Dezvoltatorii și administratorii IT au, fără îndoială, necesitatea implementării unor site-uri web prin HTTPS folosind un certificat SSL. Deși acest proces este destul de simplu pentru un site de producție, în scopul dezvoltării și testării, veți găsi nevoia de a utiliza un certificat SSL și aici.
Ca alternativă la achiziționarea și reînnoirea unui certificat anual, puteți beneficia de capacitatea Windows Server de a genera un certificat autosemnat, care este convenabil, ușor și care ar trebui să răspundă perfect acestor tipuri de nevoi.
Crearea unui certificat autosemnat pe IIS
Deși există mai multe moduri de a îndeplini sarcina de a crea un certificat autosemnat, vom folosi utilitarul SelfSSL de la Microsoft. Din păcate, acest lucru nu este livrat împreună cu IIS, dar este disponibil în mod gratuit ca parte a IIS 6.0 Resource Toolkit (link furnizat în partea de jos a acestui articol). În ciuda numelui „IIS 6.0”, acest utilitar funcționează foarte bine în IIS 7.
Tot ce este necesar este să extrageți IIS6RT pentru a obține utilitarul selfssl.exe. De aici îl puteți copia în directorul Windows sau pe o cale de rețea / unitate USB pentru utilizare ulterioară pe o altă mașină (deci nu trebuie să descărcați și să extrageți IIS6RT complet).
După ce aveți utilitarul SelfSSL la locul său, rulați următoarea comandă (ca administrator) înlocuind valorile din <> după caz:
selfssl / N: CN = <your.domain.com> / V: <numărul de zile valabile>
Exemplul de mai jos produce un certificat wildcard auto-semnat pe „mydomain.com” și îl stabilește ca fiind valabil 9.999 zile. În plus, răspunzând da la prompt, acest certificat este configurat automat pentru a se lega de portul 443 din site-ul Web implicit al IIS.
Deși în acest moment certificatul este gata de utilizare, acesta este stocat numai în depozitul de certificate personale de pe server. Este o bună practică să aveți și acest certificat setat în rădăcina de încredere.
Mergeți la Start> Executare (sau cheie Windows + R) și introduceți „mmc”. Puteți primi un prompt UAC, îl acceptați și se va deschide o consolă de management goală.
În consolă, accesați Fișier> Adăugare / Eliminare Snap-in.
Adăugați certificate din partea stângă.
Selectați Cont computer.
Selectați Computer local.
Faceți clic pe OK pentru a vizualiza magazinul de certificate locale.
Navigați la Personal> Certificate și localizați certificatul pe care l-ați configurat utilizând utilitarul SelfSSL. Faceți clic dreapta pe certificat și selectați Copiere.
Navigați la Autorități de certificare rădăcină de încredere> Certificate. Faceți clic dreapta pe folderul Certificate și selectați Lipire.
O listă pentru certificatul SSL ar trebui să apară.
În acest moment, serverul dvs. nu ar trebui să aibă probleme în lucrul cu certificatul autosemnat.
Exportul certificatului
Dacă urmează să accesați un site care folosește certificatul SSL auto-semnat pe orice computer client (adică orice computer care nu este serverul), pentru a evita un atac potențial de erori și avertismente ale certificatului, certificatul auto-semnat ar trebui instalat pe fiecare dintre mașinile clientului (despre care vom discuta în detaliu mai jos). Pentru a face acest lucru, trebuie mai întâi să exportăm certificatul respectiv pentru a putea fi instalat pe clienți.
În interiorul consolei cu gestionarea certificatelor încărcată, navigați la Autorități de certificare rădăcină de încredere> Certificate. Găsiți certificatul, faceți clic dreapta și selectați Toate activitățile> Export.
Când vi se solicită să exportați cheia privată, selectați Da. Faceți clic pe Următorul.
Lăsați selecțiile implicite pentru formatul de fișier și faceți clic pe Următorul.
Scrie o parolă. Aceasta va fi utilizată pentru a proteja certificatul, iar utilizatorii nu îl vor putea importa local fără a introduce această parolă.
Introduceți o locație pentru a exporta fișierul certificat. Acesta va fi în format PFX.
Confirmați setările și faceți clic pe Finalizare.
Fișierul PFX rezultat este ceea ce va fi instalat pe mașinile dvs. client pentru a le spune că certificatul dvs. autosemnat provine dintr-o sursă de încredere.
Implementarea pe mașini client
Odată ce ați creat certificatul pe partea de server și ați funcționat totul, este posibil să observați că atunci când un computer client se conectează la adresa URL respectivă, este afișat un avertisment de certificat. Acest lucru se întâmplă deoarece autoritatea de certificare (serverul dvs.) nu este o sursă de încredere pentru certificatele SSL de pe client.
Puteți să faceți clic prin avertismente și să accesați site-ul, cu toate acestea, puteți primi notificări repetate sub forma unei bare URL evidențiate sau avertismente repetate ale certificatului. Pentru a evita această supărare, trebuie pur și simplu să instalați certificatul de securitate SSL personalizat pe computerul client.
În funcție de browserul pe care îl utilizați, acest proces poate varia. IE și Chrome citesc ambele din magazinul de certificate Windows, cu toate acestea Firefox are o metodă personalizată de gestionare a certificatelor de securitate.
Notă importantă: Tu ar trebui nu instalați un certificat de securitate dintr-o sursă necunoscută. În practică, ar trebui să instalați un certificat local numai dacă l-ați generat. Niciun site web legitim nu vă va cere să efectuați acești pași.
Internet Explorer și Google Chrome - Instalarea certificatului local
Notă: Chiar dacă Firefox nu folosește magazinul de certificate Windows nativ, acesta este totuși un pas recomandat.
Copiați certificatul care a fost exportat de pe server (fișierul PFX) pe computerul client sau asigurați-vă că este disponibil într-o cale de rețea.
Deschideți administrarea magazinului de certificate locale pe computerul client, urmând exact aceiași pași ca mai sus. În cele din urmă veți ajunge pe un ecran ca cel de mai jos.
În partea stângă, extindeți Certificate> Autorități de certificare rădăcină de încredere. Faceți clic dreapta pe folderul Certificate și selectați Toate activitățile> Import.
Selectați certificatul care a fost copiat local pe aparatul dvs.
Introduceți parola de securitate atribuită atunci când certificatul a fost exportat de pe server.
Magazinul „Autorități de certificare rădăcină de încredere” ar trebui să fie preumplut ca destinație. Faceți clic pe Următorul.
Examinați setările și faceți clic pe Finalizare.
Ar trebui să vedeți un mesaj de succes.
Reîmprospătați vizualizarea folderului Autorități de certificare rădăcină de încredere> Certificate și ar trebui să vedeți certificatul serverului autosemnat listat în magazin.
Unul dintre acestea este făcut, ar trebui să puteți naviga la un site HTTPS care utilizează aceste certificate și să nu primească avertismente sau solicitări.
Firefox - Permiterea excepțiilor
Firefox gestionează acest proces puțin diferit, deoarece nu citește informații despre certificate din magazinul Windows. În loc să instalați certificate (în sine), vă permite să definiți excepții pentru certificate SSL pe anumite site-uri.
Când vizitați un site care are o eroare de certificat, veți primi un avertisment ca cel de mai jos. Zona în albastru va denumi adresa URL respectivă pe care încercați să o accesați. Pentru a crea o excepție pentru a ocoli acest avertisment pe adresa URL respectivă, faceți clic pe butonul Adăugare excepție.
În dialogul Adăugare excepție de securitate, faceți clic pe Confirmare excepție de securitate pentru a configura această excepție local.
Rețineți că, dacă un anumit site redirecționează către subdomenii din interiorul său, puteți primi mai multe solicitări de avertizare de securitate (adresa URL fiind de fiecare dată ușor diferită). Adăugați excepții pentru acele adrese URL utilizând aceiași pași ca mai sus.
Concluzie
Merită să repetați notificarea de mai sus că ar trebui nu instalați un certificat de securitate dintr-o sursă necunoscută. În practică, ar trebui să instalați un certificat local numai dacă l-ați generat. Niciun site web legitim nu vă va cere să efectuați acești pași.
Link-uri
Descărcați IIS 6.0 Resource Toolkit (include utilitarul SelfSSL) de la Microsoft
