Az éves tanúsítvány megvásárlásának és megújításának alternatívájaként kihasználhatja a Windows Server azon képességét, hogy önállóan aláírt tanúsítványt hozzon létre, amely kényelmes, könnyű, és tökéletesen megfelel ezeknek a szükségleteknek.
Saját aláírt tanúsítvány létrehozása az IIS-en
Bár az önaláírt tanúsítvány létrehozásának feladatát többféleképpen is elvégezhetjük, a Microsoft önálló eszközét használjuk. Sajnos ez nem szállít az IIS-mel, de szabadon hozzáférhető az IIS 6.0 Resource Toolkit részeként (a cikk alján található link). Az IIS 6.0 név ellenére ez a segédprogram jól működik az IIS 7-ben.
Mindössze annyit kell tennie, hogy kivonja az IIS6RT-t, hogy megkapja a selfssl.exe segédprogramot. Innen másolhatja a Windows könyvtárába vagy egy hálózati elérési útba / USB-meghajtóba egy másik gépen való későbbi használathoz (tehát nem kell letöltenie és kivonnia a teljes IIS6RT-t).
Miután a SelfSSL segédprogram a helyén van, futtassa a következő parancsot (mint Rendszergazda), amely az <> megfelelő értékeket helyettesíti:
selfssl /N:CN= /V:
Az alábbi példa önállóan aláírt helyettesítő tanúsítványt állít elő a "mydomain.com" szolgáltatással szemben, és 9 999 napig érvényes. Ezenkívül, ha válaszolunk a "yes" -re a "prompt" -ra, ez a tanúsítvány automatikusan konfigurálva van arra, hogy a 443-as porthoz kapcsolódjon az IIS alapértelmezett webhelyén.
Míg ezen a ponton a tanúsítvány készen áll a használatra, csak a kiszolgáló személyes tanúsítványtárolójában tárolódik. Ez a legjobb gyakorlat, ha a tanúsítványt a megbízható gyökérbe is be kell állítani.
Menjen a Start> Futtatás (vagy a Windows billentyű + R) és adja meg a "mmc" -t. Kaphat egy UAC-parancsot, fogadja el, és megnyílik egy üres kezelőkonzol.
Ezen a ponton a kiszolgálónak nincs problémája az önaláírt tanúsítvánnyal való együttműködésben.
A tanúsítvány exportálása
Ha olyan webhelyet szeretne elérni, amely az önállóan aláírt SSL-tanúsítványt használ bármely ügyfélgépen (vagyis minden olyan számítógépen, amely nem a szerver), annak érdekében, hogy elkerülje a tanúsítási hibák és figyelmeztetések esetleges támadását, az önaláírt tanúsítványt telepíteni kell mindegyik kliens gépen (amelyet részletesen az alábbiakban tárgyalunk). Ehhez először ki kell exportálnunk a megfelelő tanúsítványt, hogy telepíthetjük az ügyfelekre.
A konzol belsejében a Tanúsítványkezelés betöltve keresse meg a Megbízható Gyökérigazoló Hatóságok> Tanúsítványok lehetőséget. Keresse meg a tanúsítványt, kattintson a jobb gombbal, és válassza az Összes feladat> Export parancsot.
Kiszolgálógépek telepítése
Miután létrehozta a tanúsítványt a kiszolgáló oldalán, és mindenben működik, észreveheti, hogy amikor egy ügyfélgép csatlakozik a megfelelő URL-hez, megjelenik a tanúsítványra vonatkozó figyelmeztetés. Ez azért történik, mert a tanúsítványhatóság (a kiszolgáló) nem megbízható forrás az SSL-tanúsítványokon az ügyfél számára.
A használt böngészőtől függően ez a folyamat változhat. Az IE és a Chrome mindkettőt a Windows tanúsítványboltból olvassa, bár a Firefox egyéni módja a biztonsági tanúsítványok kezelésének.
Fontos jegyzet: Neked kellene soha telepítsen biztonsági tanúsítványt egy ismeretlen forrásból. A gyakorlatban csak akkor szabad telepíteni a tanúsítványt, ha azt generálta. Semmi törvényes webhely nem követelné meg ezeket a lépéseket.
Internet Explorer és Google Chrome - Tanúsítvány telepítése helyileg
Megjegyzés: Habár a Firefox nem használja a natív Windows tanúsítványt, ez még mindig egy ajánlott lépés.
Másolja át a kiszolgálóról (PFX fájl) exportált tanúsítványt az ügyfélgépre, vagy győződjön meg róla, hogy elérhető egy hálózati elérési útvonalon.
Nyissa meg a helyi tanúsítványtároló kezelést az ügyfélgépen a fenti lépésekkel.Végül egy olyan képernyőre fogsz kerülni, mint az alábbiakban.
Firefox - Kivételek engedélyezése
A Firefox egy kicsit másképp kezeli ezt a folyamatot, mivel nem olvassa el a Windows-boltból származó tanúsítványinformációkat. A tanúsítványok (per-se) telepítése helyett lehetővé teszi bizonyos webhelyek SSL-tanúsítványainak kivételét.
Ha olyan webhelyet látogat meg, amelynek tanúsítványhibája van, figyelmeztetést kap, mint az alábbiakban. A kék színű terület megadja a megfelelő URL-címet, amelyet megpróbál elérni. Ha kivételt kíván létrehozni a figyelmeztetés megkerüléséhez a megfelelő URL-en, kattintson az Exception hozzáadása gombra.
Következtetés
Érdemes megismételni a fenti feljegyzést, amit meg kellene tenni soha telepítsen biztonsági tanúsítványt egy ismeretlen forrásból. A gyakorlatban csak akkor szabad telepíteni a tanúsítványt, ha azt generálta. Semmi törvényes webhely nem követelné meg ezeket a lépéseket.
linkek
Töltse le a Microsoft IIS 6.0 Resource Toolkit-et (magában foglalja a SelfSSL segédprogramot is)