Οι προγραμματιστές και οι διαχειριστές πληροφορικής έχουν, χωρίς αμφιβολία, την ανάγκη ανάπτυξης κάποιου ιστότοπου μέσω HTTPS χρησιμοποιώντας πιστοποιητικό SSL. Ενώ αυτή η διαδικασία είναι αρκετά απλή για έναν ιστότοπο παραγωγής, για σκοπούς ανάπτυξης και δοκιμών μπορεί να βρείτε την ανάγκη να χρησιμοποιήσετε ένα πιστοποιητικό SSL εδώ επίσης.
Ως εναλλακτική λύση στην αγορά και την ανανέωση ενός ετήσιου πιστοποιητικού, μπορείτε να αξιοποιήσετε την ικανότητα του διακομιστή σας Windows να δημιουργήσει ένα αυτο-υπογεγραμμένο πιστοποιητικό που είναι βολικό, εύκολο και θα ικανοποιεί τέλεια αυτούς τους τύπους αναγκών.
Δημιουργία ενός αυτο-υπογεγραμμένου πιστοποιητικού στα IIS
Παρόλο που υπάρχουν διάφοροι τρόποι για να επιτευχθεί το καθήκον της δημιουργίας ενός πιστοποιημένου αυτογράφου, θα χρησιμοποιήσουμε το βοηθητικό πρόγραμμα SelfSSL από τη Microsoft. Δυστυχώς, αυτό δεν αποστέλλεται με τα IIS, αλλά διατίθεται ελεύθερα ως μέρος του IIS 6.0 Resource Toolkit (ο σύνδεσμος παρέχεται στο κάτω μέρος αυτού του άρθρου). Παρά το όνομα "IIS 6.0", αυτό το βοηθητικό πρόγραμμα λειτουργεί καλά στο IIS 7.
Το μόνο που απαιτείται είναι να εξαγάγετε το IIS6RT για να αποκτήσετε το βοηθητικό πρόγραμμα selfssl.exe. Από εδώ μπορείτε να το αντιγράψετε στον κατάλογο των Windows ή σε μια διαδρομή δικτύου / μονάδα USB για μελλοντική χρήση σε άλλο μηχάνημα (οπότε δεν χρειάζεται να κάνετε λήψη και εξαγωγή του πλήρους IIS6RT).
Μόλις εγκαταστήσετε το βοηθητικό πρόγραμμα SelfSSL, εκτελέστε την ακόλουθη εντολή (ως Διαχειριστής) αντικαθιστώντας τις τιμές στο <> ανάλογα με την περίπτωση:
selfssl / N: CN = <your.domain.com> / V: <αριθμός έγκυρων ημερών>
Το παρακάτω παράδειγμα παράγει ένα πιστοποιητικό αυτογραφημένης μπαλαντέρ έναντι του "mydomain.com" και το ορίζει ότι θα ισχύει για 9.999 ημέρες. Επιπλέον, απαντώντας ναι στην προτροπή, αυτό το πιστοποιητικό διαμορφώνεται αυτόματα για σύνδεση με τη θύρα 443 εντός της προεπιλεγμένης τοποθεσίας Web των υπηρεσιών IIS.
Ενώ σε αυτό το σημείο το πιστοποιητικό είναι έτοιμο για χρήση, αποθηκεύεται μόνο στον χώρο αποθήκευσης προσωπικών πιστοποιητικών στο διακομιστή. Είναι μια βέλτιστη πρακτική να ρυθμίσετε και αυτό το πιστοποιητικό στην αξιόπιστη ρίζα.
Πηγαίνετε στο Έναρξη> Εκτέλεση (ή Windows Key + R) και εισαγάγετε "mmc". Ενδέχεται να λάβετε μια προτροπή UAC, να την αποδεχτείτε και θα ανοίξει μια κενή Κονσόλα διαχείρισης.
Στην κονσόλα, μεταβείτε στο Αρχείο> Προσθήκη / Κατάργηση συμπληρωματικού προγράμματος.
Προσθήκη πιστοποιητικών από την αριστερή πλευρά.
Επιλέξτε Λογαριασμός υπολογιστή.
Επιλέξτε Τοπικός υπολογιστής.
Κάντε κλικ στο OK για να δείτε το κατάστημα Τοπικών πιστοποιητικών.
Μεταβείτε στην ενότητα Προσωπικά> Πιστοποιητικά και εντοπίστε το πιστοποιητικό που ρυθμίζετε χρησιμοποιώντας το βοηθητικό πρόγραμμα SelfSSL. Κάντε δεξί κλικ στο πιστοποιητικό και επιλέξτε Αντιγραφή.
Μεταβείτε στις Αρχές πιστοποίησης αξιόπιστης ρίζας> Πιστοποιητικά. Κάντε δεξί κλικ στο φάκελο Πιστοποιητικά και επιλέξτε Επικόλληση.
Μια καταχώριση για το πιστοποιητικό SSL θα πρέπει να εμφανίζεται στη λίστα.
Σε αυτό το σημείο, ο διακομιστής σας δεν θα πρέπει να αντιμετωπίζει προβλήματα με το πιστοποιητικό αυτο-υπογραφής.
Εξαγωγή του πιστοποιητικού
Εάν πρόκειται να αποκτήσετε πρόσβαση σε έναν ιστότοπο που χρησιμοποιεί το πιστοποιητικό SSL που έχει υπογραφεί σε οποιονδήποτε υπολογιστή-πελάτη (δηλαδή σε οποιονδήποτε υπολογιστή που δεν είναι ο διακομιστής), προκειμένου να αποφευχθεί ενδεχόμενη επίθεση σφαλμάτων πιστοποιητικών και προειδοποιήσεων, θα πρέπει να εγκατασταθεί το αυτο-υπογεγραμμένο πιστοποιητικό σε καθένα από τα μηχανήματα πελατών (τα οποία θα συζητήσουμε λεπτομερώς παρακάτω). Για να γίνει αυτό, πρέπει πρώτα να εξάγουμε το αντίστοιχο πιστοποιητικό, ώστε να μπορεί να εγκατασταθεί στους πελάτες.
Στο εσωτερικό της κονσόλας με φορτωμένη τη Διαχείριση πιστοποιητικών, μεταβείτε στην ενότητα Αρχές πιστοποίησης αξιόπιστης ρίζας> Πιστοποιητικά. Εντοπίστε το πιστοποιητικό, κάντε δεξί κλικ και επιλέξτε Όλες οι εργασίες> Εξαγωγή.
Όταν σας ζητηθεί να εξαγάγετε το ιδιωτικό κλειδί, επιλέξτε Ναι. Κάντε κλικ στο Επόμενο.
Αφήστε τις προεπιλεγμένες επιλογές για τη μορφή αρχείου και κάντε κλικ στο Επόμενο.
Εισαγετε εναν κωδικο. Αυτό θα χρησιμοποιηθεί για την προστασία του πιστοποιητικού και οι χρήστες δεν θα μπορούν να το εισάγουν τοπικά χωρίς να εισάγουν αυτόν τον κωδικό πρόσβασης.
Εισαγάγετε μια τοποθεσία για εξαγωγή του αρχείου πιστοποιητικού. Θα είναι σε μορφή PFX.
Επιβεβαιώστε τις ρυθμίσεις σας και κάντε κλικ στο Τέλος.
Το προκύπτον αρχείο PFX είναι αυτό που θα εγκατασταθεί στους υπολογιστές-πελάτες σας για να τους πει ότι το πιστοποιητικό που έχετε υπογράψει είναι από αξιόπιστη πηγή.
Ανάπτυξη σε μηχανήματα πελατών
Μόλις δημιουργήσετε το πιστοποιητικό από την πλευρά του διακομιστή και έχετε τα πάντα σε λειτουργία, ενδέχεται να παρατηρήσετε ότι όταν ένας υπολογιστής-πελάτης συνδέεται με την αντίστοιχη διεύθυνση URL, εμφανίζεται μια προειδοποίηση πιστοποιητικού. Αυτό συμβαίνει επειδή η αρχή έκδοσης πιστοποιητικών (ο διακομιστής σας) δεν είναι αξιόπιστη πηγή για πιστοποιητικά SSL στον υπολογιστή-πελάτη.
Μπορείτε να κάνετε κλικ στις προειδοποιήσεις και να αποκτήσετε πρόσβαση στον ιστότοπο, ωστόσο ενδέχεται να λάβετε επαναλαμβανόμενες ειδοποιήσεις με τη μορφή επισημασμένης γραμμής URL ή επαναλαμβανόμενων προειδοποιήσεων πιστοποιητικών. Για να αποφύγετε αυτήν την ενόχληση, απλά πρέπει να εγκαταστήσετε το προσαρμοσμένο πιστοποιητικό ασφαλείας SSL στον υπολογιστή-πελάτη.
Ανάλογα με το πρόγραμμα περιήγησης που χρησιμοποιείτε, αυτή η διαδικασία μπορεί να διαφέρει. Το IE και το Chrome διαβάζουν και τα δύο από το Windows Certificate store, ωστόσο ο Firefox διαθέτει μια προσαρμοσμένη μέθοδο χειρισμού πιστοποιητικών ασφαλείας.
Σημαντική σημείωση: Θα έπρεπε ποτέ εγκαταστήστε ένα πιστοποιητικό ασφαλείας από άγνωστη πηγή. Στην πράξη, θα πρέπει να εγκαταστήσετε ένα πιστοποιητικό τοπικά μόνο εάν το δημιουργήσατε. Κανένας νόμιμος ιστότοπος δεν θα απαιτούσε να εκτελέσετε αυτά τα βήματα.
Internet Explorer & Google Chrome - Εγκατάσταση τοπικού πιστοποιητικού
Σημείωση: Παρόλο που ο Firefox δεν χρησιμοποιεί το εγγενές κατάστημα πιστοποιητικών των Windows, αυτό εξακολουθεί να συνιστάται.
Αντιγράψτε το πιστοποιητικό που εξήχθη από το διακομιστή (το αρχείο PFX) στον υπολογιστή-πελάτη ή βεβαιωθείτε ότι είναι διαθέσιμο σε διαδρομή δικτύου.
Ανοίξτε τη διαχείριση τοπικού καταστήματος πιστοποιητικών στον υπολογιστή-πελάτη χρησιμοποιώντας τα ίδια ακριβώς βήματα με τα παραπάνω. Τελικά θα καταλήξετε σε μια οθόνη όπως η παρακάτω.
Στην αριστερή πλευρά, αναπτύξτε Πιστοποιητικά> Αξιόπιστες αρχές πιστοποίησης ρίζας. Κάντε δεξί κλικ στο φάκελο Πιστοποιητικά και επιλέξτε Όλες οι εργασίες> Εισαγωγή.
Επιλέξτε το πιστοποιητικό που αντιγράφηκε τοπικά στο μηχάνημά σας.
Εισαγάγετε τον κωδικό ασφαλείας που εκχωρήθηκε κατά την εξαγωγή του πιστοποιητικού από το διακομιστή.
Το κατάστημα "Trusted Root Certification Authorities" πρέπει να προσυμπληρωθεί ως προορισμός. Κάντε κλικ στο Επόμενο.
Ελέγξτε τις ρυθμίσεις και κάντε κλικ στο Τέλος.
Θα πρέπει να δείτε ένα μήνυμα επιτυχίας.
Ανανεώστε την προβολή του φακέλου Trusted Root Certification Authorities> Certificates και θα πρέπει να δείτε το πιστοποιημένο από τον διακομιστή πιστοποιητικό στο κατάστημα.
Μόλις γίνει αυτό, θα πρέπει να μπορείτε να περιηγηθείτε σε έναν ιστότοπο HTTPS που χρησιμοποιεί αυτά τα πιστοποιητικά και δεν λαμβάνει προειδοποιήσεις ή μηνύματα.
Firefox - επιτρέποντας εξαιρέσεις
Ο Firefox χειρίζεται αυτήν τη διαδικασία με διαφορετικό τρόπο, καθώς δεν διαβάζει πληροφορίες πιστοποιητικού από το κατάστημα Windows. Αντί να εγκαταστήσετε πιστοποιητικά (per-se), σας επιτρέπει να ορίσετε εξαιρέσεις για πιστοποιητικά SSL σε συγκεκριμένους ιστότοπους.
Όταν επισκέπτεστε έναν ιστότοπο που έχει σφάλμα πιστοποιητικού, θα λάβετε μια προειδοποίηση όπως αυτή παρακάτω. Η περιοχή με μπλε χρώμα θα ονομάσει την αντίστοιχη διεύθυνση URL στην οποία προσπαθείτε να αποκτήσετε πρόσβαση. Για να δημιουργήσετε μια εξαίρεση για να παρακάμψετε αυτήν την προειδοποίηση στην αντίστοιχη διεύθυνση URL, κάντε κλικ στο κουμπί Προσθήκη εξαίρεσης.
Στο παράθυρο διαλόγου Προσθήκη εξαίρεσης ασφαλείας, κάντε κλικ στο Επιβεβαίωση εξαίρεσης ασφαλείας για να διαμορφώσετε αυτήν την εξαίρεση τοπικά.
Λάβετε υπόψη ότι εάν ένας συγκεκριμένος ιστότοπος ανακατευθύνει σε υποτομείς από μέσα του, ενδέχεται να λάβετε πολλές προειδοποιήσεις ασφαλείας (με τη διεύθυνση URL να είναι ελαφρώς διαφορετική κάθε φορά) Προσθέστε εξαιρέσεις για αυτές τις διευθύνσεις URL χρησιμοποιώντας τα ίδια βήματα όπως παραπάνω.
συμπέρασμα
Αξίζει να επαναλάβετε την παραπάνω ειδοποίηση που πρέπει ποτέ εγκαταστήστε ένα πιστοποιητικό ασφαλείας από άγνωστη πηγή. Στην πράξη, θα πρέπει να εγκαταστήσετε ένα πιστοποιητικό τοπικά μόνο εάν το δημιουργήσατε. Κανένας νόμιμος ιστότοπος δεν θα απαιτούσε να εκτελέσετε αυτά τα βήματα.
Συνδέσεις
Λήψη IIS 6.0 Resource Toolkit (περιλαμβάνει το βοηθητικό πρόγραμμα SelfSSL) από τη Microsoft
