Utviklere og IT-administratorer har uten tvil behovet for å distribuere noe nettsted via HTTPS ved hjelp av et SSL-sertifikat. Selv om denne prosessen er ganske grei for et produksjonssted, kan du i forbindelse med utvikling og testing finne behovet for å bruke et SSL-sertifikat også her.
Som en alternativ til å kjøpe og fornye et årlig sertifikat, kan du utnytte Windows Servers evne til å generere et selvsignert sertifikat som er praktisk, enkelt og som skal oppfylle disse typer behov perfekt.
Opprette et selvsignert sertifikat på IIS
Selv om det er flere måter å utføre oppgaven med å lage et selvsignert sertifikat på, vil vi bruke SelfSSL-verktøyet fra Microsoft. Dessverre leveres ikke dette med IIS, men det er fritt tilgjengelig som en del av IIS 6.0 Resource Toolkit (lenke gitt nederst i denne artikkelen). Til tross for navnet “IIS 6.0” fungerer dette verktøyet fint i IIS 7.
Alt som kreves er å trekke ut IIS6RT for å få verktøyet selfssl.exe. Herfra kan du kopiere den til Windows-katalogen eller en nettverkssti / USB-stasjon for fremtidig bruk på en annen maskin (slik at du ikke trenger å laste ned og pakke ut hele IIS6RT).
Når du har SelfSSL-verktøyet på plass, kjører du følgende kommando (som administrator) og erstatter verdiene i <> etter behov:
selfssl / N: CN = <your.domain.com> / V: <antall gyldige dager>
Eksemplet nedenfor produserer et selvsignert jokertegnsertifikat mot “mydomain.com” og setter det til å være gyldig i 9.999 dager. I tillegg konfigureres dette sertifikatet automatisk ved å svare ja på forespørselen til å binde seg til port 443 inne på standardnettstedet til IIS.
Mens dette sertifikatet er klart til bruk, lagres det bare i det personlige sertifikatlageret på serveren. Det er en god praksis å også ha dette sertifikatet satt i den pålitelige roten.
Gå til Start> Kjør (eller Windows Key + R) og skriv inn “mmc”. Du kan motta en UAC-melding, godta den og en tom administrasjonskonsoll åpnes.
Gå til Fil> Legg til / fjern snapin-modul i konsollen.
Legg til sertifikater fra venstre side.
Velg Datakonto.
Velg Lokal datamaskin.
Klikk OK for å se den lokale sertifikatbutikken.
Naviger til Personlig> Sertifikater, og finn sertifikatet du konfigurerer ved hjelp av SelfSSL-verktøyet. Høyreklikk på sertifikatet og velg Kopier.
Naviger til Trusted Root Certification Authorities> Certificate. Høyreklikk på mappen Sertifikater og velg Lim inn.
En oppføring for SSL-sertifikatet skal vises i listen.
På dette tidspunktet skal serveren din ikke ha problemer med å jobbe med det selvsignerte sertifikatet.
Eksporterer sertifikatet
Hvis du skal få tilgang til et nettsted som bruker det selvsignerte SSL-sertifikatet på en hvilken som helst klientmaskin (dvs. en hvilken som helst datamaskin som ikke er serveren), må det selvsignerte sertifikatet installeres for å unngå et potensielt angrep av sertifikatfeil og advarsler. på hver av klientmaskinene (som vi vil diskutere i detalj nedenfor). For å gjøre dette må vi først eksportere det respektive sertifikatet slik at det kan installeres på klientene.
Inne i konsollen med sertifikatadministrasjon lastet, naviger til Trusted Root Certification Authorities> Certificate. Finn sertifikatet, høyreklikk og velg Alle oppgaver> Eksporter.
Når du blir bedt om å eksportere den private nøkkelen, velger du Ja. Klikk på Neste.
Legg igjen standardvalgene for filformatet, og klikk på Neste.
Skriv inn et passord. Dette vil bli brukt for å beskytte sertifikatet, og brukere vil ikke kunne importere det lokalt uten å skrive inn dette passordet.
Angi et sted for å eksportere sertifikatfilen. Det vil være i PFX-format.
Bekreft innstillingene og klikk Fullfør.
Den resulterende PFX-filen er det som blir installert på klientmaskinene dine for å fortelle dem at ditt selvsignerte sertifikat er fra en klarert kilde.
Implementering til klientmaskiner
Når du har opprettet sertifikatet på serversiden og har alt i orden, kan du merke at når en klientmaskin kobles til den respektive URL-en, vises en sertifikatadvarsel. Dette skjer fordi sertifikatmyndigheten (serveren din) ikke er en klarert kilde for SSL-sertifikater på klienten.
Du kan klikke gjennom advarslene og få tilgang til nettstedet, men du kan få gjentatte varsler i form av en uthevet URL-linje eller gjentatte sertifikatadvarsler. For å unngå denne irritasjonen, trenger du bare å installere det tilpassede SSL-sikkerhetssertifikatet på klientmaskinen.
Avhengig av hvilken nettleser du bruker, kan denne prosessen variere. IE og Chrome leses begge fra Windows-sertifikatbutikken, men Firefox har en tilpasset metode for håndtering av sikkerhetssertifikater.
Viktig notat: Du burde aldri installer et sikkerhetssertifikat fra en ukjent kilde. I praksis bør du bare installere et sertifikat lokalt hvis du genererte det. Ingen legitime nettsteder krever at du utfører disse trinnene.
Internet Explorer og Google Chrome - Installere sertifikatet lokalt
Merk: Selv om Firefox ikke bruker den opprinnelige Windows-sertifikatbutikken, er dette fortsatt et anbefalt trinn.
Kopier sertifikatet som ble eksportert fra serveren (PFX-filen) til klientmaskinen, eller sørg for at det er tilgjengelig i en nettverksbane.
Åpne den lokale sertifikatbutikkadministrasjonen på klientmaskinen ved å bruke nøyaktig samme trinn som ovenfor. Du vil til slutt havne på en skjerm som den nedenfor.
På venstre side utvider du sertifikater> Trusted Root Certification Authorities. Høyreklikk på sertifikatmappen og velg Alle oppgaver> Importer.
Velg sertifikatet som ble kopiert lokalt til maskinen din.
Skriv inn sikkerhetspassordet som ble tildelt da sertifikatet ble eksportert fra serveren.
Butikken “Trusted Root Certification Authorities” skal fylles ut som destinasjon. Klikk på Neste.
Gå gjennom innstillingene og klikk Fullfør.
Du bør se en suksessmelding.
Oppdater ditt syn på Trusted Root Certification Authorities> Certificate-mappen, og du bør se serverens selvsignerte sertifikat oppført i butikken.
Når dette er gjort, bør du kunne bla til et HTTPS-nettsted som bruker disse sertifikatene og ikke mottar advarsler eller instruksjoner.
Firefox - Tillat unntak
Firefox håndterer denne prosessen litt annerledes, da den ikke leser sertifikatinformasjon fra Windows-butikken. I stedet for å installere sertifikater (per se), lar det deg definere unntak for SSL-sertifikater på bestemte nettsteder.
Når du besøker et nettsted som har en sertifikatfeil, vil du få en advarsel som den nedenfor. Området i blått vil gi navn til den respektive URL-en du prøver å få tilgang til. For å opprette et unntak for å omgå denne advarselen på den respektive URL-en, klikk på knappen Legg til unntak.
I dialogboksen Legg til sikkerhets unntak klikker du Bekreft sikkerhets unntak for å konfigurere dette unntaket lokalt.
Vær oppmerksom på at hvis et bestemt nettsted omdirigerer til underdomener fra seg selv, kan du få flere sikkerhetsadvarsler (med nettadressen som er litt annerledes hver gang). Legg til unntak for disse URL-ene ved å følge de samme trinnene som ovenfor.
Konklusjon
Det er verdt å gjenta varselet ovenfor som du burde aldri installer et sikkerhetssertifikat fra en ukjent kilde. I praksis bør du bare installere et sertifikat lokalt hvis du genererte det. Ingen legitime nettsteder krever at du utfører disse trinnene.
Lenker
Last ned IIS 6.0 Resource Toolkit (inkluderer SelfSSL-verktøy) fra Microsoft
