Početna » kako da » IT Kako stvoriti certifikat o sigurnosti s vlastitim potpisom (SSL) i implementirati ga na klijentske strojeve

    IT Kako stvoriti certifikat o sigurnosti s vlastitim potpisom (SSL) i implementirati ga na klijentske strojeve

    Programeri i IT administratori, bez sumnje, trebaju implementirati neke web stranice putem HTTPS-a koristeći SSL certifikat. Iako je ovaj proces prilično jednostavan za proizvodnu stranicu, u svrhu razvoja i testiranja možda ćete ovdje morati koristiti SSL certifikat.

    Kao alternativu kupnji i obnavljanju godišnjeg certifikata, možete iskoristiti sposobnost sustava Windows Server da generira certifikat koji se potpisuje i koji je prikladan, jednostavan i treba savršeno odgovarati tim potrebama.

    Stvaranje samopotpisanog certifikata na IIS-u

    Iako postoji nekoliko načina za postizanje zadatka izrade samopotpisanog certifikata, koristit ćemo programsku podršku SelfSSL tvrtke Microsoft. Nažalost, ovo nije isporučeno s IIS-om, ali je besplatno dostupno kao dio IIS 6.0 alata za resurse (link naveden na dnu ovog članka). Usprkos nazivu “IIS 6.0” ovaj alat radi dobro u IIS 7.

    Sve što je potrebno je izdvojiti IIS6RT da biste dobili uslužni program selfssl.exe. Odavde ga možete kopirati u vaš Windows direktorij ili mrežni put / USB pogon za buduću upotrebu na drugom računalu (tako da ne morate preuzimati i izdvajati cijeli IIS6RT).

    Nakon što ste postavili uslužni program SelfSSL, pokrenite sljedeću naredbu (kao administrator) koja zamjenjuje vrijednosti prema potrebi:

    selfssl / N: CN = / V:

    Primjer u nastavku daje samopotpisani zamjenski certifikat protiv "mydomain.com" i postavlja ga da vrijedi 9,999 dana. Osim toga, odgovaranjem na upit, ovaj se certifikat automatski konfigurira tako da se veže na priključak 443 unutar zadane web-lokacije IIS-a.

    Dok je u ovom trenutku certifikat spreman za upotrebu, on se pohranjuje samo u osobnom spremištu certifikata na poslužitelju. To je najbolja praksa da se ovaj certifikat postavi iu pouzdanim korijenom.

    Idite na Start> Run (ili Windows Key + R) i unesite "mmc". Možete primiti UAC prompt, prihvatiti ga i otvoriti će se prazna konzola za upravljanje.

    U konzoli idite na File> Add / Remove Snap-in.

    Dodajte certifikate s lijeve strane.

    Odaberite Račun račun.

    Odaberite Lokalno računalo.

    Kliknite U redu za prikaz Lokalnog spremišta certifikata.

    Dođite do Osobno> Certifikati i pronađite certifikat koji ste postavili pomoću uslužnog programa SelfSSL. Desnom tipkom miša kliknite certifikat i odaberite Kopiraj.

    Dođite do Trusted Root Certification Authorities> Certificates. Desnom tipkom miša kliknite mapu Certifikati i odaberite Zalijepi.

    Unos za SSL certifikat trebao bi se pojaviti na popisu.

    U ovom trenutku, vaš poslužitelj ne bi trebao imati problema s radom s potpisanim certifikatom.

    Izvoz certifikata

    Ako namjeravate pristupiti web-lokaciji koja koristi samostalno potpisan SSL certifikat na bilo kojem klijentskom računalu (tj. Bilo kojem računalu koje nije poslužitelj), kako bi se izbjegla mogućnost pojave pogrešaka certifikata i upozorenja, potrebno je instalirati vlastiti potpisani certifikat na svakom klijentskom stroju (o čemu ćemo detaljno raspravljati u nastavku). Da bismo to učinili, najprije moramo izvesti odgovarajući certifikat kako bi ga se moglo instalirati na klijente.

    Unutar konzole učitana je Upravljanje certifikatima, idite na Pouzdani korijenski certifikacijski autoritet> Potvrde. Pronađite certifikat, kliknite desnom tipkom i odaberite Svi zadaci> Izvoz.

    Kada se od vas zatraži da izvezete privatni ključ, odaberite Da. Kliknite Dalje.

    Ostavite zadane odabire za format datoteke i kliknite Dalje.

    Unesite lozinku. To će se koristiti za zaštitu certifikata i korisnici ga neće moći uvesti lokalno bez unošenja te zaporke.

    Unesite lokaciju za izvoz datoteke certifikata. Bit će u PFX formatu.

    Potvrdite postavke i kliknite Završi.

    Rezultirajuća PFX datoteka je ono što će biti instalirano na vaše klijentske strojeve da bi im se reklo da je vaš potpisani certifikat iz pouzdanog izvora.

    Primjena na klijentske strojeve

    Nakon što ste kreirali certifikat na strani poslužitelja i imate sve što radi, možete primijetiti da se, kada se klijentski stroj spoji na odgovarajući URL, prikaže upozorenje o certifikatu. To se događa jer autoritet certifikata (vaš poslužitelj) nije pouzdan izvor za SSL certifikate na klijentu.

    Možete kliknuti na upozorenja i pristupiti web-lokaciji, no možete primati ponovljene obavijesti u obliku označene URL trake ili ponavljanja upozorenja o certifikatu. Da biste izbjegli ovu smetnju, jednostavno trebate instalirati prilagođeni SSL sigurnosni certifikat na klijentskom računalu.

    Ovisno o pregledniku koji koristite, ovaj postupak može varirati. IE i Chrome čitaju iz trgovine certifikata sustava Windows, no Firefox ima prilagođeni način upravljanja sigurnosnim certifikatima.

    Važna nota: Trebao bi nikada instalirajte sigurnosni certifikat iz nepoznatog izvora. U praksi biste trebali instalirati certifikat samo lokalno ako ste ga generirali. Nijedna legitimna web-lokacija ne bi zahtijevala da izvršite ove korake.

    Internet Explorer i Google Chrome - lokalno instaliranje certifikata

    Napomena: Iako Firefox ne koristi izvorni Windows spremište certifikata, to je još uvijek preporučeni korak.

    Kopirajte certifikat koji je izvezen s poslužitelja (PFX datoteka) na klijentski stroj ili provjerite je li dostupan na mrežnom putu.

    Otvorite lokalno upravljanje spremištem certifikata na klijentskom računalu pomoću istih koraka kao gore. Na kraju ćete završiti na zaslonu kao što je dolje.

    Na lijevoj strani proširite Certifikati> Pouzdani korijenski certifikacijski autoriteti. Desni klik na mapu Certifikati i odaberite Svi zadaci> Uvoz.

    Odaberite certifikat koji je kopiran lokalno na vaš uređaj.

    Unesite sigurnosnu lozinku dodijeljenu kada je certifikat izvezen s poslužitelja.

    Prodavaonica "Trusted Root Certification Authorities" (Trusted Authoring Certification Authorities) mora biti unaprijed ispunjena kao odredište. Kliknite Dalje.

    Pregledajte postavke i kliknite Završi.

    Trebali biste vidjeti poruku o uspjehu.

    Osvježite pogled na Trusted Root Certification Authorities> Certifikati i trebali biste vidjeti certifikat poslužitelja koji je potpisan u trgovini.

    Ovo je učinjeno, trebali biste moći pregledavati HTTPS web-lokaciju koja koristi te potvrde i ne prima nikakva upozorenja ili upite.

    Firefox - Dopuštanje iznimaka

    Firefox rješava taj proces pomalo drugačije jer ne čita informacije o certifikatu iz trgovine Windows. Umjesto instaliranja certifikata (per-se), omogućuje vam da definirate iznimke za SSL certifikate na određenim web-lokacijama.

    Kada posjetite web-lokaciju koja ima pogrešku certifikata, dobit ćete upozorenje kao što je dolje navedeno. Područje u plavom će navesti odgovarajući URL koji pokušavate pristupiti. Da biste stvorili iznimku za zaobilaženje ovog upozorenja na odgovarajućem URL-u, kliknite gumb Dodaj iznimku.

    U dijaloškom okviru Dodavanje iznimke sigurnosti kliknite Confirm Security Exception za potvrdu na lokalnoj razini.

    Imajte na umu da, ako određena web-lokacija preusmjerava na poddomene iz samog sebe, možete dobiti više sigurnosnih upozorenja (svaki put URL se malo razlikuje). Dodajte iznimke za te URL-ove pomoću istih koraka kao gore.

    Zaključak

    Vrijedi ponoviti gornju obavijest koju biste trebali nikada instalirajte sigurnosni certifikat iz nepoznatog izvora. U praksi biste trebali instalirati certifikat samo lokalno ako ste ga generirali. Nijedna legitimna web-lokacija ne bi zahtijevala da izvršite ove korake.

    linkovi

    Preuzmite alat IIS 6.0 Resource Toolkit (uključuje uslužni program SelfSSL) tvrtke Microsoft