Główna » jak » IT Jak stworzyć certyfikat bezpieczeństwa (SSL) i wdrożyć go na komputerach klienckich

    IT Jak stworzyć certyfikat bezpieczeństwa (SSL) i wdrożyć go na komputerach klienckich

    Programiści i administratorzy IT mają bez wątpienia potrzebę wdrożenia witryny za pośrednictwem protokołu HTTPS przy użyciu certyfikatu SSL. Podczas gdy ten proces jest dość prosty w przypadku witryny produkcyjnej, w celu rozwoju i testowania może się okazać, że w tym miejscu trzeba również użyć certyfikatu SSL.

    Jako alternatywa dla zakupu i odnowienia rocznego certyfikatu, możesz wykorzystać zdolność systemu Windows Server do generowania certyfikatu z podpisem własnym, który jest wygodny, łatwy i powinien doskonale spełniać te potrzeby..

    Tworzenie certyfikatu samopodpisanego na IIS

    Chociaż istnieje kilka sposobów na wykonanie zadania tworzenia certyfikatu z podpisem własnym, użyjemy narzędzia SelfSSL firmy Microsoft. Niestety nie jest to dostarczane z usługami IIS, ale jest swobodnie dostępne w ramach zestawu narzędzi Resource Tool IIS 6.0 (łącze zamieszczone na końcu tego artykułu). Pomimo nazwy "IIS 6.0" to narzędzie działa dobrze w IIS 7.

    Wszystko, czego potrzeba, to wyodrębnić IIS6RT, aby pobrać narzędzie selfssl.exe. Stąd możesz skopiować go do swojego katalogu Windows lub ścieżki sieciowej / dysku USB do wykorzystania w przyszłości na innym komputerze (abyś nie musiał pobierać i wyodrębniać całego IIS6RT).

    Gdy masz już narzędzie SelfSSL, uruchom następującą komendę (jako administrator), zastępując odpowiednio wartości:

    selfssl / N: CN = / V:

    Poniższy przykład tworzy samopodpisany certyfikat wieloznaczny na "moja_domena.com" i ustawia go na 9999 dni. Ponadto, odpowiadając na pytanie "tak", ten certyfikat jest automatycznie konfigurowany w celu powiązania z portem 443 wewnątrz domyślnej witryny sieci Web usług IIS.

    O ile w tym momencie certyfikat jest gotowy do użycia, jest przechowywany tylko w osobistym magazynie certyfikatów na serwerze. Dobrą praktyką jest również ustawienie tego certyfikatu w zaufanym katalogu głównym.

    Przejdź do Start> Uruchom (lub Klawisz Windows + R) i wpisz "mmc". Możesz otrzymać komunikat UAC, zaakceptuj go i otworzy się pusta konsola zarządzania.

    W konsoli przejdź do Plik> Dodaj / Usuń przystawkę.

    Dodaj certyfikaty z lewej strony.

    Wybierz opcję Konto komputera.

    Wybierz Komputer lokalny.

    Kliknij OK, aby wyświetlić Magazyn certyfikatów lokalnych.

    Przejdź do opcji Osobiste> Certyfikaty i zlokalizuj certyfikat, który ustawiłeś za pomocą narzędzia SelfSSL. Kliknij certyfikat prawym przyciskiem myszy i wybierz opcję Kopiuj.

    Przejdź do Zaufane główne urzędy certyfikacji> Certyfikaty. Kliknij prawym przyciskiem folder Certyfikaty i wybierz polecenie Wklej.

    Wpis dotyczący certyfikatu SSL powinien pojawić się na liście.

    W tym momencie serwer nie powinien mieć problemów z obsługą certyfikatu z podpisem własnym.

    Eksportowanie certyfikatu

    Jeśli masz zamiar uzyskać dostęp do witryny, która używa podpisanego certyfikatu SSL na dowolnym komputerze klienta (tj. Na dowolnym komputerze, który nie jest serwerem), w celu uniknięcia potencjalnego ataku błędów i ostrzeżeń certyfikatu, powinien zostać zainstalowany samopodpisany certyfikat na każdej z maszyn klienckich (które omówimy szczegółowo poniżej). Aby to zrobić, najpierw musimy wyeksportować odpowiedni certyfikat, aby mógł zostać zainstalowany na klientach.

    Wewnątrz konsoli z załadowanym systemem zarządzania certyfikatami przejdź do Zaufane główne urzędy certyfikacji> Certyfikaty. Zlokalizuj certyfikat, kliknij prawym przyciskiem myszy i wybierz Wszystkie zadania> Eksportuj.

    Gdy pojawi się monit o wyeksportowanie klucza prywatnego, wybierz opcję Tak. Kliknij Następny.

    Pozostaw domyślne wybory formatu pliku i kliknij Dalej.

    Wprowadź hasło. To będzie używane do ochrony certyfikatu, a użytkownicy nie będą mogli go zaimportować lokalnie bez wpisania tego hasła.

    Wprowadź lokalizację, aby wyeksportować plik certyfikatu. Będzie w formacie PFX.

    Potwierdź swoje ustawienia i kliknij przycisk Zakończ.

    Powstały plik PFX jest tym, co zostanie zainstalowane na komputerach klienckich w celu poinformowania ich, że samopodpisany certyfikat pochodzi z zaufanego źródła.

    Wdrażanie na komputerach klienckich

    Po utworzeniu certyfikatu po stronie serwera i sprawieniu, aby wszystko działało, możesz zauważyć, że gdy komputer klienta łączy się z odpowiednim adresem URL, wyświetlane jest ostrzeżenie o certyfikacie. Dzieje się tak, ponieważ urząd certyfikacji (Twój serwer) nie jest zaufanym źródłem certyfikatów SSL na kliencie.

    Możesz kliknąć ostrzeżenia i uzyskać dostęp do strony, jednak możesz otrzymywać powtarzające się powiadomienia w postaci podświetlonego paska adresu URL lub powtarzających się ostrzeżeń o certyfikatach. Aby uniknąć tej irytacji, wystarczy zainstalować niestandardowy certyfikat bezpieczeństwa SSL na komputerze klienta.

    W zależności od używanej przeglądarki proces ten może się różnić. IE i Chrome zarówno czytają ze sklepu Windows Certificate, jak i Firefox mają niestandardową metodę obsługi certyfikatów bezpieczeństwa.

    Ważna uwaga: Powinieneś nigdy zainstaluj certyfikat bezpieczeństwa z nieznanego źródła. W praktyce powinieneś zainstalować lokalnie certyfikat tylko wtedy, gdy go wygenerowałeś. Żadna legalna witryna nie wymaga wykonywania tych kroków.

    Internet Explorer i Google Chrome - lokalna instalacja certyfikatu

    Uwaga: mimo że Firefox nie korzysta z natywnego magazynu certyfikatów systemu Windows, jest to nadal zalecany krok.

    Skopiuj certyfikat, który został wyeksportowany z serwera (plik PFX) na komputer klienta lub upewnij się, że jest dostępny w ścieżce sieciowej.

    Otwórz zarządzanie lokalnym magazynem certyfikatów na komputerze klienta, wykonując dokładnie te same kroki, co powyżej. W końcu trafisz na ekran podobny do poniższego.

    Po lewej stronie rozwiń Certyfikaty> Zaufane główne urzędy certyfikacji. Kliknij prawym przyciskiem myszy folder Certyfikaty i wybierz Wszystkie zadania> Importuj.

    Wybierz certyfikat, który został skopiowany lokalnie na Twój komputer.

    Wprowadź hasło zabezpieczeń przypisane podczas eksportowania certyfikatu z serwera.

    Sklep "Zaufane główne urzędy certyfikacji" powinien zostać wstępnie wypełniony jako miejsce docelowe. Kliknij Następny.

    Przejrzyj ustawienia i kliknij przycisk Zakończ.

    Powinieneś zobaczyć komunikat o powodzeniu.

    Odśwież widok folderu Zaufane główne urzędy certyfikacji> Certyfikaty i powinieneś zobaczyć podpisany przez siebie certyfikat serwera w sklepie.

    Po wykonaniu tej czynności powinieneś mieć możliwość przeglądania strony HTTPS, która używa tych certyfikatów i nie otrzymuje ostrzeżeń ani monitów.

    Firefox - zezwalanie na wyjątki

    Firefox obsługuje ten proces nieco inaczej, ponieważ nie odczytuje informacji o certyfikacie ze sklepu Windows. Zamiast instalować certyfikaty (per-se), umożliwia definiowanie wyjątków dla certyfikatów SSL w określonych witrynach.

    Podczas odwiedzania witryny z błędem certyfikatu pojawi się ostrzeżenie podobne do poniższego. Obszar oznaczony kolorem niebieskim określi odpowiedni adres URL, do którego próbujesz uzyskać dostęp. Aby utworzyć wyjątek, który pomija to ostrzeżenie w odpowiednim adresie URL, kliknij przycisk Dodaj wyjątek.

    W oknie dialogowym Add Security Exception kliknij opcję Confirm Security Exception, aby skonfigurować ten wyjątek lokalnie.

    Zwróć uwagę, że jeśli dana witryna przekierowuje do subdomen z samej siebie, możesz otrzymać wiele ostrzeżeń o bezpieczeństwie (za każdym razem adres URL jest nieco inny). Dodaj wyjątki dla tych adresów URL, wykonując te same kroki, co powyżej.

    Wniosek

    Warto powtórzyć powyższą uwagę, że powinieneś nigdy zainstaluj certyfikat bezpieczeństwa z nieznanego źródła. W praktyce powinieneś zainstalować lokalnie certyfikat tylko wtedy, gdy go wygenerowałeś. Żadna legalna witryna nie wymaga wykonywania tych kroków.

    Spinki do mankietów

    Pobierz IIS 6.0 Resource Toolkit (zawiera narzędzie SelfSSL) firmy Microsoft