If-Koubou

IT: Kako stvoriti potvrdu o samozignutoj sigurnosti (SSL) i staviti ga na klijentske strojeve

IT: Kako stvoriti potvrdu o samozignutoj sigurnosti (SSL) i staviti ga na klijentske strojeve (Kako da)

Razvojni programeri i IT administratori imaju, bez sumnje, potrebu da implementiraju neke web stranice putem HTTPS-a koristeći SSL certifikat. Iako je ovaj proces prilično jednostavan za proizvodnu stranicu, za potrebe razvoja i testiranja možda ćete ovdje morati koristiti SSL certifikat.

Kao alternativu kupnji i obnavljanju godišnje potvrde, možete iskoristiti sposobnost Windows Server-a za generiranje self-signed certifikat koji je prikladan, jednostavan i trebao bi savršeno ispuniti ove vrste potreba.

Izrada potvrde o samoznačenju na IIS-u

Iako postoji nekoliko načina za ostvarivanje zadatka izrade self-potpisanog certifikata, koristit ćemo Microsoftov program SelfSSL. Nažalost, to se ne isporučuje s IIS-om, no slobodno je dostupno kao dio IIS 6.0 Resource Toolkit (veza koja se nalazi na dnu ovog članka). Unatoč imenu "IIS 6.0", ovaj uslužni program dobro funkcionira u IIS-u 7.

Sve što je potrebno je izdvojiti IIS6RT da biste dobili program selfssl.exe. Odavde možete kopirati u Windows direktorij ili mrežni put / USB disk za buduću upotrebu na drugom računalu (tako da ne morate preuzeti i izvući puni IIS6RT).

Nakon što na svom mjestu imate program SelfSSL, pokrenite sljedeću naredbu (kao administratora) koja zamjenjuje vrijednosti u odgovarajućem:

selfssl / N: CN = / V:

U nastavku je navedena potvrda zamjenskog znaka s vlastitim potpisom "mydomain.com" i postavlja je na valutu 9.999 dana. Osim toga, odgovarajući na upit na upit, ovaj certifikat automatski se konfigurira da se veže na priključak 443 unutar zadane web stranice IIS-a.

Dok je u ovom trenutku potvrda spremna za upotrebu, ona se pohranjuje samo u osobnu trgovinu certifikata na poslužitelju. Najbolja je praksa da i ovaj certifikat bude postavljen u pouzdanom korijenu.

Idite na Start> Run (ili Windows Key + R) i unesite "mmc". Možete primiti UAC prompt, prihvatiti ga i otvorit će se prazna konzola za upravljanje.

Na konzoli idite na Datoteka> Dodaj / ukloni ugriz.

Dodaj potvrde s lijeve strane.

Odaberite Račun račun.

Odaberite Lokalno računalo.

Kliknite U redu da biste pregledali trgovinu lokalnih certifikata.

Idite na Osobna> Potvrde i pronađite certifikat koji ste postavili pomoću uslužnog programa SelfSSL. Desnom tipkom miša kliknite certifikat i odaberite Kopiraj.

Idite na Pouzdana ovlaštenja za certificiranje korijena> Potvrde. Desnom tipkom miša kliknite mapu Potvrde i odaberite Zalijepi.

Na popisu se treba pojaviti unos za SSL certifikat.

U ovom trenutku, vaš poslužitelj ne bi trebao imati problema s radom sa potpisom s potpisom.

Izvoz certifikata

Ako ćete pristupiti web stranici koja koristi samostalno potpisanu SSL certifikat na bilo kojem računalu klijenta (tj. Bilo kojem računalu koje nije poslužitelj), kako bi se izbjegao potencijalno zlostavljanje pogrešaka i upozorenja certifikata, trebala bi biti instalirana potpisana potvrda na svakom od klijentskih strojeva (o čemu ćemo detaljno opisati u nastavku). Da biste to učinili, prvo moramo izvesti odgovarajući certifikat tako da se može instalirati na klijente.

Unutar konzole s učitavanjem Upravitelja certifikata, idite na Pouzdana ovlaštenja za certificiranje korijena> Potvrde. Pronađite certifikat, desnom tipkom kliknite i odaberite Sve zadaće> Izvoz.

Kad se zatraži da izvezete privatni ključ, odaberite Da. Kliknite Dalje.

Ostavite zadane odabire za format datoteke i kliknite Dalje.

Unesite lozinku. To će se koristiti za zaštitu certifikata, a korisnici ga neće moći uvesti lokalno bez unosa ove zaporke.

Unesite lokaciju za izvoz datoteke potvrde. Bit će u PFX formatu.

Potvrdite svoje postavke i kliknite Završi.

Dobivena PFX datoteka je ono što će biti instalirano na strojeve klijenta da im kažete da je vaš potpisani certifikat iz pouzdanog izvora.

Postavljanje na klijentske strojeve

Nakon što stvorite certifikat na strani poslužitelja i imate sve što funkcionira, možda ćete primijetiti da kada se stroj klijenta spoji na odgovarajući URL, prikazuje se upozorenje o potvrdi. To se događa jer autoritet certifikata (vaš poslužitelj) nije pouzdan izvor za SSL certifikate klijenta.

Možete kliknuti upozorenja i pristupiti web-mjestu, no možda ćete dobiti ponovljene obavijesti u obliku označene trake URL-ova ili ponavljanja upozorenja o certifikatima. Da biste izbjegli smetnje, jednostavno morate instalirati prilagođeni SSL sigurnosni certifikat na klijentskom računalu.

Ovisno o pregledniku koji koristite, ovaj postupak može varirati. IE i Chrome čitali su iz trgovine Windows certifikata, no Firefox ima prilagođenu metodu rukovanja sigurnosnim certifikatima.

Važna nota: Trebao bi nikada instalirajte sigurnosni certifikat iz nepoznatih izvora. U praksi, lokalno biste trebali instalirati certifikat samo ako je generirate. Nijedna legitimna web stranica ne bi trebala izvršiti ove korake.

Internet Explorer i Google Chrome - lokalno instaliranje certifikata

Napomena: Iako Firefox ne koristi izvorni Windows trgovinu potvrde, to je i dalje preporučeni korak.

Kopirajte certifikat koji je izvezen s poslužitelja (PFX datoteka) na stroj klijenta ili osigurajte da je dostupan na mrežnom putu.

Otvorite lokalno upravljanje trgovinom certifikata na računalu klijenta koristeći iste korake kao gore. Naposljetku ćete završiti na zaslonu poput onog u nastavku.

S lijeve strane proširite Potvrde> Tijela za pouzdano certificiranje korijena. Desnom tipkom miša kliknite mapu Certificates i odaberite All Tasks> Import.

Odaberite certifikat koji je kopiran lokalno na vaš uređaj.

Unesite sigurnosnu lozinku dodijeljenu nakon izdavanja certifikata s poslužitelja.

Trgovina "Pouzdana ovlaštenja za certificiranje korijena" treba biti unaprijed napunjena kao odredište. Kliknite Dalje.

Pregledajte postavke i kliknite Završi.

Trebali biste vidjeti poruku o uspjehu.

Osvježite vlasnički pregled certificiranih autora certificiranih izvora> Certifikati i trebali biste vidjeti potvrdnu potvrdu poslužitelja navedenu u trgovini.

Jedan od njih je to, trebali biste moći pregledavati HTTPS stranicu koja koristi te certifikate i ne primaju nikakva upozorenja niti upute.

Firefox - Dopuštajući iznimke

Firefox obrađuje ovaj proces malo drugačije jer ne čita podatke o certifikatima iz trgovine Windows. Umjesto instalacije certifikata (per-se), omogućuje vam da odredite iznimke za SSL certifikate na određenim web stranicama.

Kada posjetite web stranicu koja ima pogrešku potvrde, dobit ćete upozorenje kao što je prikazano u nastavku. Područje u plavom naziva će odgovarajući URL koji pokušavate pristupiti. Da biste izradili izuzetak za zaobilaženje ovog upozorenja na odgovarajućem URL-u, kliknite gumb Dodaj iznimku.

U dijaloškom okviru Dodavanje sigurnosne zaštite kliknite Sigurnosno izuzeće za potvrdu da biste lokalno konfigurirali ovaj izuzetak.

Imajte na umu da ako određena web lokacija preusmjerava na poddomene iz samog sebe, možda ćete dobiti više upozorenja o sigurnosnim upozorenjima (pri čemu se svaki put blago razlikuje). Dodajte iznimke za te URL-ove pomoću istih koraka kao gore.

Zaključak

Važno je ponoviti gornju obavijest koju biste trebali učiniti nikada instalirajte sigurnosni certifikat iz nepoznatih izvora. U praksi, lokalno biste trebali instalirati certifikat samo ako je generirate. Nijedna legitimna web stranica ne bi trebala izvršiti ove korake.

linkovi

Preuzmite IIS 6.0 Resource Toolkit (uključuje SelfSSL program) tvrtke Microsoft