Vývojáři a správci IT mají bezpochyby potřebu nasazení některých webových stránek prostřednictvím protokolu HTTPS pomocí certifikátu SSL. I když je tento proces pro produkční web velmi přímočarý, pro účely vývoje a testování zde možná budete muset použít také certifikát SSL.
Jako alternativu k nákupu a obnově ročního certifikátu můžete využít schopnost vašeho Windows Serveru generovat certifikát podepsaný svým držitelem, který je pohodlný, snadný a měl by dokonale splňovat tyto typy potřeb.
Vytvoření certifikátu podepsaného svým držitelem ve službě IIS
I když existuje několik způsobů, jak splnit úkol vytvoření certifikátu s vlastním podpisem, použijeme nástroj SelfSSL od společnosti Microsoft. Tato služba se bohužel nedodává se službou IIS, ale je volně dostupná jako součást sady nástrojů IIS 6.0 Resource Toolkit (odkaz uvedený ve spodní části tohoto článku). I přes název „IIS 6.0“ tento nástroj ve službě IIS 7 funguje dobře.
Vše, co je potřeba, je extrahovat IIS6RT a získat nástroj selfssl.exe. Odtud jej můžete zkopírovat do adresáře Windows nebo na síťovou cestu / jednotku USB pro budoucí použití na jiném počítači (takže nemusíte stahovat a extrahovat úplnou IIS6RT).
Jakmile máte nástroj SelfSSL k dispozici, spusťte následující příkaz (jako správce), který podle potřeby nahradí hodnoty v <>:
selfssl / N: CN = <your.domain.com> / V: <počet platných dnů>
Následující příklad vytvoří certifikát zástupného znaku s vlastním podpisem proti „mydomain.com“ a nastaví jeho platnost na 9999 dní. Kromě toho odpovědí ano na výzvu je tento certifikát automaticky nakonfigurován tak, aby se navázal na port 443 uvnitř výchozího webového serveru IIS.
Zatímco v tomto okamžiku je certifikát připraven k použití, je uložen pouze v osobním úložišti certifikátů na serveru. Osvědčeným postupem je také mít tento certifikát nastavený také v důvěryhodném kořenovém adresáři.
Přejděte na Start> Spustit (nebo Windows Key + R) a zadejte „mmc“. Můžete obdržet výzvu UAC, přijmout ji a otevře se prázdná konzola pro správu.
V konzole přejděte na Soubor> Přidat nebo odebrat modul snap-in.
Přidejte certifikáty z levé strany.
Vyberte účet počítače.
Vyberte Místní počítač.
Kliknutím na OK zobrazíte úložiště místních certifikátů.
Přejděte na Osobní> Certifikáty a vyhledejte certifikát, který jste nastavili pomocí nástroje SelfSSL. Klikněte pravým tlačítkem na certifikát a vyberte Kopírovat.
Přejděte na Důvěryhodné kořenové certifikační úřady> Certifikáty. Klikněte pravým tlačítkem na složku Certifikáty a vyberte Vložit.
V seznamu by se měla objevit položka pro certifikát SSL.
V tomto okamžiku by váš server neměl mít problémy s prací s certifikátem s vlastním podpisem.
Export certifikátu
Pokud se chystáte přistupovat na web, který používá certifikát SSL podepsaný svým držitelem na jakémkoli klientském počítači (tj. Na jakémkoli počítači, který není serverem), měl by být nainstalován certifikát podepsaný svým držitelem, aby se předešlo možnému nárazu chyb a varování certifikátu. na každém z klientských počítačů (kterému se budeme podrobně věnovat níže). K tomu je nejprve nutné exportovat příslušný certifikát, aby jej bylo možné nainstalovat na klienty.
Uvnitř konzoly s načtenou správou certifikátů přejděte na Důvěryhodné kořenové certifikační úřady> Certifikáty. Vyhledejte certifikát, klikněte pravým tlačítkem a vyberte Všechny úkoly> Exportovat.
Po zobrazení výzvy k exportu soukromého klíče vyberte Ano. Klikněte na Další.
Ponechte výchozí výběr pro formát souboru a klikněte na Další.
Zadejte heslo. Toto bude použito k ochraně certifikátu a uživatelé jej nebudou moci lokálně importovat bez zadání tohoto hesla.
Zadejte umístění pro export souboru certifikátu. Bude ve formátu PFX.
Potvrďte svá nastavení a klikněte na Dokončit.
Výsledný soubor PFX bude nainstalován do vašich klientských počítačů, aby jim řekl, že váš certifikát s vlastním podpisem pochází z důvěryhodného zdroje.
Nasazení na klientské počítače
Jakmile máte vytvořený certifikát na straně serveru a máte vše funkční, můžete si všimnout, že když se klientský počítač připojí k příslušné adrese URL, zobrazí se upozornění na certifikát. K tomu dochází, protože certifikační autorita (váš server) není důvěryhodným zdrojem certifikátů SSL v klientovi.
Můžete kliknout na varování a přejít na web, ale můžete dostávat opakovaná upozornění ve formě zvýrazněného pruhu adresy URL nebo opakujících se upozornění na certifikát. Abyste se této nepříjemnosti vyhnuli, jednoduše si musíte na klientský počítač nainstalovat vlastní bezpečnostní certifikát SSL.
V závislosti na prohlížeči, který používáte, se tento proces může lišit. IE i Chrome čte z úložiště certifikátů Windows, ale Firefox má vlastní metodu nakládání s bezpečnostními certifikáty.
Důležitá poznámka: Měl by jsi nikdy nainstalujte bezpečnostní certifikát z neznámého zdroje. V praxi byste měli certifikát instalovat lokálně, pouze pokud jste jej vygenerovali. Žádný legitimní web by od vás nevyžadoval provedení těchto kroků.
Internet Explorer a Google Chrome - místní instalace certifikátu
Poznámka: I když Firefox nepoužívá nativní úložiště certifikátů Windows, je to stále doporučený krok.
Zkopírujte certifikát, který byl exportován ze serveru (soubor PFX) do klientského počítače, nebo zajistěte, aby byl k dispozici v síťové cestě.
Otevřete správu místního úložiště certifikátů na klientském počítači pomocí přesně stejných kroků jako výše. Nakonec skončíte na obrazovce, jako je ta níže.
Na levé straně rozbalte položku Certifikáty> Důvěryhodné kořenové certifikační úřady. Klikněte pravým tlačítkem na složku Certifikáty a vyberte Všechny úkoly> Importovat.
Vyberte certifikát, který byl zkopírován místně do vašeho zařízení.
Zadejte bezpečnostní heslo přiřazené při exportu certifikátu ze serveru.
Jako cíl by měl být předem vyplněn obchod „Důvěryhodné kořenové certifikační úřady“. Klikněte na Další.
Zkontrolujte nastavení a klikněte na Dokončit.
Měli byste vidět zprávu o úspěchu.
Obnovte svůj pohled na složku Důvěryhodné kořenové certifikační úřady> Certifikáty a měl by se v obchodě zobrazit certifikát podepsaný svým držitelem.
Jedním z nich je, že byste měli být schopni procházet web HTTPS, který používá tyto certifikáty, a nedostávat žádná varování ani výzvy.
Firefox - Povolení výjimek
Firefox zpracovává tento proces trochu jinak, protože nečte informace o certifikátu z obchodu Windows. Spíše než instalaci certifikátů (per-se) umožňuje definovat výjimky pro certifikáty SSL na konkrétních webech.
Když navštívíte web, který obsahuje chybu certifikátu, zobrazí se varování podobné tomuto. Modrá oblast pojmenuje příslušnou adresu URL, kterou se pokoušíte otevřít. Chcete-li vytvořit výjimku pro obejití tohoto upozornění na příslušné adrese URL, klikněte na tlačítko Přidat výjimku.
V dialogovém okně Přidat výjimku zabezpečení kliknutím na Potvrdit výjimku zabezpečení nakonfigurujte tuto výjimku místně.
Všimněte si, že pokud konkrétní web přesměruje na subdomény zevnitř sebe, můžete obdržet několik bezpečnostních varovných výzev (přičemž URL se pokaždé mírně liší). Přidejte výjimky pro tyto adresy URL pomocí stejných kroků jako výše.
Závěr
Stojí za to zopakovat výše uvedené upozornění, které byste měli nikdy nainstalujte bezpečnostní certifikát z neznámého zdroje. V praxi byste měli certifikát instalovat lokálně, pouze pokud jste jej vygenerovali. Žádný legitimní web by od vás nevyžadoval provedení těchto kroků.
Odkazy
Stáhněte si IIS 6.0 Resource Toolkit (včetně nástroje SelfSSL) od společnosti Microsoft
