Udviklere og it-administratorer har uden tvivl behovet for at implementere et websted via HTTPS ved hjælp af et SSL-certifikat. Mens denne proces er ret ligetil for et produktionssted, kan du med henblik på udvikling og test muligvis også finde behov for at bruge et SSL-certifikat her.
Som alternativ til køb og fornyelse af et årligt certifikat kan du udnytte din Windows Servers evne til at generere et selvsigneret certifikat, som er praktisk, let og perfekt skal opfylde disse typer behov.
Oprettelse af et selvunderskrevet certifikat på IIS
Mens der er flere måder at udføre opgaven med at oprette et selvunderskrevet certifikat på, bruger vi SelfSSL-værktøjet fra Microsoft. Desværre leveres dette ikke med IIS, men det er frit tilgængeligt som en del af IIS 6.0 Resource Toolkit (link angivet nederst i denne artikel). På trods af navnet "IIS 6.0" fungerer dette værktøj fint i IIS 7.
Alt, hvad der kræves, er at udtrække IIS6RT for at få hjælpeprogrammet selfssl.exe. Herfra kan du kopiere det til din Windows-bibliotek eller en netværkssti / USB-drev til fremtidig brug på en anden maskine (så du ikke behøver at downloade og udpakke den fulde IIS6RT).
Når du har SelfSSL-værktøjet på plads, skal du køre følgende kommando (som administrator) og erstatte værdierne i <> alt efter hvad der er relevant:
selfssl / N: CN = <dit.domæne.com> / V: <antal gyldige dage>
Eksemplet nedenfor producerer et selvsigneret wildcard-certifikat mod “mydomain.com” og indstiller det til at være gyldigt i 9.999 dage. Derudover konfigureres dette certifikat automatisk ved at svare ja til prompten til at binde til port 443 inde på IISs standardwebsted.
Mens certifikatet på dette tidspunkt er klar til brug, gemmes det kun i det personlige certifikatlager på serveren. Det er en bedste praksis også at have dette certifikat også indstillet i den betroede rod.
Gå til Start> Kør (eller Windows Key + R), og indtast "mmc". Du modtager muligvis en UAC-prompt, accepterer den, og en tom Management Console åbnes.
I konsollen skal du gå til Filer> Tilføj / fjern snap-in.
Tilføj certifikater fra venstre side.
Vælg Computerkonto.
Vælg Lokal computer.
Klik på OK for at se det lokale certifikatlager.
Naviger til Personligt> Certifikater, og find det certifikat, du konfigurerer ved hjælp af SelfSSL-værktøjet. Højreklik på certifikatet, og vælg Kopi.
Naviger til autoriserede rodcertificeringsmyndigheder> Certifikater. Højreklik på mappen Certifikater, og vælg Indsæt.
En post til SSL-certifikatet skal vises på listen.
På dette tidspunkt skal din server ikke have nogen problemer med at arbejde med det selvsignerede certifikat.
Eksport af certifikatet
Hvis du vil få adgang til et websted, der bruger det selvsignerede SSL-certifikat på en hvilken som helst klientmaskine (dvs. enhver computer, der ikke er serveren), skal det selvsignerede certifikat installeres for at undgå et potentielt angreb på certifikatfejl og advarsler. på hver af klientmaskinerne (som vi vil diskutere detaljeret nedenfor). For at gøre dette skal vi først eksportere det respektive certifikat, så det kan installeres på klienterne.
Inde i konsollen med certifikatadministration indlæst skal du navigere til Trusted Root Certification Authorities> Certifikater. Find certifikatet, højreklik og vælg Alle opgaver> Eksport.
Når du bliver bedt om at eksportere den private nøgle, skal du vælge Ja. Klik på Næste.
Forlad standardvalgene for filformatet, og klik på Næste.
Indtast et kodeord. Dette bruges til at beskytte certifikatet, og brugerne kan ikke importere det lokalt uden at indtaste denne adgangskode.
Indtast et sted for at eksportere certifikatfilen. Det vil være i PFX-format.
Bekræft dine indstillinger, og klik på Udfør.
Den resulterende PFX-fil er, hvad der installeres på dine klientmaskiner for at fortælle dem, at dit selvsignerede certifikat er fra en betroet kilde.
Implementering til klientmaskiner
Når du først har oprettet certifikatet på serversiden og har alt i gang, bemærker du muligvis, at når en klientmaskine opretter forbindelse til den respektive URL, vises en certifikatadvarsel. Dette sker, fordi certifikatmyndigheden (din server) ikke er en betroet kilde til SSL-certifikater på klienten.
Du kan klikke igennem advarslerne og få adgang til webstedet, men du kan få gentagne meddelelser i form af en fremhævet URL-linje eller gentagne certifikatadvarsler. For at undgå denne irritation skal du blot installere det brugerdefinerede SSL-sikkerhedscertifikat på klientmaskinen.
Afhængigt af hvilken browser du bruger, kan denne proces variere. IE og Chrome læses begge fra Windows Certificate Store, men Firefox har en brugerdefineret metode til håndtering af sikkerhedscertifikater.
Vigtig note: Du burde aldrig installer et sikkerhedscertifikat fra en ukendt kilde. I praksis skal du kun installere et certifikat lokalt, hvis du genererede det. Intet legitimt websted kræver, at du udfører disse trin.
Internet Explorer & Google Chrome - Installation af certifikatet lokalt
Bemærk: Selvom Firefox ikke bruger det oprindelige Windows-certifikatlager, er dette stadig et anbefalet trin.
Kopier certifikatet, der blev eksporteret fra serveren (PFX-filen) til klientmaskinen, eller sørg for, at det er tilgængeligt i en netværkssti.
Åbn den lokale certifikatlageradministration på klientmaskinen ved hjælp af nøjagtigt de samme trin som ovenfor. Du vil til sidst ende på en skærm som den nedenfor.
Udvid certifikater> Tillid til rodcertificeringsmyndigheder på venstre side. Højreklik på mappen Certifikater, og vælg Alle opgaver> Importer.
Vælg det certifikat, der blev kopieret lokalt til din maskine.
Indtast den tildelte sikkerhedsadgangskode, da certifikatet blev eksporteret fra serveren.
Butikken "Trusted Root Certification Authorities" skal udfyldes som destination. Klik på Næste.
Gennemgå indstillingerne, og klik på Udfør.
Du skal se en succesmeddelelse.
Opdater dit syn på Trusted Root Certification Authorities> Certifikater-mappen, og du skal se serverens selvsignerede certifikat anført i butikken.
Når dette er gjort, skal du være i stand til at gennemse et HTTPS-sted, der bruger disse certifikater og ikke modtager nogen advarsler eller anmodninger.
Firefox - tillader undtagelser
Firefox håndterer denne proces lidt anderledes, da den ikke læser certifikatoplysninger fra Windows-butikken. I stedet for at installere certifikater (i sig selv) giver det dig mulighed for at definere undtagelser for SSL-certifikater på bestemte websteder.
Når du besøger et websted, der har en certifikatfejl, får du en advarsel som den nedenfor. Området i blåt vil navngive den respektive URL, du prøver at få adgang til. Klik på knappen Tilføj undtagelse for at oprette en undtagelse for at omgå denne advarsel på den respektive URL.
I dialogboksen Tilføj sikkerhedsundtagelse skal du klikke på Bekræft sikkerhedsundtagelse for at konfigurere denne undtagelse lokalt.
Bemærk, at hvis et bestemt websted omdirigerer til underdomæner indefra sig selv, kan du få flere sikkerhedsadvarsler (hvor URL'en er lidt anderledes hver gang). Tilføj undtagelser for disse URL'er ved hjælp af de samme trin som ovenfor.
Konklusion
Det er værd at gentage ovenstående meddelelse om, at du skal aldrig installer et sikkerhedscertifikat fra en ukendt kilde. I praksis skal du kun installere et certifikat lokalt, hvis du genererede det. Intet legitimt websted kræver, at du udfører disse trin.
Links
Download IIS 6.0 Resource Toolkit (inkluderer SelfSSL-værktøjet) fra Microsoft
