ИТ: как создать самозаверяющий сертификат безопасности (SSL) и развернуть его на клиентских компьютерах

Разработчики и ИТ-администраторы, несомненно, нуждаются в развертывании какого-либо веб-сайта через HTTPS с использованием SSL-сертификата. Хотя этот процесс довольно прост для производственного сайта, в целях разработки и тестирования вы можете обнаружить необходимость использования SSL-сертификата и здесь.

В качестве альтернативы покупке и продлению годового сертификата вы можете использовать возможность вашего Windows Server для создания самозаверяющего сертификата, который удобен, прост и должен идеально удовлетворять этим требованиям.

Создание самоподписанного сертификата на IIS

Хотя есть несколько способов выполнить самозаверяющий сертификат, мы будем использовать утилиту SelfSSL от Microsoft. К сожалению, это не поставляется с IIS, но оно свободно доступно как часть IIS 6.0 Resource Toolkit (ссылка приведена в нижней части этой статьи). Несмотря на название «IIS 6.0», эта утилита прекрасно работает в IIS 7.

Все, что требуется, это извлечь IIS6RT, чтобы получить утилиту selfssl.exe. Отсюда вы можете скопировать его в свой каталог Windows или сетевой путь/USB-накопитель для будущего использования на другом компьютере (чтобы вам не приходилось загружать и извлекать полную версию IIS6RT).

Установив утилиту SelfSSL, выполните следующую команду (от имени администратора), заменив значения соответствующим образом:

selfssl/N: CN =/V:

В приведенном ниже примере создается самозаверяющий подстановочный сертификат для «mydomain.com» и устанавливается срок его действия в течение 9 999 дней. Кроме того, отвечая «да» на приглашение, этот сертификат автоматически настраивается для привязки к порту 443 на веб-сайте IIS по умолчанию.

Пока сертификат готов к использованию, он сохраняется только в личном хранилище сертификатов на сервере. Рекомендуется также установить этот сертификат в доверенном корне.

Перейдите в Пуск> Выполнить (или Windows Key + R) и введите «mmc». Вы можете получить приглашение UAC, принять его, и откроется пустая Консоль управления.

В консоли выберите «Файл»> «Добавить/удалить оснастку».

Добавить сертификаты с левой стороны.

Выберите учетную запись компьютера.

Выберите Локальный компьютер.

Нажмите OK, чтобы просмотреть локальное хранилище сертификатов.

Перейдите в раздел «Личные»> «Сертификаты» и найдите сертификат, который вы настроили с помощью утилиты SelfSSL. Щелкните правой кнопкой мыши сертификат и выберите «Копировать».

Перейдите к Доверенным корневым центрам сертификации> Сертификаты. Щелкните правой кнопкой мыши папку «Сертификаты» и выберите «Вставить».

Запись для сертификата SSL должна появиться в списке.

На этом этапе у вашего сервера не должно возникнуть проблем при работе с самозаверяющим сертификатом.

Экспорт сертификата

Если вы собираетесь получать доступ к сайту, который использует самозаверяющий сертификат SSL на любом клиентском компьютере (т. Е. На любом компьютере, который не является сервером), чтобы избежать потенциальной атаки ошибок и предупреждений сертификата, следует установить самоподписанный сертификат. на каждой клиентской машине (о чем мы подробнее поговорим ниже). Для этого сначала нужно экспортировать соответствующий сертификат, чтобы его можно было установить на клиентах.

Внутри консоли с загруженным управлением сертификатами перейдите в раздел «Доверенные корневые центры сертификации»> «Сертификаты». Найдите сертификат, щелкните правой кнопкой мыши и выберите «Все задачи»> «Экспорт».

Когда будет предложено экспортировать закрытый ключ, выберите Да. Нажмите кнопку “Далее.

Оставьте выбор по умолчанию для формата файла и нажмите Далее.

Введите пароль. Это будет использоваться для защиты сертификата, и пользователи не смогут импортировать его локально, не введя этот пароль.

Введите местоположение для экспорта файла сертификата. Это будет в формате PFX.

Подтвердите свои настройки и нажмите Готово.

Полученный файл PFX – это то, что будет установлено на ваших клиентских компьютерах, чтобы сообщить им, что ваш самозаверяющий сертификат получен из надежного источника.

Развертывание на клиентских машинах

После того, как вы создали сертификат на стороне сервера и все работает, вы можете заметить, что, когда клиентский компьютер подключается к соответствующему URL-адресу, отображается предупреждение о сертификате. Это происходит потому, что центр сертификации (ваш сервер) не является надежным источником сертификатов SSL на клиенте.

Вы можете нажимать на предупреждения и заходить на сайт, однако вы можете получать повторные уведомления в виде подсвеченной панели URL или повторяющихся предупреждений сертификатов. Чтобы избежать этого раздражения, вам просто нужно установить собственный сертификат безопасности SSL на клиентском компьютере.

В зависимости от используемого браузера этот процесс может отличаться. IE и Chrome считывают данные из хранилища сертификатов Windows, однако в Firefox есть собственный метод обработки сертификатов безопасности.

Важное примечание: вы никогда не должны устанавливать сертификат безопасности из неизвестного источника. На практике вам следует устанавливать сертификат только локально, если вы его сгенерировали. Ни один законный сайт не потребует от вас выполнения этих шагов.

Internet Explorer и Google Chrome – локальная установка сертификата

Примечание. Несмотря на то, что Firefox не использует собственное хранилище сертификатов Windows, это все же рекомендуемый шаг.

Скопируйте сертификат, который был экспортирован с сервера (файл PFX) на клиентский компьютер, или убедитесь, что он доступен по сетевому пути.

Откройте локальное управление хранилищем сертификатов на клиентском компьютере, выполнив те же действия, что и выше. Вы в конечном итоге окажетесь на экране, как показано ниже.

Слева разверните Сертификаты> Доверенные корневые центры сертификации. Щелкните правой кнопкой мыши папку «Сертификаты» и выберите «Все задачи»> «Импорт».

Выберите сертификат, который был скопирован локально на ваш компьютер.

Введите пароль безопасности, назначенный при экспорте сертификата с сервера.

Магазин «Доверенные корневые центры сертификации» должен быть заполнен как пункт назначения. Нажмите кнопку “Далее.

Проверьте настройки и нажмите «Готово».

Вы должны увидеть сообщение об успехе.

Обновите представление папки «Доверенные корневые центры сертификации»> «Сертификаты», и вы увидите самозаверяющий сертификат сервера, указанный в хранилище.

Как только это будет сделано, вы сможете перейти на сайт HTTPS, который использует эти сертификаты, и не получать предупреждений или подсказок.

Firefox – Разрешить исключения

Firefox обрабатывает этот процесс немного по-другому, так как он не читает информацию о сертификатах из хранилища Windows. Вместо установки сертификатов (per se) он позволяет определять исключения для SSL-сертификатов на определенных сайтах.

Когда вы посещаете сайт с ошибкой сертификата, вы получите предупреждение, подобное приведенному ниже. Область, выделенная синим цветом, назовет соответствующий URL, который вы пытаетесь открыть. Чтобы создать исключение для обхода этого предупреждения на соответствующем URL-адресе, нажмите кнопку «Добавить исключение».

В диалоговом окне «Добавить исключение безопасности» щелкните «Подтвердить исключение безопасности», чтобы настроить это исключение локально.

Обратите внимание, что если конкретный сайт перенаправляет на субдомены изнутри самого себя, вы можете получить несколько предупреждений безопасности (при этом каждый раз URL-адрес немного отличается). Добавьте исключения для этих URL, выполнив те же действия, что и выше.

Заключение

Стоит повторить упомянутое выше уведомление о том, что вы никогда не должны устанавливать сертификат безопасности из неизвестного источника. На практике вам следует устанавливать сертификат только локально, если вы его сгенерировали. Ни один законный сайт не потребует от вас выполнения этих шагов.

связи

Загрузите IIS 6.0 Resource Toolkit (включая утилиту SelfSSL) от Microsoft

Оцените статью
TutoryBird.Ru
Добавить комментарий