IT: как создать сертификат самоподписанной безопасности (SSL) и развернуть его на клиентских машинах

Оглавление:

IT: как создать сертификат самоподписанной безопасности (SSL) и развернуть его на клиентских машинах
IT: как создать сертификат самоподписанной безопасности (SSL) и развернуть его на клиентских машинах

Видео: IT: как создать сертификат самоподписанной безопасности (SSL) и развернуть его на клиентских машинах

Видео: IT: как создать сертификат самоподписанной безопасности (SSL) и развернуть его на клиентских машинах
Видео: Как установить Windows 10 второй системой к Виндовс 7 - YouTube 2024, Апрель
Anonim
Разработчики и ИТ-администраторы, без сомнения, нуждаются в развертывании какого-либо веб-сайта через HTTPS с использованием SSL-сертификата. Хотя этот процесс довольно прост для производственного сайта, для целей разработки и тестирования вам также может понадобиться использовать SSL-сертификат.
Разработчики и ИТ-администраторы, без сомнения, нуждаются в развертывании какого-либо веб-сайта через HTTPS с использованием SSL-сертификата. Хотя этот процесс довольно прост для производственного сайта, для целей разработки и тестирования вам также может понадобиться использовать SSL-сертификат.

В качестве альтернативы приобретению и обновлению годового сертификата вы можете использовать возможности Windows Server для создания самоподписанного сертификата, который удобен, прост и должен удовлетворять этим требованиям.

Создание самоподписанного сертификата в IIS

Хотя есть несколько способов выполнить задачу создания самоподписанного сертификата, мы будем использовать утилиту SelfSSL от Microsoft. К сожалению, это не поставляется с IIS, но оно свободно доступно в составе инструментария IIS 6.0 Resource Toolkit (ссылка приведена в нижней части этой статьи). Несмотря на название «IIS 6.0», эта утилита работает очень хорошо в IIS 7.

Все, что требуется, - это извлечь IIS6RT для получения утилиты selfssl.exe. Отсюда вы можете скопировать его в каталог Windows или сетевой путь / USB-диск для будущего использования на другом компьютере (так что вам не нужно загружать и извлекать полный IIS6RT).

После того, как у вас установлена утилита SelfSSL, запустите следующую команду (в качестве администратора), заменив значения в <> следующим образом:

selfssl /N:CN= /V:

В приведенном ниже примере создается самозагружаемый сертификат подстановки под «mydomain.com» и устанавливается, что он действителен в течение 9999 дней. Кроме того, отвечая «да» на приглашение, этот сертификат автоматически настраивается для привязки к порту 443 внутри веб-сайта по умолчанию IIS.

Пока на этом этапе сертификат готов к использованию, он сохраняется только в хранилище личных сертификатов на сервере. Рекомендуется также установить этот сертификат в доверенном корне.
Пока на этом этапе сертификат готов к использованию, он сохраняется только в хранилище личных сертификатов на сервере. Рекомендуется также установить этот сертификат в доверенном корне.

Перейдите в меню «Пуск»> «Выполнить» (или «Windows Key + R») и введите «mmc». Вы можете получить приглашение UAC, принять его и открыть пустую консоль управления.

В консоли перейдите в меню «Файл»> «Добавить / удалить оснастку».
В консоли перейдите в меню «Файл»> «Добавить / удалить оснастку».
Добавьте сертификаты с левой стороны.
Добавьте сертификаты с левой стороны.
Выберите учетную запись компьютера.
Выберите учетную запись компьютера.
Выберите Локальный компьютер.
Выберите Локальный компьютер.
Нажмите «ОК», чтобы просмотреть локальное хранилище сертификатов.
Нажмите «ОК», чтобы просмотреть локальное хранилище сертификатов.
Перейдите в Личный> Сертификаты и найдите сертификат, который вы используете, используя утилиту SelfSSL. Щелкните правой кнопкой мыши сертификат и выберите «Копировать».
Перейдите в Личный> Сертификаты и найдите сертификат, который вы используете, используя утилиту SelfSSL. Щелкните правой кнопкой мыши сертификат и выберите «Копировать».
Перейдите в доверенные корневые центры сертификации> Сертификаты. Щелкните правой кнопкой мыши папку «Сертификаты» и выберите «Вставить».
Перейдите в доверенные корневые центры сертификации> Сертификаты. Щелкните правой кнопкой мыши папку «Сертификаты» и выберите «Вставить».
Запись в SSL-сертификат должна появиться в списке.
Запись в SSL-сертификат должна появиться в списке.
На этом этапе у вашего сервера не должно быть проблем с работой с самоподписанным сертификатом.
На этом этапе у вашего сервера не должно быть проблем с работой с самоподписанным сертификатом.

Экспорт сертификата

Если вы собираетесь получать доступ к сайту, который использует самоподписанный SSL-сертификат на любом клиентском компьютере (то есть на любом компьютере, который не является сервером), чтобы избежать потенциального натиска ошибок и предупреждений о сертификате, должен быть установлен сам подписанный сертификат на каждой из клиентских машин (что мы подробно обсудим ниже). Для этого сначала нужно экспортировать соответствующий сертификат, чтобы он мог быть установлен на клиентах.

Внутри консоли с загруженным сертификатом выберите «Доверенные корневые центры сертификации»> «Сертификаты». Найдите сертификат, щелкните правой кнопкой мыши и выберите «Все задачи> Экспорт».

Когда будет предложено экспортировать закрытый ключ, выберите «Да». Нажмите кнопку
Когда будет предложено экспортировать закрытый ключ, выберите «Да». Нажмите кнопку
Image
Image

Оставьте выбор по умолчанию для формата файла и нажмите «Далее».

Введите пароль. Это будет использоваться для защиты сертификата, и пользователи не смогут импортировать его локально без ввода этого пароля.
Введите пароль. Это будет использоваться для защиты сертификата, и пользователи не смогут импортировать его локально без ввода этого пароля.
Введите местоположение для экспорта файла сертификата. Он будет в формате PFX.
Введите местоположение для экспорта файла сертификата. Он будет в формате PFX.
Подтвердите свои настройки и нажмите «Готово».
Подтвердите свои настройки и нажмите «Готово».
Полученный файл PFX - это то, что будет установлено на ваших клиентских компьютерах, чтобы сообщить им, что ваш собственный сертификат подписан из надежного источника.
Полученный файл PFX - это то, что будет установлено на ваших клиентских компьютерах, чтобы сообщить им, что ваш собственный сертификат подписан из надежного источника.

Развертывание на клиентские машины

После того, как вы создали сертификат на стороне сервера и все работает, вы можете заметить, что когда клиентский компьютер подключается к соответствующему URL-адресу, отображается предупреждение о сертификате. Это происходит потому, что центр сертификации (ваш сервер) не является надежным источником для сертификатов SSL на клиенте.

Вы можете щелкнуть предупреждения и получить доступ к сайту, однако вы можете получать повторяющиеся уведомления в виде выделенной строки URL-адреса или повторения предупреждений о сертификатах. Чтобы избежать этого раздражения, вам просто нужно установить собственный сертификат безопасности SSL на клиентской машине.
Вы можете щелкнуть предупреждения и получить доступ к сайту, однако вы можете получать повторяющиеся уведомления в виде выделенной строки URL-адреса или повторения предупреждений о сертификатах. Чтобы избежать этого раздражения, вам просто нужно установить собственный сертификат безопасности SSL на клиентской машине.

В зависимости от используемого браузера этот процесс может меняться. IE и Chrome оба считываются из хранилища сертификатов Windows, однако Firefox имеет собственный способ обработки сертификатов безопасности.

Важная заметка: Вам следует никогда установите сертификат безопасности из неизвестного источника. На практике вы должны устанавливать сертификат только локально, если вы его создали. Никакой законный веб-сайт не потребует от вас выполнения этих действий.

Internet Explorer и Google Chrome - установка сертификата локально

Примечание. Несмотря на то, что Firefox не использует собственное хранилище сертификатов Windows, это по-прежнему рекомендуется.

Скопируйте сертификат, который был экспортирован с сервера (файл PFX) на клиентский компьютер, или убедитесь, что он доступен по сетевому пути.

Откройте локальное хранилище сертификатов на клиентской машине, используя те же шаги, что и выше.В конечном итоге вы окажетесь на экране, подобном приведенному ниже.

На левой стороне разверните Сертификаты> Доверенные корневые центры сертификации. Щелкните правой кнопкой мыши папку «Сертификаты» и выберите «Все задачи> Импорт».
На левой стороне разверните Сертификаты> Доверенные корневые центры сертификации. Щелкните правой кнопкой мыши папку «Сертификаты» и выберите «Все задачи> Импорт».
Выберите сертификат, который был скопирован локально на ваш компьютер.
Выберите сертификат, который был скопирован локально на ваш компьютер.
Введите пароль безопасности, назначенный, когда сертификат был экспортирован с сервера.
Введите пароль безопасности, назначенный, когда сертификат был экспортирован с сервера.
Магазин «Доверенные корневые центры сертификации» должны быть предварительно заполнены в качестве пункта назначения. Нажмите кнопку
Магазин «Доверенные корневые центры сертификации» должны быть предварительно заполнены в качестве пункта назначения. Нажмите кнопку
Просмотрите настройки и нажмите «Готово».
Просмотрите настройки и нажмите «Готово».
Вы должны увидеть сообщение об успешном завершении.
Вы должны увидеть сообщение об успешном завершении.
Обновите представление в папке «Доверенные корневые сертификаты»> «Сертификаты» и вы увидите сертификат собственной подписки сервера, указанный в магазине.
Обновите представление в папке «Доверенные корневые сертификаты»> «Сертификаты» и вы увидите сертификат собственной подписки сервера, указанный в магазине.
Это делается, вы должны иметь возможность просматривать сайт HTTPS, который использует эти сертификаты, и не получает никаких предупреждений или запросов.
Это делается, вы должны иметь возможность просматривать сайт HTTPS, который использует эти сертификаты, и не получает никаких предупреждений или запросов.

Firefox - разрешение исключений

Firefox обрабатывает этот процесс несколько иначе, поскольку он не считывает информацию сертификата из хранилища Windows. Вместо того, чтобы устанавливать сертификаты (per-se), он позволяет вам определять исключения для сертификатов SSL на определенных сайтах.

Когда вы посещаете сайт с ошибкой сертификата, вы получите предупреждение, подобное приведенному ниже. В синей области будет указан соответствующий URL-адрес, к которому вы пытаетесь получить доступ. Чтобы создать исключение, чтобы обойти это предупреждение по соответствующему URL-адресу, нажмите кнопку «Добавить исключение».

В диалоговом окне «Добавить исключение безопасности» нажмите «Подтвердить исключение безопасности», чтобы локализовать это исключение.
В диалоговом окне «Добавить исключение безопасности» нажмите «Подтвердить исключение безопасности», чтобы локализовать это исключение.
Обратите внимание, что если конкретный сайт перенаправляет на поддомены изнутри, вы можете получить несколько предупреждений о безопасности (каждый раз URL-адрес несколько отличается). Добавьте исключения для этих URL-адресов, используя те же шаги, что и выше.
Обратите внимание, что если конкретный сайт перенаправляет на поддомены изнутри, вы можете получить несколько предупреждений о безопасности (каждый раз URL-адрес несколько отличается). Добавьте исключения для этих URL-адресов, используя те же шаги, что и выше.

Заключение

Стоит повторить вышеизложенное, что вы должны никогда установите сертификат безопасности из неизвестного источника. На практике вы должны устанавливать сертификат только локально, если вы его создали. Никакой законный веб-сайт не потребует от вас выполнения этих действий.

связи

Загрузите IIS 6.0 Resource Toolkit (включая утилиту SelfSSL) из Microsoft

Рекомендуемые:

Как свернуть и развернуть части вашего документа в Word

Как свернуть и развернуть части вашего документа в Word

В Word 2013 появилась новая функция, которая позволяет свернуть части вашего документа и расширить их, когда вы хотите снова просмотреть этот контент. Эта функция упрощает поиск и просмотр только того, что вы хотите.

Как пересмотреть и развернуть Minecraft с изменениями в игре

Как пересмотреть и развернуть Minecraft с изменениями в игре

Фундаментальное очарование Minecraft - это способность создавать что угодно и делать игру так, как вам хочется. Сегодня мы рассмотрим моды, которые помогут вам в этом, добавив дополнительные измерения, основные изменения в игре или обеспечив прямой пересмотр игры.

Предотвращение доступа пользователей и клиентских компьютеров к хранилищу Windows в Windows 8

Предотвращение доступа пользователей и клиентских компьютеров к хранилищу Windows в Windows 8

Узнайте об управлении клиентским доступом к Windows Store и о том, как контролировать его доступность на клиентских компьютерах на основе бизнес-политик с помощью редактора реестра.

Как развернуть многоязычные пакеты для Microsoft Office 2010

Как развернуть многоязычные пакеты для Microsoft Office 2010

Эта загрузка от Microsoft описывает и иллюстрирует развертывание многоязычных пакетов для Microsoft Office 2010.

Как развернуть, настроить и поддерживать System Center Essentials 2010

Как развернуть, настроить и поддерживать System Center Essentials 2010

Руководство по развертыванию System Center Essentials 2010 обсуждает лучшие практики повседневного использования и обслуживания System Center Essentials 2010.