Các nhà phát triển và quản trị viên CNTT chắc chắn có nhu cầu triển khai một số trang web thông qua HTTPS sử dụng chứng chỉ SSL. Mặc dù quy trình này khá đơn giản đối với một trang web sản xuất, nhưng với mục đích phát triển và thử nghiệm, bạn cũng có thể thấy cần phải sử dụng chứng chỉ SSL ở đây.
Để thay thế cho việc mua và gia hạn chứng chỉ hàng năm, bạn có thể tận dụng khả năng của Windows Server để tạo chứng chỉ tự ký thuận tiện, dễ dàng và sẽ đáp ứng hoàn hảo các loại nhu cầu này.
Tạo chứng chỉ tự ký trên IIS
Mặc dù có một số cách để hoàn thành nhiệm vụ tạo chứng chỉ tự ký, nhưng chúng tôi sẽ sử dụng tiện ích SelfSSL của Microsoft. Rất tiếc, phần mềm này không đi kèm với IIS nhưng nó có sẵn miễn phí như một phần của Bộ công cụ tài nguyên IIS 6.0 (liên kết được cung cấp ở cuối bài viết này). Mặc dù có tên “IIS 6.0”, tiện ích này hoạt động tốt trong IIS 7.
Tất cả những gì cần thiết là giải nén IIS6RT để lấy tiện ích selfssl.exe. Từ đây, bạn có thể sao chép nó vào thư mục Windows của mình hoặc đường dẫn mạng / ổ USB để sử dụng trong tương lai trên một máy khác (vì vậy bạn không phải tải xuống và giải nén IIS6RT đầy đủ).
Khi bạn đã có tiện ích SelfSSL tại chỗ, hãy chạy lệnh sau (với tư cách là Quản trị viên) thay thế các giá trị trong <> nếu thích hợp:
selfssl / N: CN = <your.domain.com> / V: <số ngày hợp lệ>
Ví dụ dưới đây tạo chứng chỉ ký tự đại diện tự ký cho “mydomain.com” và đặt chứng chỉ này có giá trị trong 9.999 ngày. Ngoài ra, bằng cách trả lời có cho lời nhắc, chứng chỉ này được tự động định cấu hình để liên kết với cổng 443 bên trong Trang web Mặc định của IIS.
Mặc dù tại thời điểm này, chứng chỉ đã sẵn sàng để sử dụng, nhưng nó chỉ được lưu trữ trong kho lưu trữ chứng chỉ cá nhân trên máy chủ. Cách tốt nhất là bạn cũng nên đặt chứng chỉ này trong thư mục gốc đáng tin cậy.
Đi tới Bắt đầu> Chạy (hoặc Windows Key + R) và nhập “mmc”. Bạn có thể nhận được lời nhắc UAC, hãy chấp nhận nó và Bảng điều khiển quản lý trống sẽ mở ra.
Trong bảng điều khiển, đi tới Tệp> Thêm / Xóa Snap-in.
Thêm chứng chỉ từ phía bên trái.
Chọn Tài khoản máy tính.
Chọn Máy tính cục bộ.
Bấm OK để xem kho lưu trữ Chứng chỉ cục bộ.
Điều hướng đến Cá nhân> Chứng chỉ và tìm chứng chỉ bạn thiết lập bằng tiện ích SelfSSL. Nhấp chuột phải vào chứng chỉ và chọn Sao chép.
Điều hướng đến Tổ chức phát hành chứng chỉ gốc đáng tin cậy> Chứng chỉ. Nhấp chuột phải vào thư mục Chứng chỉ và chọn Dán.
Một mục nhập cho chứng chỉ SSL sẽ xuất hiện trong danh sách.
Tại thời điểm này, máy chủ của bạn sẽ không gặp vấn đề gì khi hoạt động với chứng chỉ tự ký.
Xuất chứng chỉ
Nếu bạn đang truy cập một trang web sử dụng chứng chỉ SSL tự ký trên bất kỳ máy khách nào (tức là bất kỳ máy tính nào không phải là máy chủ), để tránh sự tấn công tiềm ẩn của lỗi chứng chỉ và cảnh báo, chứng chỉ tự ký nên được cài đặt trên từng máy khách (mà chúng ta sẽ thảo luận chi tiết bên dưới). Để làm điều này, trước tiên chúng ta cần xuất chứng chỉ tương ứng để nó có thể được cài đặt trên các máy khách.
Bên trong bảng điều khiển với Quản lý chứng chỉ được tải, hãy điều hướng đến Tổ chức phát hành chứng chỉ gốc đáng tin cậy> Chứng chỉ. Tìm chứng chỉ, nhấp chuột phải và chọn Tất cả nhiệm vụ> Xuất.
Khi được nhắc xuất khóa riêng tư, hãy chọn Có. Nhấn tiếp.
Để lại các lựa chọn mặc định cho định dạng tệp và nhấp vào Tiếp theo.
Nhập mật khẩu. Điều này sẽ được sử dụng để bảo vệ chứng chỉ và người dùng sẽ không thể nhập nó cục bộ nếu không nhập mật khẩu này.
Nhập vị trí để xuất tệp chứng chỉ. Nó sẽ ở định dạng PFX.
Xác nhận cài đặt của bạn và nhấp vào Hoàn tất.
Tệp PFX kết quả là những gì sẽ được cài đặt vào máy khách của bạn để cho chúng biết rằng chứng chỉ tự ký của bạn là từ một nguồn đáng tin cậy.
Triển khai cho Máy khách
Khi bạn đã tạo chứng chỉ ở phía máy chủ và mọi thứ hoạt động, bạn có thể nhận thấy rằng khi máy khách kết nối với URL tương ứng, cảnh báo chứng chỉ sẽ được hiển thị. Điều này xảy ra vì tổ chức phát hành chứng chỉ (máy chủ của bạn) không phải là nguồn đáng tin cậy cho chứng chỉ SSL trên máy khách.
Bạn có thể nhấp qua các cảnh báo và truy cập trang web, tuy nhiên, bạn có thể nhận được các thông báo lặp lại dưới dạng thanh URL được đánh dấu hoặc các cảnh báo chứng chỉ lặp lại. Để tránh phiền toái này, bạn chỉ cần cài đặt chứng chỉ bảo mật SSL tùy chỉnh trên máy khách.
Tùy thuộc vào trình duyệt bạn sử dụng, quá trình này có thể khác nhau. IE và Chrome đều đọc từ cửa hàng Chứng chỉ Windows, tuy nhiên Firefox có phương pháp xử lý chứng chỉ bảo mật tùy chỉnh.
Lưu ý quan trọng: Bạn nên không bao giờ cài đặt chứng chỉ bảo mật từ một nguồn không xác định. Trong thực tế, bạn chỉ nên cài đặt một chứng chỉ cục bộ nếu bạn đã tạo nó. Không có trang web hợp pháp nào yêu cầu bạn thực hiện các bước này.
Internet Explorer & Google Chrome - Cài đặt chứng chỉ cục bộ
Lưu ý: Mặc dù Firefox không sử dụng kho lưu trữ chứng chỉ gốc của Windows, nhưng đây vẫn là bước được khuyến nghị.
Sao chép chứng chỉ đã được xuất từ máy chủ (tệp PFX) sang máy khách hoặc đảm bảo chứng chỉ đó có sẵn trong đường dẫn mạng.
Mở quản lý kho lưu trữ chứng chỉ cục bộ trên máy khách bằng các bước giống hệt như trên. Cuối cùng bạn sẽ đến một màn hình như bên dưới.
Ở phía bên trái, mở rộng Chứng chỉ> Tổ chức phát hành chứng chỉ gốc đáng tin cậy. Nhấp chuột phải vào thư mục Chứng chỉ và chọn Tất cả Công việc> Nhập.
Chọn chứng chỉ đã được sao chép cục bộ vào máy của bạn.
Nhập mật khẩu bảo mật được chỉ định khi chứng chỉ được xuất từ máy chủ.
Cửa hàng “Tổ chức phát hành chứng chỉ gốc đáng tin cậy” nên được điền trước làm điểm đến. Nhấn tiếp.
Xem lại cài đặt và nhấp vào Hoàn tất.
Bạn sẽ thấy một thông báo thành công.
Làm mới chế độ xem của bạn trong thư mục Tổ chức phát hành chứng chỉ gốc đáng tin cậy> Chứng chỉ và bạn sẽ thấy chứng chỉ tự ký của máy chủ được liệt kê trong cửa hàng.
Một trong những điều này được thực hiện, bạn sẽ có thể duyệt đến trang web HTTPS sử dụng các chứng chỉ này và không nhận được cảnh báo hoặc lời nhắc.
Firefox - Cho phép Ngoại lệ
Firefox xử lý quá trình này hơi khác một chút vì nó không đọc thông tin chứng chỉ từ Windows store. Thay vì cài đặt chứng chỉ (per-se), nó cho phép bạn xác định ngoại lệ cho chứng chỉ SSL trên các trang web cụ thể.
Khi bạn truy cập một trang web có lỗi chứng chỉ, bạn sẽ nhận được cảnh báo như bên dưới. Khu vực có màu xanh lam sẽ đặt tên cho URL tương ứng mà bạn đang cố gắng truy cập. Để tạo một ngoại lệ để bỏ qua cảnh báo này trên URL tương ứng, hãy nhấp vào nút Thêm Ngoại lệ.
Trong hộp thoại Thêm Ngoại lệ Bảo mật, bấm vào Xác nhận Ngoại lệ Bảo mật để định cấu hình cục bộ ngoại lệ này.
Lưu ý rằng nếu một trang web cụ thể chuyển hướng đến các tên miền phụ từ trong chính nó, bạn có thể nhận được nhiều lời nhắc cảnh báo bảo mật (với URL mỗi lần khác nhau một chút). Thêm ngoại lệ cho các URL đó bằng cách sử dụng các bước tương tự như trên.
Phần kết luận
Cần nhắc lại thông báo ở trên rằng bạn nên không bao giờ cài đặt chứng chỉ bảo mật từ một nguồn không xác định. Trong thực tế, bạn chỉ nên cài đặt một chứng chỉ cục bộ nếu bạn đã tạo nó. Không có trang web hợp pháp nào yêu cầu bạn thực hiện các bước này.
Liên kết
Tải xuống Bộ công cụ tài nguyên IIS 6.0 (bao gồm tiện ích SelfSSL) từ Microsoft
