Iga-aastase sertifikaadi ostmise ja uuendamise asemel võite oma Windows Serveri võimet luua iseseisev sertifikaat, mis on mugav, lihtne ja peaks seda tüüpi vajadusi täiuslikult vastama.
IIS-i poolt sisse logitud sertifikaadi loomine
Kuigi iseseisevõetud sertifikaadi loomise ülesande täitmiseks on mitu võimalust, kasutab meil Microsofti SelfSSL-i utiliit. Kahjuks ei edasta see IIS-iga, vaid see on vabalt saadaval IIS 6.0 Resource Toolkit (käesoleva artikli lõpus olev link). Hoolimata nimega "IIS 6.0", see nutitelefon teenib IIS 7-s hästi.
Kõik, mis on vajalik, on IIS6RT-i ekstraktimine, et hankida iseysl.exe-utiliit. Siit saate selle kopeerida oma Windowsi kataloogi või võrgutee / USB-draivi, et seda saaks kasutada mõnel muul masinal (nii et te ei pea kogu IIS6RT-d allalaadima ja välja võtma).
Kui sul on SelfSSL-i rakendus, käivitage järgmine käsk (kui administraator), mis asendab väärtused <> vastavalt vajadusele:
selfssl /N:CN= /V:
Allpool toodud näide toodab automaatselt allkirjastatud märgistusmärki "mydomain.com" vastu ja seab selle kehtivuseks 9999 päeva. Lisaks sellele, kui vastate vastusele "jah", konfigureeritakse see sertifikaat automaatselt sidumiseks IIS-i vaikemängu veebisaidiga porti 443.
Minge Start> Run (või Windows Key + R) ja sisestage "mmc". Võite saada UAC-i kiire, aktsepteerida ja tühi halduskonsool avaneb.
Valige Arvutikonto.
Sertifikaadi eksportimine
Kui soovite juurdepääsu saidile, mis kasutab enesestmõistetavat SSL-sertifikaati mis tahes kliendi masinas (st mis tahes arvutis, mis ei ole server), selleks et vältida sertifikaadi vigade ja hoiatuste võimalikku rünnakut, peaks olema sisse logitud isepöörduv sertifikaat iga kliendi masinas (mida me üksikasjalikult arutleme allpool). Selleks peame kõigepealt eksportima vastava sertifikaadi, nii et seda saab klientidele installida.
Konsooli sees, mille sertifikaatide haldamine on laaditud, navigeerige usaldusväärsete rootorite sertifitseerimisasutuste sertifikaate. Leidke sertifikaat, paremklõpsake ja valige Kõik ülesanded> Eksport.
Kasutamine kliendimasinatele
Kui olete serveripoolses sertifikaadis loodud ja teil on kõik toimivad, võite märgata, et kui kliendi masin loob vastava URL-i, kuvatakse sertifikaadi hoiatus. See juhtub seetõttu, et sertifitseerimisasutus (teie server) ei ole klient usaldusväärne SSL-sertifikaatide allikas.
Sõltuvalt kasutatavast brauserist võib see protsess olla erinev. IE ja Chrome on mõlemad lugenud Windowsi sertifikaatide poodi, kuid Firefoxil on turbesertifikaatide käsitlemise kohandatud meetod.
Tähtis märkus: Sa peaksid mitte kunagi installige turvasertifikaat teadmata allikast. Tegelikult peaksite seda sertifikaati installima ainult kohapeal. Ükski õigustatud veebisait ei nõua teilt neid samme.
Internet Explorer ja Google Chrome - sertifikaadi lokaliseerimine
Märkus. Ehkki Firefox ei kasuta kohalikku Windowsi sertifikaadi poodi, on see ikkagi soovituslik samm.
Kopeerige serverist (PFX-fail) serverisse eksporditud sertifikaat kliendi masinasse või veenduge, et see on võrguühenduse kaudu saadaval.
Avage kliendi masinas paiknevate kohalike sertifikaatide poodide haldamine, kasutades täpselt samu samme nagu eespool.Lõpuks jõuate ekraanile nagu allpool.
Firefox - erandite lubamine
Firefox käitleb seda protsessi veidi teisiti, kuna ta ei loe Windowsi poest sertifikaadi teavet. Selle asemel, et installida sertifikaate (per-se), võimaldab see määrata teatud saitidele SSL-sertifikaatide erandeid.
Kui külastate saiti, millel on tõrketeade, ilmub teile hoiatus, nagu allpool olev. Sinisel alal nimeks vastav URL, mida proovite pääseda. Selle erandi tegemiseks vastava URL-i hoiatusest ümbersuunamiseks klõpsake nuppu Lisa erand.
Järeldus
Tasub korrata ülaltoodut, et peaksite mitte kunagi installige turvasertifikaat teadmata allikast. Tegelikult peaksite seda sertifikaati installima ainult kohapeal. Ükski õigustatud veebisait ei nõua teilt neid samme.
Lingid
Laadige alla Microsoft IIS 6.0 Resource Toolkit (sisaldab SelfSSL-i utiliiti)