Mājas lapa » » IT Kā izveidot sev parakstītu drošības (SSL) sertifikātu un izvietot to klienta iekārtās

    IT Kā izveidot sev parakstītu drošības (SSL) sertifikātu un izvietot to klienta iekārtās

    Izstrādātājiem un IT administratoriem, bez šaubām, ir nepieciešams izvietot kādu tīmekļa vietni, izmantojot HTTPS, izmantojot SSL sertifikātu. Lai gan šis process ražošanas vietai ir diezgan vienkāršs, izstrādes un testēšanas nolūkos šeit var būt nepieciešams izmantot arī SSL sertifikātu.

    Kā alternatīvu ikgadējā sertifikāta iegādei un atjaunošanai jūs varat izmantot Windows Server spēju radīt sev parakstītu sertifikātu, kas ir ērts, vienkāršs un kas pilnībā atbilst šiem vajadzībām.

    IIS parakstīta sertifikāta izveide

    Lai gan ir vairāki veidi, kā izpildīt sev parakstīta sertifikāta izveidošanas uzdevumu, mēs izmantosim Microsoft SelfSSL utilītu. Diemžēl tas neattiecas uz IIS, bet tas ir brīvi pieejams kā daļa no IIS 6.0 resursu rīku kopas (saite, kas sniegta šī panta apakšā). Neskatoties uz nosaukumu “IIS 6.0”, šī lietderība darbojas tikai IIS 7.

    Viss, kas nepieciešams, ir iegūt IIS6RT, lai iegūtu utilītu selfssl.exe. No šejienes jūs varat to kopēt uz savu Windows direktoriju vai tīkla ceļu / USB disku, lai to varētu izmantot nākotnē citā ierīcē (tāpēc jums nav nepieciešams lejupielādēt un izņemt pilnu IIS6RT).

    Kad SelfSSL lietderība ir izveidota, palaidiet šādu komandu (kā administratoru), aizstājot vērtības atbilstoši:

    selfssl / N: CN = / V:

    Turpmāk sniegtais piemērs veido pašpaslēgtu aizstājējzīmes sertifikātu pret “mydomain.com” un nosaka, ka tas ir derīgs 9999 dienas. Turklāt, atbildot uz „jā” uz šo jautājumu, šis sertifikāts tiek automātiski konfigurēts, lai tas piesaistītos portam 443, kas atrodas IIS noklusējuma tīmekļa vietnē..

    Lai gan šajā brīdī sertifikāts ir gatavs lietošanai, tas tiek saglabāts tikai personīgā sertifikāta krātuvē serverī. Labākā prakse ir arī, lai šis sertifikāts būtu iekļauts arī uzticamajā saknē.

    Atveriet Start> Run (vai Windows Key + R) un ievadiet “mmc”. Jūs varat saņemt UAC uzvedni, pieņemt to un atvērsies tukšs vadības konsole.

    Konsolē atveriet File> Add / Remove Snap-in.

    Pievienojiet sertifikātus no kreisās puses.

    Izvēlieties Datora konts.

    Izvēlieties Vietējais dators.

    Noklikšķiniet uz Labi, lai skatītu vietējo sertifikātu veikalu.

    Pārvietojieties uz Personīgo> Sertifikāti un atrodiet sertifikātu, ko iestatījāt, izmantojot SelfSSL utilītu. Ar peles labo pogu noklikšķiniet uz sertifikāta un atlasiet Kopēt.

    Virzieties uz uzticamām saknes sertifikācijas iestādēm> Sertifikāti. Ar peles labo pogu noklikšķiniet uz mapes Sertifikāti un atlasiet Ielīmēt.

    Sarakstā jāparādās SSL sertifikāta ierakstam.

    Šajā brīdī jūsu serverim nevajadzētu strādāt ar pašu parakstītu sertifikātu.

    Sertifikāta eksportēšana

    Ja vēlaties piekļūt vietnei, kas izmanto sev parakstītu SSL sertifikātu jebkurā klienta iekārtā (ti, jebkurā datorā, kas nav serveris), lai izvairītos no iespējamiem sertifikātu kļūdu un brīdinājumu uzbrukumiem, ir jāinstalē pats parakstītais sertifikāts par katru klienta mašīnu (kuru mēs sīkāk apspriedīsim tālāk). Lai to izdarītu, vispirms ir jāeksportē atbilstošais sertifikāts, lai to varētu instalēt klientiem.

    Konsoles iekšpusē, kurā ir ielādēta sertifikātu pārvaldība, dodieties uz uzticamajām saknes sertifikācijas iestādēm> Sertifikāti. Atrodiet sertifikātu, ar peles labo pogu noklikšķiniet un atlasiet Visi uzdevumi> Eksportēt.

    Kad tiek piedāvāts eksportēt privāto atslēgu, izvēlieties Jā. Noklikšķiniet uz Tālāk.

    Atstājiet faila formāta noklusējuma atlasi un noklikšķiniet uz Tālāk.

    Ievadiet paroli. To izmantos, lai aizsargātu sertifikātu, un lietotāji nevarēs to importēt lokāli, neievadot šo paroli.

    Ievadiet vietu, kur eksportēt sertifikāta failu. Tas būs PFX formātā.

    Apstipriniet iestatījumus un noklikšķiniet uz Pabeigt.

    Iegūtais PFX fails ir tas, kas tiks instalēts jūsu klientu iekārtās, lai informētu, ka jūsu parakstītais sertifikāts ir no uzticama avota.

    Izvietošana klienta iekārtās

    Kad esat izveidojis sertifikātu servera pusē un jums ir viss darbs, iespējams, pamanīsiet, ka, kad klienta mašīna pieslēdzas attiecīgajam URL, tiek parādīts sertifikāta brīdinājums. Tas notiek tāpēc, ka sertifikāta iestāde (jūsu serveris) nav uzticams SSL sertifikātu avots klientam.

    Varat noklikšķināt caur brīdinājumiem un piekļūt vietnei, taču jūs varat saņemt atkārtotus paziņojumus izcelta URL joslas vai atkārtotu sertifikātu brīdinājumu veidā. Lai izvairītos no šīs kairinājuma, jums vienkārši jāinstalē pielāgotā SSL drošības sertifikāts klienta datorā.

    Atkarībā no izmantotās pārlūkprogrammas šis process var atšķirties. IE un Chrome lasa gan Windows sertifikātu veikalā, gan Firefox ir pielāgota drošības sertifikātu apstrādes metode.

    Svarīga piezīme: Jums vajadzētu nekad instalējiet drošības sertifikātu no nezināma avota. Praksē sertifikāts jāinstalē tikai lokāli, ja to izveidojāt. Neviena likumīga tīmekļa vietne neprasa, lai jūs veiktu šīs darbības.

    Internet Explorer un Google Chrome - sertifikāta instalēšana lokāli

    Piezīme. Pat ja Firefox neizmanto vietējo Windows sertifikātu veikalu, tas joprojām ir ieteicams solis.

    Kopējiet sertifikātu, kas eksportēts no servera (PFX fails) uz klienta mašīnu, vai pārliecinieties, vai tas ir pieejams tīkla ceļā.

    Atveriet vietējā sertifikāta krātuves pārvaldību klienta mašīnā, izmantojot tieši tādas pašas darbības kā iepriekš. Jūs galu galā nonāksit tādā ekrānā kā tālāk redzamais.

    Kreisajā pusē izvērsiet sertifikātus> Uzticamās saknes sertifikācijas iestādes. Ar peles labo pogu noklikšķiniet uz mapes Sertifikāti un atlasiet Visi uzdevumi> Importēt.

    Atlasiet sertifikātu, kas tika kopēts lokāli jūsu datorā.

    Ievadiet drošības paroli, kas piešķirta, kad sertifikāts tika eksportēts no servera.

    Kā galamērķis būtu jāaizpilda veikals “Uzticamās saknes sertifikācijas iestādes”. Noklikšķiniet uz Tālāk.

    Pārskatiet iestatījumus un noklikšķiniet uz Pabeigt.

    Jums vajadzētu redzēt panākumu ziņojumu.

    Atjauniniet savu uzticamo sakņu sertifikācijas iestāžu> sertifikātu skatījumu un jums vajadzētu redzēt servera pašapstiprināto sertifikātu, kas norādīts veikalā.

    Tas ir izdarīts, jums vajadzētu būt iespējai pārlūkot HTTPS vietni, kas izmanto šos sertifikātus un nesaņem brīdinājumus vai uzvednes.

    Firefox - pieļaujot izņēmumus

    Firefox apstrādā šo procesu nedaudz savādāk, jo tas neizlasa sertifikāta informāciju no Windows veikala. Tā vietā, lai instalētu sertifikātus (per-se), varat noteikt izņēmumus SSL sertifikātiem konkrētās vietnēs.

    Apmeklējot vietni, kurai ir sertifikāta kļūda, jūs saņemsiet brīdinājumu, kā tas ir zemāk. Zilā zonā tiks norādīts, uz kuru URL vēlaties piekļūt. Lai izveidotu izņēmumu, lai apietu šo brīdinājumu attiecīgajā URL, noklikšķiniet uz pogas Pievienot izņēmumu.

    Dialoglodziņā Pievienot drošības izņēmumu noklikšķiniet uz Apstiprināt drošības izņēmumu, lai lokāli konfigurētu šo izņēmumu.

    Ņemiet vērā, ka, ja konkrēta vietne novirza uz apakšdomēnām no pašas iekšienes, varat saņemt vairākus drošības brīdinājuma uzvedumus (ar URL nedaudz atšķiras katru reizi). Pievienojiet izņēmumus šiem URL, izmantojot tādas pašas darbības kā iepriekš.

    Secinājums

    Ir vērts atkārtot iepriekš minēto paziņojumu nekad instalējiet drošības sertifikātu no nezināma avota. Praksē sertifikāts jāinstalē tikai lokāli, ja to izveidojāt. Neviena likumīga tīmekļa vietne neprasa, lai jūs veiktu šīs darbības.

    Saites

    Lejupielādējiet IIS 6.0 Resource Toolkit (ieskaitot SelfSSL utilītu) no Microsoft