Domovská » jak » IT Jak vytvořit certifikát SSL (Self Signed Security) a nasadit jej do klientských počítačů

    IT Jak vytvořit certifikát SSL (Self Signed Security) a nasadit jej do klientských počítačů

    Vývojáři a správci IT bezpochyby potřebují nasazení některých webových stránek prostřednictvím protokolu HTTPS pomocí certifikátu SSL. Zatímco tento proces je pro výrobní místo poměrně přímočarý, pro účely vývoje a testování může být zde také potřeba použít certifikát SSL.

    Jako alternativu k nákupu a obnovení každoročního certifikátu můžete využívat schopnost systému Windows Server generovat certifikát s vlastním podpisem, který je pohodlný, snadný a měl by dokonale vyhovovat těmto potřebám.

    Vytvoření certifikátu s vlastním podpisem ve službě IIS

    Zatímco existuje několik způsobů, jak splnit úkol vytvoření certifikátu s vlastním podpisem, použijeme nástroj SelfSSL společnosti Microsoft. Bohužel to není dodáváno s IIS, ale je volně k dispozici jako součást IIS 6.0 Resource Toolkit (odkaz uvedený v dolní části tohoto článku). Přes název "IIS 6.0" funguje tento nástroj ve službě IIS 7 v pohodě.

    Jediné, co je nutné, je extrahovat IIS6RT, abyste získali nástroj selfssl.exe. Odtud jej můžete zkopírovat do adresáře systému Windows nebo síťové cesty / jednotky USB pro budoucí použití na jiném počítači (takže nemusíte stahovat a extrahovat úplný IIS6RT).

    Jakmile máte nástroj SelfSSL na svém místě, spusťte následující příkaz (jako správce), který nahrazuje hodnoty podle potřeby:

    selfssl / N: CN = / V:

    Níže uvedený příklad vytváří certifikát zástupných zástupců proti "mydomain.com" a nastaví jej platnost 9,999 dnů. Navíc odpovězím Ano na výzvu je tento certifikát automaticky nakonfigurován tak, aby se připojil k portu 443 uvnitř výchozího webu IIS.

    Zatímco v tomto okamžiku je certifikát připraven k použití, je uložen pouze v úložišti osobních certifikátů na serveru. Je také nejlepší, aby byl tento certifikát nastaven také v důvěryhodném kořenovém adresáři.

    Přejděte na Start> Run (nebo Windows Key + R) a zadejte "mmc". Můžete přijmout výzvu UAC, přijmout ji a otevřít prázdnou konzolu pro správu.

    V konzole přejděte na příkaz Soubor> Přidat nebo odebrat modul snap-in.

    Přidat certifikáty z levé strany.

    Zvolte účet počítače.

    Vyberte Místní počítač.

    Klepnutím na tlačítko OK zobrazíte úložiště místních certifikátů.

    Přejděte na položku Osobní> Certifikáty a vyhledejte certifikát, který jste nastavili pomocí nástroje SelfSSL. Klepněte pravým tlačítkem myši na certifikát a vyberte příkaz Kopírovat.

    Přejděte na certifikační autority Trusted Root Certification> Certificates. Klepněte pravým tlačítkem myši na složku Certifikáty a vyberte možnost Vložit.

    Položka pro certifikát SSL by se měla v seznamu zobrazit.

    V tomto okamžiku by váš server neměl mít žádné problémy s vlastní certifikací.

    Export certifikátu

    Pokud budete přistupovat k webu, který používá certifikát SSL s vlastním podpisem na libovolném klientském počítači (tj. Na jakémkoli počítači, který není serverem), aby se zabránilo možnému náporu chyb a varování certifikátu, na každém klientském počítači (o kterém budeme podrobněji diskutovat níže). K tomu je třeba nejprve exportovat příslušný certifikát, aby mohl být nainstalován na klienty.

    Uvnitř konzoly s načtením Správy certifikátů přejděte na položku Certifikáty důvěryhodné kořenové certifikace> Certifikáty. Najděte certifikát, klepněte pravým tlačítkem myši a vyberte možnost Všechny úkoly> Exportovat.

    Po zobrazení výzvy k exportu soukromého klíče vyberte možnost Ano. Klikněte na tlačítko Další.

    Ponechte výchozí volby pro formát souboru a klepněte na tlačítko Další.

    Zadejte heslo. To bude použito k ochraně certifikátu a uživatelé jej nebudou moci místně importovat bez zadání tohoto hesla.

    Zadejte umístění pro export souboru certifikátu. Bude to ve formátu PFX.

    Potvrďte nastavení a klikněte na tlačítko Dokončit.

    Výsledný soubor PFX je to, co bude nainstalováno do vašich klientských počítačů, abyste jim oznámili, že certifikát, který jste vlastně podepsali, pochází z důvěryhodného zdroje.

    Nasazení do klientských počítačů

    Jakmile vytvoříte certifikát na straně serveru a máte vše v pořádku, můžete si všimnout, že když se klientské zařízení připojí k příslušné adrese URL, zobrazí se upozornění na certifikát. K tomu dochází, protože certifikační autorita (váš server) není pro klienta důvěryhodným zdrojem certifikátů SSL.

    Můžete kliknout na varování a přistupovat k webu, avšak můžete získat opakované upozornění ve formě zvýrazněného panelu URL nebo opakování upozornění na certifikáty. Abyste se vyhnuli tomuto obtěžování, musíte jednoduše nainstalovat vlastní certifikát zabezpečení SSL na klientském počítači.

    V závislosti na použitém prohlížeči se může tento proces lišit. IE a Chrome oba přečíst z úložiště certifikátů Windows, avšak Firefox má vlastní metodu zpracování bezpečnostních certifikátů.

    Důležitá poznámka: Měl by jsi nikdy nainstalujte bezpečnostní certifikát z neznámého zdroje. V praxi byste měli instalovat certifikát pouze místně, pokud jste jej vygenerovali. Žádná oprávněná webová stránka by nevyžadovala provedení těchto kroků.

    Internet Explorer a Google Chrome - Instalace certifikátu místně

    Poznámka: I když Firefox nepoužívá nativní úložiště certifikátů Windows, je to stále doporučený krok.

    Zkopírujte certifikát, který byl exportován ze serveru (soubor PFX) do klientského počítače, nebo se ujistěte, že je k dispozici v síti.

    Otevřete místní správu úložišť certifikátů na klientském počítači pomocí stejných výše popsaných kroků. Nakonec skončíte na obrazovce, jako je níže.

    V levé části rozbalte položku Certifikáty> Důvěryhodné kořenové certifikační autority. Klikněte pravým tlačítkem myši na složku Certifikáty a vyberte možnost Všechny úlohy> Importovat.

    Vyberte certifikát, který byl místně zkopírován do vašeho počítače.

    Zadejte bezpečnostní heslo přidělené při exportu certifikátu ze serveru.

    Úložiště "Důvěryhodné kořenové certifikační úřady" by mělo být předem vyplněno jako cíl. Klikněte na tlačítko Další.

    Zkontrolujte nastavení a klepněte na tlačítko Dokončit.

    Měli byste vidět zprávu o úspěchu.

    Aktualizujte svůj pohled na složku certifikátů Důvěryhodné kořenové certifikační autority> Certifikáty a měli byste vidět certifikát autora podepsaný v obchodě.

    Jeden je hotový, měli byste být schopni procházet web HTTPS, který používá tyto certifikáty a neobdrží žádné varování nebo výzvy.

    Firefox - povolení výjimek

    Firefox zpracovává tento proces trochu jinak, protože nečte informace o certifikáte z obchodu Windows. Místo instalace certifikátů (per-se) vám umožňuje definovat výjimky pro certifikáty SSL na konkrétních webech.

    Když navštívíte web, který má chybu certifikátu, dostanete upozornění, jako je níže. Modrá oblast bude pojmenovat příslušnou adresu URL, ke které se pokoušíte přistupovat. Chcete-li vytvořit výjimku k vynechání tohoto upozornění na příslušné adrese URL, klepněte na tlačítko Přidat výjimku.

    V dialogovém okně Přidat bezpečnostní výjimku klepnutím na možnost Potvrzení výjimky zabezpečení konfigurovat tuto výjimku místně.

    Všimněte si, že pokud určitý web přesměruje na subdomény zevnitř, můžete dostat několik upozornění na bezpečnostní upozornění (přičemž adresa URL se pokaždé trochu liší). Přidat výjimky pro tyto adresy URL pomocí stejných kroků jako výše.

    Závěr

    Stojí za to opakovat výše uvedené oznámení, které byste měli nikdy nainstalujte bezpečnostní certifikát z neznámého zdroje. V praxi byste měli instalovat certifikát pouze místně, pokud jste jej vygenerovali. Žádná oprávněná webová stránka by nevyžadovala provedení těchto kroků.

    Odkazy

    Stáhněte nástroj IIS 6.0 Resource Toolkit (obsahuje nástroj SelfSSL) od společnosti Microsoft