למפתחים ולמנהלי IT יש, ללא ספק, צורך לפרוס אתר כלשהו באמצעות HTTPS באמצעות אישור SSL. אמנם תהליך זה די פשוט עבור אתר ייצור, אך לצורכי פיתוח ובדיקה יתכן שתמצא כאן צורך להשתמש בתעודת SSL.
כחלופה לרכישה וחידוש תעודה שנתית, אתה יכול למנף את יכולת Windows Server שלך לייצר תעודה חתומה עצמית הנוחה, קלה ואמורה לענות על סוגים אלה של צרכים בצורה מושלמת.
יצירת תעודה בחתימה עצמית ב- IIS
אמנם ישנן מספר דרכים לבצע את המשימה של יצירת אישור בחתימה עצמית, אך נשתמש בכלי השירות SelfSSL של מיקרוסופט. למרבה הצער, זה לא נשלח עם IIS, אך הוא זמין באופן חופשי כחלק מערכת הכלים של משאבי IIS 6.0 (קישור בתחתית מאמר זה). למרות השם "IIS 6.0" כלי השירות הזה עובד בסדר גמור ב- IIS 7.
כל מה שנדרש הוא לחלץ את ה- IIS6RT כדי להשיג את כלי השירות selfssl.exe. מכאן תוכלו להעתיק אותו לספריית Windows או לנתיב רשת / כונן USB לשימוש עתידי במחשב אחר (כך שלא תצטרכו להוריד ולחלץ את IIS6RT המלא).
ברגע שיש לך את כלי השירות SelfSSL במקום, הפעל את הפקודה הבאה (כמנהל המערכת) והחלף את הערכים ב- <> לפי הצורך:
selfssl / N: CN = <your.domain.com> / V: <מספר הימים החוקיים>
הדוגמה שלהלן מייצרת אישור תווים כלליים בחתימה עצמית כנגד "mydomain.com" וקובע שהיא תקפה למשך 9,999 ימים. בנוסף, על ידי מענה חיובי להנחיה, אישור זה מוגדר אוטומטית לאגד ליציאה 443 בתוך אתר ברירת המחדל של IIS.
בעוד שבשלב זה האישור מוכן לשימוש, הוא נשמר רק בחנות האישורים האישית בשרת. זה שיטה מומלצת גם להגדיר אישור זה בשורש המהימן.
עבור אל התחל> הפעל (או מקש Windows + R) והזן "mmc". ייתכן שתקבל הנחיית UAC, תקבל אותה ומסוף ניהול ריק ייפתח.
במסוף, עבור אל קובץ> הוסף / הסר יישום Snap-in.
הוסף אישורים מצד שמאל.
בחר חשבון מחשב.
בחר מחשב מקומי.
לחץ על אישור כדי להציג את חנות האישורים המקומית.
נווט אל אישי> אישורים ואתר את האישור שהגדרת באמצעות כלי ה- SelfSSL. לחץ לחיצה ימנית על האישור ובחר העתק.
נווט אל רשויות אישורי שורש מהימנות> אישורים. לחץ לחיצה ימנית על תיקיית האישורים ובחר הדבק.
ערך עבור אישור SSL אמור להופיע ברשימה.
בשלב זה, לשרת שלך לא יהיו שום בעיות בעבודה עם האישור החתום על עצמו.
ייצוא האישור
אם אתה הולך לגשת לאתר המשתמש בתעודת SSL בחתימה עצמית בכל מכונת לקוח כלשהי (כלומר כל מחשב שאינו השרת), על מנת למנוע התקפה אפשרית של שגיאות ואישורים באישור יש להתקין את האישור החתום על עצמו. בכל אחת ממכונות הלקוח (עליהן נדבר בהרחבה בהמשך). לשם כך, ראשית עלינו לייצא את האישור המתאים כך שניתן יהיה להתקין אותו על הלקוחות.
בתוך המסוף עם ניהול האישורים טעון, נווט אל רשויות אישורי שורש מהימנות> אישורים. אתר את האישור, לחץ באמצעות לחצן העכבר הימני ובחר כל המשימות> ייצא.
כאשר תתבקש לייצא את המפתח הפרטי, בחר כן. הקש "הבא.
השאר את בחירות ברירת המחדל עבור פורמט הקובץ ולחץ על הבא.
הכנס סיסמא. זה ישמש להגנה על האישור והמשתמשים לא יוכלו לייבא אותו באופן מקומי מבלי להזין סיסמה זו.
הזן מיקום לייצוא קובץ האישור. זה יהיה בפורמט PFX.
אשר את ההגדרות שלך ולחץ על סיום.
קובץ ה- PFX המתקבל הוא מה שיותקן במחשבי הלקוחות שלך כדי להודיע להם שהאישור החתום שלך הוא ממקור מהימן.
פריסה למכונות לקוח
לאחר שיצרת את האישור בצד השרת והכל עובד, ייתכן שתבחין שכאשר מחשב לקוח מתחבר לכתובת האתר המתאימה, מוצגת אזהרת אישור. זה קורה מכיוון שרשות האישורים (השרת שלך) אינה מקור מהימן עבור אישורי SSL על הלקוח.
באפשרותך ללחוץ על האזהרות ולגשת לאתר, אולם ייתכן שתקבל הודעות חוזרות בצורה של סרגל URL מודגש או אזהרות אישור חוזרות. כדי למנוע מטרד זה, אתה פשוט צריך להתקין את אישור האבטחה SSL המותאם אישית במחשב הלקוח.
בהתאם לדפדפן שבו אתה משתמש, תהליך זה יכול להשתנות. IE ו- Chrome קוראים שניהם מחנות האישורים של Windows, אולם ל- Firefox יש שיטה מותאמת אישית לטיפול באישורי אבטחה.
הערה חשובה: אתה צריך לעולם לא התקן אישור אבטחה ממקור לא ידוע. בפועל, עליך להתקין אישור מקומי רק אם ייצרת אותו. שום אתר לגיטימי לא ידרוש ממך לבצע את הצעדים האלה.
Internet Explorer ו- Google Chrome - התקנת האישור באופן מקומי
הערה: למרות ש- Firefox אינו משתמש בחנות האישורים המקורית של Windows, זה עדיין שלב מומלץ.
העתק את האישור שיוצא מהשרת (קובץ PFX) למחשב הלקוח או וודא שהוא זמין בנתיב רשת.
פתח את ניהול חנות האישורים המקומית במחשב הלקוח באמצעות אותם שלבים בדיוק כמו לעיל. בסופו של דבר תגיע למסך כמו זה למטה.
בצד שמאל, הרחב אישורים> רשויות אישורי שורש מהימנות. לחץ לחיצה ימנית על תיקיית האישורים ובחר כל המשימות> ייבוא.
בחר את האישור שהועתק באופן מקומי למחשב שלך.
הזן את סיסמת האבטחה שהוקצתה בעת אישור הייצוא מהשרת.
יש למלא מראש את החנות "רשויות אישורי שורש מהימנות" כיעד. הקש "הבא.
בדוק את ההגדרות ולחץ על סיום.
אתה אמור לראות הודעת הצלחה.
רענן את התצוגה שלך על תיקיית אישורי השורש המהימנים> התעודות, ועליך לראות את האישור החתום על עצמו על השרת מופיע בחנות.
כאשר הדבר נעשה, אתה אמור להיות מסוגל לדפדף לאתר HTTPS המשתמש באישורים אלה ולא לקבל שום אזהרות או הנחיות.
Firefox - מתיר חריגים
Firefox מטפל בתהליך זה קצת אחרת מכיוון שהוא לא קורא מידע על אישורים מחנות Windows. במקום להתקין אישורים (כשלעצמם), הוא מאפשר לך להגדיר חריגים עבור אישורי SSL באתרים מסוימים.
כאשר אתה מבקר באתר שיש בו שגיאת אישור, תקבל אזהרה כמו זו שלמטה. האזור בכחול ייתן שם לכתובת האתר המתאימה אליה אתה מנסה לגשת. כדי ליצור חריג שיעקוף אזהרה זו בכתובת ה- URL המתאימה, לחץ על הלחצן הוסף חריג.
בתיבת הדו-שיח הוסף חריג אבטחה, לחץ על אשר חריג אבטחה כדי להגדיר חריג זה באופן מקומי.
שים לב שאם אתר מסוים מפנה מחדש לתתי דומיינים מתוך עצמו, ייתכן שתקבל מספר הנחיות לאזהרת אבטחה (כאשר כתובת האתר תהיה שונה במקצת בכל פעם). הוסף חריגים עבור כתובות אתרים באותן שלבים כמו לעיל.
סיכום
כדאי לחזור על ההודעה שלמעלה שכדאי לך לעולם לא התקן אישור אבטחה ממקור לא ידוע. בפועל, עליך להתקין אישור מקומי רק אם ייצרת אותו. שום אתר לגיטימי לא ידרוש ממך לבצע את הצעדים האלה.
קישורים
הורד את ערכת כלי המשאבים של IIS 6.0 (כולל כלי השירות SelfSSL) ממיקרוסופט
