IT: Slik oppretter du et SSL-sertifikat (SIGN) og distribuerer det til klientmaskiner

Utviklere og IT-administratorer har uten tvil behov for å distribuere noe nettsted gjennom HTTPS ved hjelp av et SSL-sertifikat. Selv om denne prosessen er ganske enkel for et produksjonssted, kan du i utviklings- og testformål også finne behovet for å bruke et SSL-sertifikat her også.

Som en alternativ til å kjøpe og forny et årlig sertifikat, kan du utnytte din Windows Server evne til å generere et selvsignert sertifikat som er praktisk, enkelt og burde oppfylle disse typer behov perfekt.

Opprette et selvsignert sertifikat på IIS

Selv om det er flere måter å oppnå oppgaven med å lage et selvsignert sertifikat, vil vi bruke SelfSSL-verktøyet fra Microsoft. Dessverre sendes ikke dette med IIS, men det er fritt tilgjengelig som en del av IIS 6.0 Resource Toolkit (lenke som er oppgitt nederst i denne artikkelen). Til tross for navnet "IIS 6.0" fungerer dette verktøyet fint i IIS 7.

Alt som kreves er å pakke ut IIS6RT for å få selvssl.exe-verktøyet. Herfra kan du kopiere den til Windows-katalogen eller en nettverksbane / USB-stasjon for fremtidig bruk på en annen maskin (slik at du ikke trenger å laste ned og pakke ut hele IIS6RT).

Når du har SelfSSL-verktøyet på plass, kjør følgende kommando (som administrator) erstatter verdiene i <> etter behov:


selfssl /N:CN= /V:

Eksempelet nedenfor produserer et selvsignert wildcard-sertifikat mot "mydomain.com" og angir at det gjelder 9.999 dager. I tillegg ved å svare ja til spørringen, er dette sertifikatet automatisk konfigurert til å binde til port 443 inne i IIS standardwebområde.

Selv om sertifikatet er klar til bruk, er det bare lagret i personlig sertifikatbutikk på serveren. Det er en god praksis å også ha dette sertifikatet satt i den klarerte rotten også.

Gå til Start> Kjør (eller Windows-tast + R) og skriv inn "mmc". Du kan få en UAC-prompt, godta den og en tom administrasjonskonsoll åpnes.

I konsollen går du til Arkiv> Legg til / fjern snap-in.

Klikk OK for å vise lokal sertifikat butikk.

Naviger til Personlig> Sertifikater og finn sertifikatet du konfigurerer ved hjelp av SelfSSL-verktøyet. Høyreklikk på sertifikatet og velg Kopier.

Naviger til Trusted Root Certification Authorities> Sertifikater. Høyreklikk på sertifikatmappen og velg Lim inn.

En oppføring for SSL-sertifikatet skal vises i listen.

På dette tidspunktet må serveren din ikke ha problemer med å jobbe med det selvsignerte sertifikatet.

Eksportere sertifikatet

Hvis du skal få tilgang til et nettsted som bruker det selvskrevne SSL-sertifikatet på en hvilken som helst klientmaskin (dvs. en hvilken som helst datamaskin som ikke er serveren), for å unngå potensiell angrep av sertifikatfeil og advarsler, skal det selvsignerte sertifikatet installeres på hver av klientmaskinene (som vi vil diskutere i detalj nedenfor). For å gjøre dette må vi først eksportere respektive sertifikat slik at det kan installeres på klientene.

Innsiden av konsollen med sertifiseringsadministrasjon lastet, naviger til Trusted Root Certification Authorities> Sertifikater. Finn sertifikatet, høyreklikk og velg Alle oppgaver> Eksporter.

Når du blir bedt om å eksportere den private nøkkelen, velger du Ja. Klikk på Neste.

La standardvalgene for filformatet og klikk på Neste.

Skriv inn et passord. Dette vil bli brukt til å beskytte sertifikatet, og brukere vil ikke kunne importere det lokalt uten å skrive inn dette passordet.

Skriv inn et sted for å eksportere sertifikatfilen. Det vil være i PFX-format.

Bekreft innstillingene dine og klikk på Fullfør.

Den resulterende PFX-filen er det som vil bli installert på klientmaskinene dine for å fortelle dem at ditt selvsignerte sertifikat er fra en klarert kilde.

Utplassering til klientmaskiner

Når du har opprettet sertifikatet på serverens side og har alt som fungerer, kan du merke at når en klientmaskin kobles til den respektive nettadressen, vises en sertifikatvarsel. Dette skjer fordi sertifikatautoriteten (serveren din) ikke er en klar kilde for SSL-sertifikater på klienten.

Du kan klikke gjennom advarslene og få tilgang til nettstedet, men du kan få gjentatte merknader i form av en uthevet nettadresselinje eller gjentatte sertifikatadvarsler. For å unngå denne irritasjonen trenger du bare å installere det egendefinerte SSL-sikkerhetssertifikatet på klientmaskinen.

Avhengig av hvilken nettleser du bruker, kan denne prosessen variere. IE og Chrome leses begge fra Windows-sertifikatbutikken, men Firefox har en tilpasset metode for håndtering av sikkerhetssertifikater.

Viktig notat: Du burde aldri installer et sikkerhetssertifikat fra en ukjent kilde. I praksis bør du bare installere et sertifikat lokalt hvis du genererer det. Ingen legitim nettside vil kreve at du utfører disse trinnene.

Internet Explorer og Google Chrome - Installere sertifikatet lokalt

Merk: Selv om Firefox ikke bruker den innfødte Windows-sertifikatbutikken, er dette fortsatt et anbefalt trinn.

Kopier sertifikatet som ble eksportert fra serveren (PFX-filen) til klientmaskinen, eller sørg for at den er tilgjengelig i en nettverksbane.

Åpne den lokale sertifikatbutikkstyringen på klientmaskinen ved hjelp av nøyaktig samme trinn som ovenfor.Du vil til slutt ende opp på en skjerm som den nedenfor.

På venstre side utvider du Sertifikater> Trusted Root Certification Authorities. Høyreklikk på sertifikatmappen og velg Alle oppgaver> Importer.

Velg sertifikatet som ble kopiert lokalt til maskinen din.

Skriv inn sikkerhetspassordet tildelt når sertifikatet ble eksportert fra serveren.

Butikken "Trusted Root Certification Authorities" bør fylles ut som destinasjon. Klikk på Neste.

Gå gjennom innstillingene og klikk på Fullfør.

Oppdater visningen av Trusted Root Certification Authorities> Sertifikater-mappen, og du bør se serverens selvsignerte sertifikat som er oppført i butikken.

En dette er gjort, du bør kunne bla gjennom til et HTTPS-nettsted som bruker disse sertifikatene, og mottar ingen advarsler eller instruksjoner.

Firefox - Tillater unntak

Firefox håndterer denne prosessen litt annerledes, da den ikke leser sertifikatinformasjon fra Windows-butikken. I stedet for å installere sertifikater (per-se), kan du definere unntak for SSL-sertifikater på bestemte nettsteder.

Når du besøker et nettsted som har en sertifikatfeil, får du en advarsel som den nedenfor. Området i blått vil nevne den respektive nettadressen du prøver å få tilgang til. Hvis du vil opprette et unntak for å omgå denne advarselen på den respektive nettadressen, klikker du på Legg til unntak-knappen.

I dialogboksen Legg til sikkerhetsundersøkelse klikker du på Bekreft sikkerhetseksjonen for å konfigurere dette unntaket lokalt.

Merk at hvis et bestemt nettsted omdirigerer til underdomener fra seg selv, kan det hende du får flere advarselsmeldinger (med nettadressen noe annerledes hver gang). Legg til unntak for de nettadressene som bruker de samme trinnene som ovenfor.

Konklusjon

Det er verdt å gjenta varselet over det du burde aldri installer et sikkerhetssertifikat fra en ukjent kilde. I praksis bør du bare installere et sertifikat lokalt hvis du genererer det. Ingen legitim nettside vil kreve at du utfører disse trinnene.