Як створити сертифікат безпеки підпису (SSL) і розгортати його до клієнтських машин

Розробники та ІТ-адміністратори, без сумніву, потребують розгортання веб-сайту через HTTPS, використовуючи сертифікат SSL. Хоча цей процес є досить простим для виробничого сайту, для цілей розробки та тестування ви можете знайти необхідний сертифікат SSL.

Як альтернативу придбанню та поновленню щорічного сертифіката, ви можете використовувати здатність вашого Windows Server генерувати сертифікат, що підписується самостійно, що є зручним, простим і має задовольняти ці типи потреб.

Створення самостійного підписаного сертифіката на IIS

Хоча існує кілька способів досягти завдання створення сертифіката, що підписується самостійно, ми будемо використовувати утиліту SelfSSL від Microsoft. На жаль, це не супроводжується IIS, але він вільно доступний як частина IIS 6.0 Resource Toolkit (посилання внизу цієї статті). Незважаючи на назву "IIS 6.0", у IIS 7 ця утиліта прекрасно працює.

Все, що потрібно, це витягти IIS6RT, щоб отримати утиліту selfssl.exe. Тут ви можете скопіювати його в каталог Windows або мережевий шлях / USB-накопичувач для майбутнього використання на іншому комп'ютері (так що вам не доведеться завантажувати та видобувати повний IIS6RT).

Після встановлення утиліти SelfSSL виконайте наступну команду (як адміністратор), замінюючи значення відповідною:

selfssl / N: CN = / V:

Наведений нижче приклад надає сертифікат підстановки, що підписується самостійно, на "mydomain.com" і встановлює його дійсний протягом 9999 днів. Окрім того, відповідаючи на запит, цей сертифікат автоматично налаштований на прив'язку до порту 443 на веб-сайті за промовчанням IIS.

Хоча в цей момент сертифікат готовий до використання, він зберігається тільки в особистому сховищі сертифікатів на сервері. Найкраще, щоб цей сертифікат також був встановлений у довіреному корені.

Перейдіть у меню Пуск> Виконати (або клавішу Windows + R) і введіть "mmc". Ви можете отримати запрошення UAC, прийняти його і відкриється порожня консоль керування.

У консолі перейдіть до File> Add / Remove Snap-in.

Додати сертифікати з лівого боку.

Виберіть Обліковий запис комп'ютера.

Виберіть Локальний комп'ютер.

Натисніть кнопку OK, щоб переглянути локальний магазин сертифікатів.

Перейдіть до пункту Персоналізація> Сертифікати та знайдіть сертифікат, який ви налаштували, за допомогою утиліти SelfSSL. Клацніть правою кнопкою миші на сертифікаті та виберіть Копіювати.

Перейдіть до довірених кореневих центрів сертифікації> Сертифікати. Клацніть правою кнопкою миші на папці сертифікатів і виберіть Вставити.

У списку має з'явитися запис про сертифікат SSL.

На цьому етапі ваш сервер не повинен мати проблем з роботою з сертифікатом, що підписується самостійно.

Експорт сертифіката

Якщо ви збираєтеся отримувати доступ до сайту, який використовує сертифікований SSL-сертифікат на будь-якій машині клієнта (тобто будь-якому комп'ютері, який не є сервером), щоб уникнути можливого нападу помилок сертифікатів і попереджень, повинен бути встановлений власний сертифікат. на кожному з клієнтських машин (про які ми детально розповімо нижче). Для цього спочатку необхідно експортувати відповідний сертифікат, щоб його можна було встановити на клієнтах.

Всередині консолі з завантаженим Керуванням сертифікатами перейдіть до довірених кореневих центрів сертифікації> Сертифікати. Знайдіть сертифікат, клацніть правою кнопкою миші та виберіть Усі завдання> Експорт.

Коли буде запропоновано експортувати закритий ключ, виберіть Так. Натисніть кнопку Далі.

Залиште параметри за замовчуванням для формату файлу та натисніть кнопку Далі.

Введіть пароль. Це буде використано для захисту сертифіката, і користувачі не зможуть імпортувати його локально без введення цього пароля.

Введіть розташування для експорту файлу сертифіката. Він буде у форматі PFX.

Підтвердьте налаштування та натисніть "Готово".

Отриманий файл PFX є тим, що буде встановлено на ваші клієнтські машини, щоб повідомити їм, що ваш підписаний сертифікат з надійного джерела.

Розгортання до клієнтських машин

Як тільки ви створили сертифікат на стороні сервера і все працює, ви можете помітити, що коли клієнтська машина підключається до відповідної URL-адреси, відображається попередження про сертифікат. Це відбувається тому, що центр сертифікації (ваш сервер) не є надійним джерелом для сертифікатів SSL на клієнті.

Ви можете натиснути на попередження та отримати доступ до сайту, проте ви можете отримати повторні повідомлення у вигляді виділеної панелі URL-адрес або повторення попереджень про сертифікат. Щоб уникнути цього роздратування, потрібно просто встановити на клієнтську машину користувацький сертифікат безпеки SSL.

Залежно від використовуваного веб-переглядача цей процес може змінюватися. IE і Chrome читають з магазину сертифікатів Windows, однак у Firefox є спеціальний метод обробки сертифікатів безпеки.

Важлива примітка: Ти повинен ніколи встановити сертифікат безпеки з невідомого джерела. На практиці сертифікат слід встановлювати лише локально, якщо ви його створили. Жоден законний веб-сайт не вимагає виконання цих кроків.

Internet Explorer і Google Chrome - локальне встановлення сертифіката

Примітка: Незважаючи на те, що Firefox не використовує власний магазин сертифікатів Windows, це все одно рекомендується.

Скопіюйте сертифікат, який було експортовано з сервера (файл PFX) на клієнтську машину, або переконайтеся, що він доступний в мережі.

Відкрийте локальне керування сховищем сертифікатів на клієнтській машині, використовуючи ті самі дії, що й вище. Зрештою, ви опинитеся на екрані, як показано нижче.

У лівій частині розгорніть розділ Сертифікати> Довірені кореневі органи сертифікації. Клацніть правою кнопкою миші на папці сертифікатів і виберіть Усі завдання> Імпорт.

Виберіть сертифікат, який було скопійовано на вашому комп'ютері локально.

Введіть пароль безпеки, призначений для експорту сертифіката з сервера.

Магазин "Довірені кореневі органи сертифікації" повинен бути попередньо заповнений як пункт призначення. Натисніть кнопку Далі.

Перегляньте налаштування та натисніть кнопку Готово.

Ви повинні побачити повідомлення про успіх.

Оновіть перегляд надійних кореневих центрів сертифікації> папку сертифікатів, і ви повинні побачити власний підписаний сертифікат сервера, зазначений у магазині.

Це можна зробити, щоб перейти до сайту HTTPS, який використовує ці сертифікати, і не отримувати жодних попереджень чи підказок.

Firefox - Дозвіл виключень

Firefox обробляє цей процес трохи інакше, оскільки він не читає інформацію про сертифікат у магазині Windows. Замість того, щоб встановлювати сертифікати (per-se), це дозволяє визначити винятки для SSL-сертифікатів на певних сайтах.

Коли ви відвідуєте сайт з помилкою сертифіката, ви отримаєте попередження, як показано нижче. Область у синьому кольорі називатиме відповідну URL-адресу, до якої ви намагаєтеся отримати доступ. Щоб створити виняток, щоб обійти це попередження на відповідній URL-адресі, натисніть кнопку Додати виняток.

У діалоговому вікні Додати виключення безпеки натисніть кнопку Підтвердити виняток безпеки, щоб локально налаштувати це виключення.

Зауважте, що якщо певний сайт перенаправляє до субдоменів з самого себе, можна отримати декілька підказок про попередження безпеки (причому URL-адреса кожен раз дещо відрізняється). Додайте винятки для цих URL-адрес, використовуючи ті самі дії, що й вище.

Висновок

Варто повторити вищезгадане повідомлення ніколи встановити сертифікат безпеки з невідомого джерела. На практиці сертифікат слід встановлювати лише локально, якщо ви його створили. Жоден законний веб-сайт не вимагає виконання цих кроків.

Посилання

Завантажити IIS 6.0 Resource Toolkit (включає утиліту SelfSSL) від Microsoft