Hemsida » hur » IT Så här skapar du ett SSL-certifikat (SIGN) och distribuerar det till klientmaskiner

    IT Så här skapar du ett SSL-certifikat (SIGN) och distribuerar det till klientmaskiner

    Utvecklare och IT-administratörer har utan tvekan behov av att distribuera en webbplats via HTTPS med ett SSL-certifikat. Även om denna process är ganska enkel för en produktionsplats, kan du med hjälp av ett SSL-certifikat här med tanke på utveckling och provning också behöva använda ett SSL-certifikat.

    Som ett alternativ till inköp och förnyelse av ett årligt certifikat kan du utnyttja din Windows Server förmåga att skapa ett självtecknat certifikat som är bekvämt, enkelt och bör uppfylla dessa typer av behov perfekt.

    Skapa ett självtecknat certifikat på IIS

    Medan det finns flera sätt att uppnå uppgiften att skapa ett självtecknat certifikat använder vi SelfSSL-verktyget från Microsoft. Tyvärr skickas det inte med IIS men det är fritt tillgängligt som en del av IIS 6.0 Resource Toolkit (länk som finns längst ner i den här artikeln). Trots namnet "IIS 6.0" fungerar det här verktyget fint i IIS 7.

    Allt som krävs är att extrahera IIS6RT för att få verktyget selfssl.exe. Härifrån kan du kopiera den till din Windows-katalog eller en nätverksväg / USB-enhet för framtida användning på en annan maskin (så du behöver inte ladda ner och extrahera hela IIS6RT).

    När du har SelfSSL-verktyget på plats, kör följande kommando (som administratör), ersätta värdena enligt vad som är lämpligt:

    selfssl / N: CN = / V:

    Exemplet nedan ger ett självtecknat wildcard-certifikat mot "mydomain.com" och anger att det är giltigt i 9,999 dagar. Vidare, genom att svara ja till prompten, är detta certifikat automatiskt konfigurerat att binda till port 443 på IIS: s standardwebbplats.

    Medan certifikatet nu är klart att använda, lagras det endast i personliga certifikatbutiken på servern. Det är en bra praxis att också ha detta certifikat i den betrodda rotten också.

    Gå till Start> Kör (eller Windows-tangent + R) och skriv in "mmc". Du kan få en UAC-prompt, acceptera den och en tom hanteringskonsol öppnas.

    I konsolen, gå till Arkiv> Lägg till / ta bort inloggning.

    Lägg till certifikat från vänster sida.

    Välj Datorkonto.

    Välj Lokal dator.

    Klicka på OK för att visa Lokal certifikat butik.

    Navigera till Personligt> Certifikat och leta upp certifikatet du konfigurerar med hjälp av SelfSSL-verktyget. Högerklicka på certifikatet och välj Kopiera.

    Navigera till betrodda certifieringsmyndigheter> Certifikat. Högerklicka på mappen Certifikat och välj Klistra in.

    En post för SSL-certifikatet ska visas i listan.

    Vid denna tidpunkt ska din server inte ha några problem med att arbeta med det självtecknade certifikatet.

    Exportera certifikatet

    Om du kommer att få tillgång till en webbplats som använder det självtecknade SSL-certifikatet på vilken klientmaskin som helst (dvs. vilken dator som inte är servern), för att undvika eventuella intrång i certifikatfel och varningar bör det självtecknade certifikatet installeras på var och en av klientmaskinerna (som vi kommer att diskutera i detalj nedan). För att göra detta måste vi först exportera respektive certifikat så att det kan installeras på klienterna.

    Inne i konsolen med certifikathanteringen laddad, navigera till Trusted Root Certification Authorities> Certifikat. Leta upp certifikatet, högerklicka och välj Alla uppgifter> Exportera.

    När du blir ombedd att exportera den privata nyckeln väljer du Ja. Klicka på Nästa.

    Lämna standardvalen för filformatet och klicka på Nästa.

    Skriv in ett lösenord. Detta kommer att användas för att skydda certifikatet och användare kan inte importera det lokalt utan att skriva in det här lösenordet.

    Ange en plats för att exportera certifikatfilen. Det kommer att finnas i PFX-format.

    Bekräfta dina inställningar och klicka på Slutför.

    Den resulterande PFX-filen är vad som kommer att installeras på dina klientmaskiner för att berätta för dig att ditt självtecknade certifikat är från en betrodd källa.

    Utplacering till klientmaskiner

    När du har skapat certifikatet på serverns sida och har allt som fungerar kan du märka att när en klientmaskin ansluts till respektive webbadress visas en certifikatvarning. Detta händer eftersom certifikatmyndigheten (din server) inte är en pålitlig källa för SSL-certifikat på klienten.

    Du kan klicka genom varningarna och komma åt webbplatsen, men du kan få upprepade meddelanden i form av en markerad URL-bar eller upprepade certifikatvarningar. För att undvika denna irritation behöver du bara installera det anpassade SSL-säkerhetscertifikatet på klientmaskinen.

    Beroende på vilken webbläsare du använder kan denna process variera. IE och Chrome läser båda från Windows-certifikatbutiken, men Firefox har en anpassad metod för hantering av säkerhetscertifikat.

    Viktig notering: Du borde aldrig installera ett säkerhetscertifikat från en okänd källa. I praktiken bör du bara installera ett certifikat lokalt om du genererade det. Ingen legitim webbplats kräver att du utför dessa steg.

    Internet Explorer och Google Chrome - Installera certifikatet lokalt

    Obs! Även om Firefox inte använder det inbyggda Windows-certifikatutbudet, är det fortfarande ett rekommenderat steg.

    Kopiera certifikatet som exporterades från servern (PFX-filen) till klientmaskinen eller se till att den är tillgänglig i en nätverksväg.

    Öppna den lokala certifikatshanteringshanteringen på klientmaskinen med exakt samma steg som ovan. Du kommer så småningom att hamna på en skärm som den nedan.

    På vänster sida, expandera certifikat> Trusted Root Certification Authorities. Högerklicka på mappen Certifikat och välj Alla uppgifter> Importera.

    Markera certifikatet som kopierades lokalt till din maskin.

    Ange säkerhetslösenordet som tilldelats när certifikatet exporterades från servern.

    Butiken "Trusted Root Certification Authorities" bör fyllas i som destination. Klicka på Nästa.

    Granska inställningarna och klicka på Slutför.

    Du bör se ett framgångsrikt meddelande.

    Uppdatera din syn på Trusted Root Certification Authorities> Certifikatmappen och du ska se serverns självtecknade certifikat som finns i butiken.

    Ett sådant är gjort, du borde kunna bläddra till en HTTPS-webbplats som använder dessa certifikat och får inga varningar eller uppmaningar.

    Firefox - tillåter undantag

    Firefox hanterar denna process lite annorlunda eftersom den inte läser certifikatinformation från Windows-butiken. I stället för att installera certifikat (per-se) kan du definiera undantag för SSL-certifikat på vissa webbplatser.

    När du besöker en webbplats som har ett certifikatfel får du en varning som den nedan. Området i blått kommer att namnge respektive webbadress du försöker komma åt. För att skapa ett undantag för att kringgå denna varning på respektive URL, klicka på knappen Lägg till undantag.

    I dialogrutan Lägg till säkerhetsundantag klickar du på Bekräfta säkerhetsundantaget för att konfigurera detta undantag lokalt.

    Observera att om en viss webbplats omdirigeras till underdomäner inom sig, kan du få flera säkerhetsvarningsanvisningar (med URL-adressen något annorlunda varje gång). Lägg till undantag för de webbadresserna som använder samma steg som ovan.

    Slutsats

    Det är värt att upprepa meddelandet ovan som du borde aldrig installera ett säkerhetscertifikat från en okänd källa. I praktiken bör du bara installera ett certifikat lokalt om du genererade det. Ingen legitim webbplats kräver att du utför dessa steg.

    länkar

    Hämta IIS 6.0 Resource Toolkit (innehåller SelfSSL-verktyg) från Microsoft

    IT Så här installerar du Active Directory på Windows Server 2008 R2
    IT Så här installerar och hanterar du Active Directory på Server 2008 R2 Core
    IT Geek Monitor Nätverksenheter med SNMP (Simple Network Management Protocol)
    Nästa artikel
    IT Hur man skapar en virtuell maskin i Hyper-V på Windows Server 2008
    Föregående artikel
    IT Så här installerar du program på en fjärrskrivbordsserver korrekt