Почетна » како да » ИТ Како креирати цертификат за самозаписивање (ССЛ) и имплементирати га на клијентске машине

    ИТ Како креирати цертификат за самозаписивање (ССЛ) и имплементирати га на клијентске машине

    Програмери и ИТ администратори, без сумње, имају потребу за имплементацијом неког веб сајта преко ХТТПС-а користећи ССЛ сертификат. Иако је овај процес прилично једноставан за производну локацију, у сврху развоја и тестирања можете пронаћи потребу за кориштењем ССЛ цертификата и овдје.

    Као алтернативу куповини и обнављању годишњег сертификата, можете искористити способност Виндовс Сервера да генерише самозаписани сертификат који је згодан, једноставан и савршено испуњава ове врсте потреба..

    Креирање само потписаног сертификата на ИИС-у

    Иако постоји неколико начина да се изврши задатак креирања сопственог потписаног сертификата, користићемо услужни програм СелфССЛ компаније Мицрософт. Нажалост, ово није испоручено са ИИС-ом, али је слободно доступно као део ИИС 6.0 Ресоурце Тоолкит (линк који се налази на дну овог чланка). Упркос називу “ИИС 6.0” овај алат ради сасвим добро у ИИС 7.

    Све што је потребно је да издвојите ИИС6РТ да бисте добили услужни програм селфссл.еке. Одавде га можете копирати у ваш Виндовс директоријум или мрежну стазу / УСБ диск за будућу употребу на другој машини (тако да не морате да преузимате и издвајате комплетан ИИС6РТ).

    Када се постави услужни програм СелфССЛ, покрените следећу команду (као администратор) која замењује вредности у одговарајућим случајевима:

    селфссл / Н: ЦН = / В:

    Доњи пример даје цертификат са самопотписаним вилдцард сертификатом против "мидомаин.цом" и поставља га да важи 9,999 дана. Поред тога, одговарањем на да, овај сертификат се аутоматски конфигурише да се веже за порт 443 унутар подразумеване Веб локације ИИС-а.

    Док је у овом тренутку сертификат спреман за употребу, он се чува само у складишту личних сертификата на серверу. То је најбоља пракса да и овај цертификат буде постављен у поуздани корен.

    Идите на Старт> Рун (или Виндовс Кеи + Р) и унесите "ммц". Можете примити УАЦ промпт, прихватити га и отворити ће се празна конзола за управљање.

    У конзоли идите на Филе> Адд / Ремове Снап-ин.

    Додајте сертификате са леве стране.

    Изаберите Рачун.

    Изаберите Локални рачунар.

    Кликните на дугме У реду да бисте приказали локалну продавницу сертификата.

    Идите до Личне> Сертификати и пронађите цертификат који сте подесили помоћу услужног програма СелфССЛ. Кликните десним тастером миша на цертификат и изаберите Копирај.

    Дођите до Трустед Роот Цертифицатион Аутхоритиес> Цертифицатес. Кликните десним тастером миша на фолдер Цертификати и изаберите Пасте.

    Унос за ССЛ сертификат треба да се појави на листи.

    У овом тренутку, ваш сервер не би требало да има проблема са радом са само потписаним сертификатом.

    Извоз цертификата

    Ако желите да приступите сајту који користи самосписани ССЛ сертификат на било којој машини клијента (тј. На било ком рачунару који није сервер), како би се избегло могуће грешке у сертификатима и упозорења, потребно је инсталирати сопствени цертификат. на свакој клијентској машини (о којој ћемо детаљно разговарати у наставку). Да бисмо то урадили, прво морамо да извеземо одговарајући сертификат како бисмо га могли инсталирати на клијенте.

    Унутар конзоле учитане су Управљање цертификатима, идите до Поуздани коријенски цертификацијски ауторитети> Цертификати. Пронађите цертификат, кликните десним тастером миша и изаберите Сви задаци> Извези.

    Када се од вас затражи да извезете приватни кључ, изаберите Да. Кликните на Нект.

    Оставите подразумеване поставке за формат датотеке и кликните на дугме Даље.

    Унесите лозинку. Ово ће се користити за заштиту цертификата и корисници неће моћи да га увозе локално без уношења ове лозинке.

    Унесите локацију за извоз датотеке цертификата. Биће у ПФКС формату.

    Потврдите поставке и кликните Заврши.

    Резултујућа ПФКС датотека је оно што ће бити инсталирано на вашим клијентским машинама да би им рекли да је ваш потписани цертификат из поузданог извора.

    Примена на клијентске машине

    Када креирате сертификат на страни сервера и имате све што ради, можете приметити да када се клијентска машина повеже са одговарајућом УРЛ адресом, приказује се упозорење о сертификату. То се дешава зато што ауторитет сертификата (ваш сервер) није поуздан извор за ССЛ сертификате на клијенту.

    Можете кликнути на упозорења и приступити сајту, али можете добити поновљене обавијести у облику истакнуте УРЛ траке или понављања упозорења цертификата. Да бисте избегли овај проблем, једноставно морате да инсталирате прилагођени ССЛ безбедносни сертификат на клијентској машини.

    У зависности од прегледача који користите, овај процес може да варира. ИЕ и Цхроме читају из продавнице Виндовс сертификата, али Фирефок има прилагођени метод за управљање безбедносним сертификатима.

    Важна напомена: Требао би никада инсталирајте сигурносни цертификат из непознатог извора. У пракси, требали бисте инсталирати цертификат само локално ако сте га генерирали. Ниједна легитимна веб локација не би захтијевала од вас да извршите ове кораке.

    Интернет Екплорер и Гоогле Цхроме - локално инсталирање сертификата

    Напомена: Иако Фирефок не користи изворни Виндовс складиште цертификата, ово је још увијек препоручени корак.

    Копирајте цертификат који је извезен са сервера (ПФКС датотека) на клијентску машину или проверите да ли је доступан на мрежној стази.

    Отворите локално управљање складиштем цертификата на клијентској машини користећи исте кораке као горе. На крају ћете завршити на екрану као онај испод.

    Са леве стране, проширите цертификате> поуздани ауторитет за ауторизацију цертификата. Кликните десним тастером миша на фолдер Цертификати и изаберите Сви задаци> Увоз.

    Изаберите цертификат који је локално копиран на вашу машину.

    Унесите безбедносну лозинку која је додељена када је цертификат извезен са сервера.

    Продавница „Трустед Роот Цертифицатион Аутхоритиес“ („Трустед Роот Цертифицатион Аутхоритиес“) треба да буде унапред попуњена као одредиште. Кликните на Нект.

    Прегледајте поставке и кликните на Финисх.

    Требало би да видите поруку о успеху.

    Освежите приказ поверених ауторитета за ауторизацију> фасциклу Сертификати и требало би да видите потписани сертификат сервера наведен у продавници.

    Када се ово уради, требало би да можете да потражите ХТТПС локацију која користи ове сертификате и да не прима никаква упозорења или упутства.

    Фирефок - Омогућавање изузетака

    Фирефок управља овим процесом помало другачије јер не чита информације о цертификату из Виндовс продавнице. Уместо инсталирања сертификата (пер-се), омогућава вам да дефинишете изузетке за ССЛ цертификате на одређеним локацијама.

    Када посетите сајт који има грешку у сертификату, добићете упозорење као оно испод. Област у плавој боји ће навести одговарајући УРЛ који покушавате да приступите. Да бисте направили изузетак да бисте заобишли ово упозорење на одговарајућем УРЛ-у, кликните на дугме Адд Екцептион.

    У дијалогу Адд Сецурити Екцептион кликните Цонфирм Сецурити Екцептион да бисте конфигурисали овај изузетак локално.

    Имајте на уму да ако одређена локација преусмерава на поддомене из самог себе, можете добити вишеструке безбедносне упозорења (сваки пут УРЛ се мало разликује). Додајте изузетке за те УРЛ-ове користећи исте кораке као и горе.

    Закључак

    Вреди поновити горе наведено обавештење никада инсталирајте сигурносни цертификат из непознатог извора. У пракси, требали бисте инсталирати цертификат само локално ако сте га генерирали. Ниједна легитимна веб локација не би захтијевала од вас да извршите ове кораке.

    Линкови

    Преузмите ИИС 6.0 Ресоурце Тоолкит (укључује СелфССЛ услужни програм) од Мицрософта