Domača » kako » IT Kako ustvariti potrdilo o lastni podpisani varnosti (SSL) in ga uporabiti za odjemalske stroje

    IT Kako ustvariti potrdilo o lastni podpisani varnosti (SSL) in ga uporabiti za odjemalske stroje

    Razvijalci in skrbniki IT so nedvomno potrebovali uvajanje neke spletne strani prek HTTPS z uporabo SSL certifikata. Čeprav je ta postopek za proizvodno spletno stran precej preprost, lahko za namene razvoja in testiranja ugotovite, da je treba uporabiti tudi SSL certifikat.

    Kot nadomestek za nakup in obnavljanje letnega certifikata lahko izkoristite zmožnost strežnika Windows Server, da ustvari samopodpisan certifikat, ki je primeren, enostaven in mora popolnoma zadovoljiti te vrste potreb..

    Ustvarjanje samo podpisanega potrdila na IIS

    Čeprav obstaja več načinov za izpolnitev naloge ustvarjanja samopodpisanega potrdila, bomo uporabili pripomoček SelfSSL podjetja Microsoft. Na žalost pa to ne velja za IIS, vendar je prosto dostopno kot del orodja IIS 6.0 Resource Toolkit (povezava na dnu tega članka). Kljub imenu »IIS 6.0« ta pripomoček deluje v IIS 7.

    Vse, kar je potrebno je, da izvlečete IIS6RT, da dobite pripomoček selfssl.exe. Od tu jo lahko kopirate v imenik Windows ali omrežno pot / pogon USB za nadaljnjo uporabo na drugem računalniku (tako da vam ni treba prenesti in ekstrahirati celotnega IIS6RT)..

    Ko ste namestili pripomoček SelfSSL, zaženite naslednji ukaz (kot skrbnik), ki bo nadomestil vrednosti, kot je primerno:

    selfssl / N: CN = / V:

    Spodnji primer ustvari samostojno potrdilo o nadomestnem znaku proti "mydomain.com" in določa, da je veljavno 9,999 dni. Poleg tega se s potrditvijo da na poziv, to potrdilo samodejno konfigurira tako, da se poveže z vrati 443 znotraj privzetega spletnega mesta IIS.

    Čeprav je na tej točki certifikat pripravljen za uporabo, se shrani samo v osebnem prostoru za potrdila na strežniku. To je tudi najboljša praksa, da je tudi ta certifikat nastavljen v zaupanja vrednem korenu.

    Pojdite na Start> Run (ali Windows Key + R) in vnesite »mmc«. Morda boste prejeli UAC poziv, ga sprejeli in odprla se bo prazna konzola za upravljanje.

    V konzoli pojdite na File> Add / Remove Snap-in.

    Dodajte potrdila z leve strani.

    Izberite Računalniški račun.

    Izberite Lokalni računalnik.

    Kliknite V redu, da si ogledate prostor Lokalno potrdilo.

    Pomaknite se na Osebno> Certifikati in poiščite potrdilo, ki ste ga nastavili, s pripomočkom SelfSSL. Z desno tipko miške kliknite potrdilo in izberite Kopiraj.

    Pojdite v Trusted Root Certification Authorities (Certifikati). Z desno miškino tipko kliknite mapo Certifikati in izberite Prilepi.

    Vnos za potrdilo SSL se mora pojaviti na seznamu.

    Na tej točki vaš strežnik ne bi smel imeti težav pri delu z lastnoročnim potrdilom.

    Izvoz potrdila

    Če boste dostopali do spletnega mesta, ki uporablja samopodpisani SSL certifikat na kateri koli odjemalski napravi (tj. Vsakem računalniku, ki ni strežnik), da bi se izognili morebitni napaki potrdil in opozoril, je treba namestiti lastnoročni certifikat. na vsakem od odjemalskih strojev (o čemer bomo podrobno razpravljali spodaj). Da bi to naredili, moramo najprej izvoziti ustrezen certifikat, da ga lahko namestimo na stranke.

    V notranjosti ukazne mize z naloženim upravljanjem certifikatov se pomaknite do Trusted Root Certification Authorities (Certifikati). Poiščite potrdilo, z desno tipko miške kliknite in izberite Vse naloge> Izvozi.

    Ko vas pozove, da izvozite zasebni ključ, izberite Da. Kliknite Naprej.

    Pustite privzete izbire za obliko datoteke in kliknite Naprej.

    Vtipkaj geslo. To bo uporabljeno za zaščito certifikata in uporabniki ga ne bodo mogli uvoziti lokalno brez vnosa tega gesla.

    Vnesite lokacijo za izvoz datoteke certifikata. To bo v formatu PFX.

    Potrdite nastavitve in kliknite Dokončaj.

    Nastala PFX datoteka je tisto, kar bo nameščeno na vaše odjemalske stroje, da jim pove, da je vaše podpisano potrdilo iz zaupanja vrednega vira.

    Uvajanje v odjemalske stroje

    Ko ste izdelali potrdilo na strani strežnika in vse deluje, boste morda opazili, da ko se odjemalski stroj poveže z ustreznim URL-jem, se prikaže opozorilo o potrdilu. To se zgodi, ker overitelj (vaš strežnik) ni zaupanja vreden vir za potrdila SSL na odjemalcu.

    Lahko kliknete opozorila in dostopate do spletnega mesta, vendar pa lahko dobite večkratna obvestila v obliki označene vrstice URL ali ponavljajočih se opozoril o certifikatu. Da bi se izognili tej motnji, morate preprosto namestiti varnostno potrdilo po meri SSL na odjemalskem računalniku.

    Ta postopek se lahko razlikuje glede na brskalnik, ki ga uporabljate. IE in Chrome bosta brala iz shrambe za potrdila Windows, vendar ima Firefox po meri prilagojen način ravnanja z varnostnimi certifikati.

    Pomembna opomba: Moral bi nikoli namestite varnostni certifikat iz neznanega vira. V praksi bi morali potrdilo namestiti lokalno samo, če ste ga ustvarili. Nobena legitimna spletna stran ne bi zahtevala izvajanja teh korakov.

    Internet Explorer in Google Chrome - lokalno nameščanje potrdila

    Opomba: Čeprav Firefox ne uporablja domene Windows certifikata, je to še vedno priporočen korak.

    Kopirajte potrdilo, ki je bilo izvoženo iz strežnika (datoteka PFX) na odjemalsko napravo, ali pa zagotovite, da je na voljo v omrežni poti.

    Odprite lokalno upravljanje shrambe za potrdila na odjemalskem računalniku z enakimi koraki kot zgoraj. Sčasoma boste končali na zaslonu, kot je spodaj.

    Na levi strani razširite Certifikati> Trusted Root Certification Authorities. Z desno miškino tipko kliknite mapo Certifikati in izberite Vse naloge> Uvozi.

    Izberite potrdilo, ki je bilo lokalno kopirano na vaš računalnik.

    Vnesite varnostno geslo, dodeljeno, ko je bil certifikat izvožen iz strežnika.

    Shranjevanje »Trusted Root Certification Authorities« (Trusted Root Certification Authorities) je treba vnesti kot cilj. Kliknite Naprej.

    Preglejte nastavitve in kliknite Dokončaj.

    Videli boste sporočilo o uspehu.

    Osvežite si pogled zaupanja vrednih korenskih organov za potrjevanje> mapo Certifikati in videli boste, da je strežnik sam podpisan certifikat, naveden v trgovini.

    Če to storite, morate brskati do spletnega mesta HTTPS, ki uporablja ta potrdila in ne prejema nobenih opozoril ali pozivov.

    Firefox - dovoljuje izjeme

    Firefox obravnava ta postopek nekoliko drugače, saj ne prebere informacij o potrdilih iz trgovine Windows. Namesto nameščanja potrdil (per-se) vam omogoča, da na določenih mestih določite izjeme za potrdila SSL.

    Ko obiščete spletno mesto, ki ima napako certifikata, boste dobili opozorilo, kot je spodaj. Področje v modri barvi bo poimenovalo ustrezen URL, do katerega želite dostopati. Če želite ustvariti izjemo za izogibanje temu opozorilu na ustreznem URL-ju, kliknite gumb Dodaj izjemo.

    V pogovornem oknu Dodaj izjemo varnosti kliknite Potrditev izjeme varnosti, da lokalno konfigurirate to izjemo.

    Upoštevajte, da če se določena spletna stran preusmeri na poddomene iz samega sebe, lahko dobite več opozoril o opozorilu (vsakič je URL nekoliko drugačen). Dodajte izjeme za te URL-je, tako da uporabite enake korake kot zgoraj.

    Zaključek

    Zaželeno je ponoviti zgornje obvestilo, ki ga morate nikoli namestite varnostni certifikat iz neznanega vira. V praksi bi morali potrdilo namestiti lokalno samo, če ste ga ustvarili. Nobena legitimna spletna stran ne bi zahtevala izvajanja teh korakov.

    Povezave

    Prenesite orodje IIS 6.0 Resource Toolkit (vključuje pripomoček SelfSSL) podjetja Microsoft

    Kako namestiti Active Directory na Windows Server 2008 R2
    Kako namestiti in upravljati Active Directory na strežniku 2008 R2 Core. T
    IT Geek Monitor Mrežne naprave s SNMP (Simple Network Management Protocol)
    Naslednji članek
    Kako ustvariti navidezni stroj v Hyper-V na Windows Server 2008
    Prejšnji članek
    Kako pravilno namestiti aplikacije na strežnik oddaljenega namizja