Pagina principala » HOWTO » IT Cum se creează un certificat de securitate SSL și se implementează în mașinile client

    IT Cum se creează un certificat de securitate SSL și se implementează în mașinile client

    Dezvoltatorii și administratorii de IT au, fără îndoială, necesitatea de a implementa un site web prin HTTPS utilizând un certificat SSL. În timp ce acest proces este destul de simplu pentru un site de producție, în scopul dezvoltării și testării, puteți găsi necesitatea de a utiliza și un certificat SSL aici.

    Ca alternativă la achiziționarea și reînnoirea unui certificat anual, puteți utiliza capacitatea Windows Server de a genera un certificat de semnătură auto-semnată, care este convenabil, ușor și ar trebui să satisfacă perfect aceste tipuri de nevoi.

    Crearea unui certificat auto-semnat pe IIS

    Deși există mai multe modalități de a îndeplini sarcina de a crea un certificat cu auto-semnare, vom folosi utilitarul SelfSSL de la Microsoft. Din păcate, acest lucru nu este livrat cu IIS, dar este disponibil în mod liber ca parte a IIS 6.0 Resource Toolkit (link-ul furnizat în partea de jos a acestui articol). În ciuda numelui "IIS 6.0", această utilitate funcționează foarte bine în IIS 7.

    Tot ce este necesar este să extrageți IIS6RT pentru a obține utilitarul selfssl.exe. De aici puteți să o copiați în directorul Windows sau pe o cale de rețea / unitate USB pentru o utilizare ulterioară pe o altă mașină (deci nu trebuie să descărcați și să extrageți IIS6RT complet).

    După ce ați instalat utilitarul SelfSSL, executați următoarea comandă (ca Administrator) înlocuind valorile în mod corespunzător:

    selfssl / N: CN = / V:

    Exemplul de mai jos produce un certificat de tip "wildcard" pe care îl semnezi pe cont propriu împotriva "mydomain.com" și îl stabilește ca fiind valabil pentru 9,999 de zile. În plus, răspunzând da la prompt, acest certificat este configurat automat să se lege de portul 443 din Site-ul Web implicit al IIS.

    În timp ce în acest moment certificatul este gata de utilizare, acesta este stocat numai în magazinul de certificate personale de pe server. Este o bună practică să aveți și acest certificat setat și în rădăcina de încredere.

    Mergeți la Start> Run (sau Windows Key + R) și introduceți "mmc". Este posibil să primiți o solicitare UAC, acceptați-o și o consolă de administrare goală se va deschide.

    În consola, accesați Fișier> Adăugare / Eliminare modul snap-in.

    Adăugați Certificate din partea stângă.

    Selectați Cont computer.

    Selectați Computer local.

    Faceți clic pe OK pentru a vizualiza magazinul Local Certificate.

    Navigați la Personal> Certificate și găsiți certificatul pe care îl configurați utilizând utilitarul SelfSSL. Faceți clic dreapta pe certificat și selectați Copiere.

    Navigați la Autoritățile de certificare a certificatelor de rădăcină de încredere> Certificate. Faceți clic dreapta pe dosarul Certificate și selectați Paste.

    O intrare pentru certificatul SSL ar trebui să apară în listă.

    În acest moment, serverul dvs. nu ar trebui să aibă probleme cu lucrul cu certificatul cu auto-semnare.

    Exportul certificatului

    Dacă intenționați să accesați un site care utilizează certificatul SSL auto-semnat pe orice mașină client (adică orice computer care nu este serverul), pentru a evita potențialele atacuri de erori și avertismente ale certificatului, certificatul auto-semnat pe fiecare mașină client (pe care o vom discuta în detaliu mai jos). Pentru a face acest lucru, trebuie mai întâi să exportăm certificatul respectiv, astfel încât acesta să poată fi instalat pe clienți.

    În interiorul consolei cu gestionarea certificatelor încărcate, navigați la Autoritățile de certificare a certificatelor root> Certificate. Găsiți certificatul, dați clic dreapta și selectați Toate sarcinile> Export.

    Când vi se solicită să exportați cheia privată, selectați Da. Faceți clic pe Următorul.

    Lăsați selecțiile implicite pentru formatul de fișier și faceți clic pe Următorul.

    Scrie o parolă. Acest lucru va fi folosit pentru a proteja certificatul și utilizatorii nu vor putea să-l importe la nivel local fără a introduce această parolă.

    Introduceți o locație pentru a exporta fișierul de certificat. Va fi în format PFX.

    Confirmați setările și faceți clic pe Finalizare.

    Fișierul PFX rezultat este ceea ce va fi instalat pe mașinile dvs. client pentru a le spune că certificatul dvs. semnat de sine este dintr-o sursă de încredere.

    Implementarea în mașinile client

    Odată ce ați creat certificatul pe partea de server și ați lucrat totul, este posibil să observați că atunci când o mașină client se conectează la respectiva adresă URL, este afișat un avertisment privind certificatul. Acest lucru se întâmplă deoarece autoritatea de certificare (serverul dvs.) nu este o sursă de încredere pentru certificatele SSL pe client.

    Puteți să faceți clic pe avertismente și să accesați site-ul, cu toate acestea, puteți primi notificări repetate sub forma unei bare de adrese URL sau a avertismentelor repetate. Pentru a evita această neplăcere, pur și simplu trebuie să instalați certificatul de securitate personalizat SSL pe mașina client.

    În funcție de browserul pe care îl utilizați, acest proces poate varia. IE și Chrome au citit atât din magazinul de certificate Windows, însă Firefox are o metodă personalizată de gestionare a certificatelor de securitate.

    Notă importantă: Tu ar trebui nu instalați un certificat de securitate dintr-o sursă necunoscută. În practică, ar trebui să instalați un certificat local numai dacă l-ați generat. Nici un site web legitim nu ar necesita efectuarea acestor pași.

    Internet Explorer și Google Chrome - Instalarea certificatului local

    Notă: Chiar dacă Firefox nu utilizează magazinul de certificate Windows nativ, acesta este încă un pas recomandat.

    Copiați certificatul care a fost exportat de pe server (fișierul PFX) la mașina client sau asigurați-vă că este disponibil într-o cale de rețea.

    Deschideți gestionarea magazinului local de certificate pe mașina client folosind exact aceiași pași ca mai sus. În cele din urmă veți ajunge pe un ecran ca cel de mai jos.

    În partea stângă, extindeți Certificatele> Autorități autorizate de certificare a rădăcinilor. Faceți clic dreapta pe dosarul Certificate și selectați Toate sarcinile> Import.

    Selectați certificatul copiat local pe aparat.

    Introduceți parola de securitate atribuită când certificatul a fost exportat de pe server.

    Magazinul "Autorități de certificare a rădăcinilor de încredere" trebuie să fie prealabil ca destinație. Faceți clic pe Următorul.

    Examinați setările și faceți clic pe Finalizare.

    Ar trebui să vedeți un mesaj de succes.

    Reîmprospătați vizualizarea dosarului Autorități de certificare a certificatelor de rădăcină> Certificate și ar trebui să vedeți certificatul de autentificare al serverului menționat în magazin.

    Unul este făcut, ar trebui să puteți naviga către un site HTTPS care utilizează aceste certificate și nu primește avertismente sau solicitări.

    Firefox - Permiterea excepțiilor

    Firefox se ocupă de acest proces puțin diferit, deoarece nu citește informații despre certificatele din magazinul Windows. În loc să instalați certificate (per-se), vă permite să definiți excepții pentru certificate SSL pe anumite site-uri.

    Când vizitați un site care are o eroare de certificat, veți primi un avertisment ca cel de mai jos. Zona cu albastru va numi adresa URL pe care încercați să o accesați. Pentru a crea o excepție pentru a ocoli acest avertisment pe respectiva adresă URL, faceți clic pe butonul Adăugați excepție.

    În caseta de dialog Adăugare securitate excepție, faceți clic pe Confirmare excepție de securitate pentru a configura această excepție local.

    Rețineți că dacă un anumit site redirecționează către subdomenii din interiorul acestuia, puteți primi mai multe solicitări de avertizare privind securitatea (cu adresele URL ușor diferite de fiecare dată). Adăugați excepții pentru acele adrese URL utilizând aceiași pași ca mai sus.

    Concluzie

    Merită să repetați nota de mai sus pe care ar trebui să o faceți nu instalați un certificat de securitate dintr-o sursă necunoscută. În practică, ar trebui să instalați un certificat local numai dacă l-ați generat. Nici un site web legitim nu ar necesita efectuarea acestor pași.

    Link-uri

    Descărcați IIS 6.0 Resource Toolkit (include utilitarul SelfSSL) de la Microsoft