Úvodná » ako » IT Ako vytvoriť certifikát SSL (Self Signed Security) a nasadiť ho do klientských počítačov

    IT Ako vytvoriť certifikát SSL (Self Signed Security) a nasadiť ho do klientských počítačov

    Vývojári a správcovia IT bezpochyby potrebujú nasadiť niektoré webové stránky prostredníctvom HTTPS pomocou certifikátu SSL. Zatiaľ čo tento proces je pre výrobnú lokalitu celkom jednoduchý, na účely vývoja a testovania môže byť tu aj potreba použiť certifikát SSL.

    Ako alternatívu k zakúpeniu a obnoveniu ročného certifikátu môžete využiť schopnosť systému Windows Server generovať certifikát s vlastným podpisom, ktorý je pohodlný, jednoduchý a musí tieto typy potrieb plne vyhovovať.

    Vytvorenie certifikátu s vlastným podpisom v službe IIS

    Aj keď existuje niekoľko spôsobov, ako splniť úlohu vytvorenia certifikátu s vlastným podpisom, použijeme nástroj SelfSSL od spoločnosti Microsoft. Bohužiaľ, toto nie je dodávané so službou IIS, ale je voľne k dispozícii ako súčasť nástroja IIS 6.0 Resource Toolkit (odkaz uvedený v spodnej časti tohto článku). Napriek názvu "IIS 6.0" tento nástroj funguje v IIS 7 v poriadku.

    Všetko, čo je potrebné, je extrahovať IIS6RT a získať nástroj selfssl.exe. Odtiaľ ho môžete skopírovať do adresára systému Windows alebo sieťovej cesty / jednotky USB pre budúce použitie na inom počítači (takže nemusíte sťahovať a extrahovať úplný IIS6RT).

    Keď máte nástroj SelfSSL na svojom mieste, spustite nasledujúci príkaz (ako správca), ktorý nahradí hodnoty podľa potreby:

    selfssl / N: CN = / V:

    Nižšie uvedený príklad vytvára vlastný podpísaný zástupný certifikát proti "mydomain.com" a nastaví ho na 9999 dní. Okrem toho odpovedaním áno na výzvu je tento certifikát automaticky nakonfigurovaný tak, aby sa viazal na port 443 vnútri predvolenej webovej lokality IIS.

    Zatiaľ čo v tomto okamihu je certifikát pripravený na použitie, je uložený iba na úložisku osobných certifikátov na serveri. Najlepšie je tiež mať tento certifikát nastavený aj v dôveryhodnom koreňovom serveri.

    Prejdite na Štart> Spustiť (alebo Windows Key + R) a zadajte "mmc". Môžete dostať výzvu UAC, prijať ju a otvorí sa prázdna konzola na správu.

    V konzole prejdite na položku Súbor> Pridať alebo odstrániť modul Snap-in.

    Pridať certifikáty z ľavej strany.

    Vyberte možnosť Počítačový účet.

    Vyberte položku Miestny počítač.

    Kliknutím na tlačidlo OK zobrazíte úložisko miestnych certifikátov.

    Prejdite do časti Osobné> Certifikáty a vyhľadajte certifikát, ktorý ste nastavili pomocou nástroja SelfSSL. Kliknite pravým tlačidlom myši na certifikát a vyberte položku Kopírovať.

    Prejdite na certifikáty dôveryhodných certifikačných autorít> Certifikáty. Kliknite pravým tlačidlom na priečinok Certifikáty a vyberte možnosť Prilepiť.

    Položka pre certifikát SSL by sa mala zobraziť v zozname.

    V tomto momente by váš server nemal mať problémy pracovať s certifikátom s vlastným podpisom.

    Export certifikátu

    Ak sa chystáte pristupovať k stránkam, ktoré používajú certifikát SSL s vlastným podpisom, na akomkoľvek klientskom počítači (tj akomkoľvek počítači, ktorý nie je serverom), aby sa zabránilo možnému náporu chyb a upozornení na certifikáty, na každom klientskom počítači (o ktorom budeme podrobnejšie diskutovať nižšie). Ak to chcete urobiť, najprv musíte exportovať príslušný certifikát, aby ho bolo možné nainštalovať na klientov.

    Vnútri konzoly s načítaním správy certifikátov prejdite na položku Certifikáty dôveryhodných certifikačných autorít> Certifikáty. Vyhľadajte certifikát, kliknite pravým tlačidlom myši a vyberte položku Všetky úlohy> Exportovať.

    Po výzve na export súkromného kľúča vyberte možnosť Áno. Kliknite na tlačidlo Ďalej.

    Ponechajte predvolené výbery pre formát súboru a kliknite na tlačidlo Ďalej.

    Zadajte heslo. Toto sa použije na ochranu certifikátu a používatelia ho nebudú môcť lokálne importovať bez zadania tohto hesla.

    Zadajte miesto na export súboru certifikátu. Bude vo formáte PFX.

    Potvrďte svoje nastavenia a kliknite na tlačidlo Dokončiť.

    Výsledný súbor PFX je to, čo bude nainštalované do vašich klientských počítačov, aby ste im povedali, že váš certifikát s vlastným podpisom pochádza z dôveryhodného zdroja.

    Nasadenie do klientských počítačov

    Keď vytvoríte certifikát na strane servera a všetko funguje, môžete si všimnúť, že keď sa klientske zariadenie pripája k príslušnej adrese URL, zobrazí sa upozornenie na certifikát. K tomu dochádza, pretože certifikačná autorita (váš server) nie je dôveryhodným zdrojom certifikátov SSL v klientovi.

    Môžete kliknúť na upozornenia a pristupovať na stránku, avšak môžete získať opakované upozornenia vo forme zvýrazneného pruhu URL alebo opakovaných upozornení na certifikáty. Aby ste sa vyhli tejto nepríjemnosti, jednoducho musíte na klientskom počítači nainštalovať vlastný certifikát zabezpečenia SSL.

    V závislosti od prehliadača, ktorý používate, sa tento proces môže líšiť. IE a prehliadač Chrome čítajú z úložiska certifikátov systému Windows, avšak Firefox má vlastný spôsob spracovania bezpečnostných certifikátov.

    Dôležitá poznámka: Mal by si nikdy nainštalujte bezpečnostný certifikát z neznámeho zdroja. V praxi by ste mali nainštalovať certifikát lokálne iba ak ste ho vygenerovali. Žiadna legitímna webová stránka by nevyžadovala, aby ste vykonali tieto kroky.

    Internet Explorer a Google Chrome - Inštalácia lokálneho certifikátu

    Poznámka: Aj keď Firefox nepoužíva natívny obchod s certifikátmi Windows, je to stále odporúčaný krok.

    Skopírujte certifikát, ktorý bol exportovaný zo servera (súbor PFX) do klientskeho počítača, alebo sa uistite, že je k dispozícii v sieťovej ceste.

    Otvorte správu lokálneho certifikátu úložiska na klientskom počítači pomocou rovnakých krokov ako vyššie. Nakoniec skončíte na obrazovke, ako je nižšie.

    Na ľavej strane rozbaľte položku Certifikáty> Dôveryhodné koreňové certifikačné autority. Kliknite pravým tlačidlom na priečinok Certifikáty a vyberte položku Všetky úlohy> Importovať.

    Vyberte certifikát, ktorý bol lokálne skopírovaný do zariadenia.

    Zadajte bezpečnostné heslo pridelené pri vývoze certifikátu zo servera.

    Predajňa "Dôveryhodné koreňové certifikačné úrady" by mal byť naplnený ako cieľ. Kliknite na tlačidlo Ďalej.

    Skontrolujte nastavenia a kliknite na tlačidlo Dokončiť.

    Mali by ste vidieť správu o úspechu.

    Obnovte svoj pohľad na priečinok Dôveryhodné koreňové certifikačné autority> Certifikáty a mali by ste vidieť certifikát servera s vlastným podpisom uvedený v obchode.

    Jeden sa tak stane, mali by ste byť schopní prechádzať na webovú stránku HTTPS, ktorá používa tieto certifikáty a neobdrží žiadne upozornenia alebo výzvy.

    Firefox - povolenie výnimiek

    Firefox spracuje tento proces trochu inak, pretože nečíta informácie o certifikátoch z obchodu Windows. Namiesto inštalácie certifikátov (per-se) vám umožňuje definovať výnimky pre SSL certifikáty na konkrétnych stránkach.

    Keď navštívite stránku, ktorá má chybu certifikátu, dostanete upozornenie, ako je uvedené nižšie. Modrá oblasť pomenuje príslušnú webovú adresu, ku ktorej sa pokúšate pristupovať. Ak chcete vytvoriť výnimku na vynechanie tohto upozornenia na príslušnej adrese URL, kliknite na tlačidlo Pridať výnimku.

    V dialógovom okne Pridanie zabezpečenia výnimky kliknite na možnosť Potvrdiť výnimku zabezpečenia, aby ste túto výnimku lokálne nakonfigurovali.

    Upozorňujeme, že ak konkrétne stránky presmerujú na subdomény zo seba, môžete získať viaceré výzvy na upozornenie na bezpečnosť (vždy keď sa adresa URL mierne líši). Pridanie výnimiek pre tieto adresy URL pomocou rovnakých krokov ako vyššie.

    záver

    Stojí za to opakovať vyššie uvedené oznámenie, ktoré by ste mali nikdy nainštalujte bezpečnostný certifikát z neznámeho zdroja. V praxi by ste mali nainštalovať certifikát lokálne iba ak ste ho vygenerovali. Žiadna legitímna webová stránka by nevyžadovala, aby ste vykonali tieto kroky.

    odkazy

    Stiahnite si IIS 6.0 Resource Toolkit (obsahuje nástroj SelfSSL) od spoločnosti Microsoft