv sproži samodejno konfiguriranje tega potrdila, da se poveže z vrati 443 znotraj Privzetega spletnega mesta IIS.
Medtem ko je certifikat na tej točki pripravljen za uporabo, je shranjen le v shrambi osebnega certifikata na strežniku. To je tudi najboljša praksa, da je ta certifikat tudi v zaupnem korenu.
Pojdite na Start & gt;Zaženi( ali Windows Key + R) in vnesite "mmc".Morda prejmete poziv UAC, ga sprejmete in odpre se prazna konzola za upravljanje.
V konzoli pojdite na Datoteka & gt;Dodaj / odstrani snap-in.
Dodajte certifikate z leve strani.
Izberite Računalniški račun.
Izberite Lokalni računalnik.
Kliknite V redu, da si ogledate trgovino Lokalni certifikat.
Odprite Personal & gt;Potrdila in poiščite potrdilo, ki ga nastavite z uporabo pripomočka SelfSSL.Z desno tipko miške kliknite potrdilo in izberite Kopiraj.
Krmarite do pooblaščenih organov za certificiranje korenov & gt;Potrdila. Z desno tipko miške kliknite mapo Potrdila in izberite Prilepi.
V seznam mora biti prikazan certifikat SSL.
Na tej točki vaš strežnik ne sme imeti nobenih težav s samopodpisanim potrdilom.
Izvoz potrdila
Če boste dostopali do spletnega mesta, ki uporablja samopodpisano potrdilo SSL na kateremkoli računalniku( to je kateri koli računalnik, ki ni strežnik), da bi se izognili potencialnemu napadu napak in opozoril certifikata,podpisani certifikat mora biti nameščen na vsakem od naprav odjemalca( o čemer bomo podrobneje razložili spodaj).Če želite to narediti, najprej izvozimo ustrezen certifikat, da ga lahko namestimo na stranke.
V notranjosti konzole s naloženim upravljanjem certifikatov pojdite v Trusted Root Certification Authorities & gt;Potrdila. Poiščite certifikat, z desno tipko miške kliknite in izberite Vse naloge & gt;Izvozi.
Ko se zahteva, da izvozite zasebni ključ, izberite Da. Kliknite Naprej.
Pustite privzete izbire za obliko datoteke in kliknite Naprej.
Vnesite geslo. To bo uporabljeno za zaščito certifikata in uporabniki ne bodo mogli uvoziti na lokalni ravni brez vpisa tega gesla.
Vnesite lokacijo za izvoz datoteke potrdila. To bo v obliki PFX.
Potrdite svoje nastavitve in kliknite Dokončaj.
Posledična datoteka PFX je tista, ki bo nameščena na vaše naprave za odjemalce, da jim pove, da je vaš samopotpisan certifikat iz zaupnega vira.
Uvajanje na odjemalske naprave
Ko ste na strani strežnika ustvarili certifikat in imate vse, kar lahko delate, boste morda opazili, da se, ko se odjemalski računalnik poveže z ustreznim URL-jem, prikaže opozorilo o certifikatu. To se zgodi, ker organ za potrdila( vaš strežnik) ni odjemalec za potrdila SSL na odjemalcu.
Kliknete lahko prek opozoril in dostopate do spletnega mesta, vendar lahko ponovite obvestila v obliki označene vrstice URL-jev ali ponavljajočih opozoril za potrdila. Da bi se izognili tej motnji, morate preprosto namestiti varnostno potrdilo SSL po meri na odjemalskem računalniku.
Ta postopek se lahko razlikuje glede na brskalnik, ki ga uporabljate. IE in Chrome berejo v trgovini s certifikati Windows, vendar ima Firefox po meri način ravnanja z varnostnimi certifikati.
Pomembno opozorilo: nikoli ne sme namestiti varnostnega potrdila iz neznanega vira. V praksi morate lokalno namestiti samo potrdilo, če ste ga ustvarili. Nobena zakonita spletna stran ne bi zahtevala teh korakov.
Internet Explorer &Google Chrome - Namestitev certifikata lokalno
Opomba: Čeprav Firefox ne uporablja shranjene trgovine s certifikati Windows, je to še vedno priporočljiv korak.
Kopirajte potrdilo, ki je bilo izvoženo iz strežnika( datoteka PFX) na odjemalsko napravo ali zagotovite, da je na voljo v omrežni poti.
Odprite lokalno upravljanje shranjevalnikov certifikatov na odjemalskem računalniku z natančnimi koraki, kot je opisano zgoraj. Na koncu boste na koncu zaslona, kot je spodaj.
Na levi strani razširite Certifikati & gt;Zaupne organe za certificiranje korenin. Z desno miškino tipko kliknite mapo Potrdila in izberite Vse naloge & gt;Uvozi.
Izberite certifikat, ki ste ga lokalno kopirali v napravo.
Vnesite varnostno geslo, dodeljeno, ko je bilo potrdilo izvoženo iz strežnika.
Skladišče "Trusted Root Certification Authorities" mora biti prednaloženo kot destinacija. Kliknite Naprej.
Preglejte nastavitve in kliknite Dokončaj.
Morali bi videti sporočilo o uspehu.
Osvežite svoj pogled na pooblaščene organe za certificiranje korenov & gt;Potrdi mapo in videti morate strežnikovo samo podpisano potrdilo, navedeno v trgovini.
Eno je to storjeno, lahko bi morali brskati na spletno mesto HTTPS, ki uporablja te certifikate in ne prejme opozoril ali pozivov.
Firefox - dovoljenje za izjeme
Firefox obravnava ta proces nekoliko drugače, saj ne shrani podatkov o certifikatu iz trgovine Windows. Namesto namestitve certifikatov( per-se) vam omogoča, da določite izjeme za potrdila SSL na določenih spletnih mestih.
Ko obiščete spletno mesto, ki ima napako v certifikatu, boste prejeli opozorilo, kot je spodaj navedeno. Območje v modri barvi bo označilo ustrezni URL, do katerega poskušate dostopati.Če želite ustvariti izjemo, ki bi obljubila to opozorilo na ustreznem URL-ju, kliknite gumb Dodaj izjemo.
V pogovornem oknu Dodaj varnostno izjemo kliknite Confirm Security Exception za konfiguriranje te izjeme na lokalni ravni.
Upoštevajte, da če posamezno spletno mesto preusmeri na poddomene znotraj samega sebe, lahko dobite več opozoril o varnostnem opozorilu( vsak URL je nekoliko drugačen).Dodajte izjeme za te URL-je z uporabo istih korakov kot zgoraj.
Zaključek
Povedati je treba, da nikoli ne sme namestiti varnostnega potrdila iz neznanega vira. V praksi morate lokalno namestiti samo potrdilo, če ste ga ustvarili. Nobena zakonita spletna stran ne bi zahtevala teh korakov.
Povezave
Prenesite IIS 6.0 Resource Toolkit( vključno z orodjem SelfSSL) iz Microsoft