В качестве альтернативы приобретению и обновлению годового сертификата вы можете использовать возможности Windows Server для создания самоподписанного сертификата, который удобен, прост и должен удовлетворять этим требованиям.
Создание самоподписанного сертификата в IIS
Хотя есть несколько способов выполнить задачу создания самоподписанного сертификата, мы будем использовать утилиту SelfSSL от Microsoft. К сожалению, это не поставляется с IIS, но оно свободно доступно в составе инструментария IIS 6.0 Resource Toolkit (ссылка приведена в нижней части этой статьи). Несмотря на название «IIS 6.0», эта утилита работает очень хорошо в IIS 7.
Все, что требуется, - это извлечь IIS6RT для получения утилиты selfssl.exe. Отсюда вы можете скопировать его в каталог Windows или сетевой путь / USB-диск для будущего использования на другом компьютере (так что вам не нужно загружать и извлекать полный IIS6RT).
После того, как у вас установлена утилита SelfSSL, запустите следующую команду (в качестве администратора), заменив значения в <> следующим образом:
selfssl /N:CN= /V:
В приведенном ниже примере создается самозагружаемый сертификат подстановки под «mydomain.com» и устанавливается, что он действителен в течение 9999 дней. Кроме того, отвечая «да» на приглашение, этот сертификат автоматически настраивается для привязки к порту 443 внутри веб-сайта по умолчанию IIS.
Перейдите в меню «Пуск»> «Выполнить» (или «Windows Key + R») и введите «mmc». Вы можете получить приглашение UAC, принять его и открыть пустую консоль управления.
Экспорт сертификата
Если вы собираетесь получать доступ к сайту, который использует самоподписанный SSL-сертификат на любом клиентском компьютере (то есть на любом компьютере, который не является сервером), чтобы избежать потенциального натиска ошибок и предупреждений о сертификате, должен быть установлен сам подписанный сертификат на каждой из клиентских машин (что мы подробно обсудим ниже). Для этого сначала нужно экспортировать соответствующий сертификат, чтобы он мог быть установлен на клиентах.
Внутри консоли с загруженным сертификатом выберите «Доверенные корневые центры сертификации»> «Сертификаты». Найдите сертификат, щелкните правой кнопкой мыши и выберите «Все задачи> Экспорт».
Оставьте выбор по умолчанию для формата файла и нажмите «Далее».
Развертывание на клиентские машины
После того, как вы создали сертификат на стороне сервера и все работает, вы можете заметить, что когда клиентский компьютер подключается к соответствующему URL-адресу, отображается предупреждение о сертификате. Это происходит потому, что центр сертификации (ваш сервер) не является надежным источником для сертификатов SSL на клиенте.
В зависимости от используемого браузера этот процесс может меняться. IE и Chrome оба считываются из хранилища сертификатов Windows, однако Firefox имеет собственный способ обработки сертификатов безопасности.
Важная заметка: Вам следует никогда установите сертификат безопасности из неизвестного источника. На практике вы должны устанавливать сертификат только локально, если вы его создали. Никакой законный веб-сайт не потребует от вас выполнения этих действий.
Internet Explorer и Google Chrome - установка сертификата локально
Примечание. Несмотря на то, что Firefox не использует собственное хранилище сертификатов Windows, это по-прежнему рекомендуется.
Скопируйте сертификат, который был экспортирован с сервера (файл PFX) на клиентский компьютер, или убедитесь, что он доступен по сетевому пути.
Откройте локальное хранилище сертификатов на клиентской машине, используя те же шаги, что и выше.В конечном итоге вы окажетесь на экране, подобном приведенному ниже.
Firefox - разрешение исключений
Firefox обрабатывает этот процесс несколько иначе, поскольку он не считывает информацию сертификата из хранилища Windows. Вместо того, чтобы устанавливать сертификаты (per-se), он позволяет вам определять исключения для сертификатов SSL на определенных сайтах.
Когда вы посещаете сайт с ошибкой сертификата, вы получите предупреждение, подобное приведенному ниже. В синей области будет указан соответствующий URL-адрес, к которому вы пытаетесь получить доступ. Чтобы создать исключение, чтобы обойти это предупреждение по соответствующему URL-адресу, нажмите кнопку «Добавить исключение».
Заключение
Стоит повторить вышеизложенное, что вы должны никогда установите сертификат безопасности из неизвестного источника. На практике вы должны устанавливать сертификат только локально, если вы его создали. Никакой законный веб-сайт не потребует от вас выполнения этих действий.
связи
Загрузите IIS 6.0 Resource Toolkit (включая утилиту SelfSSL) из Microsoft