IT: Ako vytvoriť certifikát SSL (Self Signed Security) a nasadiť ho do klientských počítačov

2024 Autor: Geoffrey Carr | [email protected]. Naposledy zmenené: 2024-02-02 12:11

Vývojári a IT administrátori nepochybne potrebujú nasadiť niektoré webové stránky prostredníctvom protokolu HTTPS pomocou certifikátu SSL. Zatiaľ čo tento proces je pre výrobnú lokalitu dosť jednoduchý, na účely vývoja a testovania môžete nájsť tu aj potrebu použiť certifikát SSL.

Ako alternatívu k nákupu a obnoveniu ročného certifikátu môžete využívať schopnosť systému Windows Server generovať certifikát s vlastným podpisom, ktorý je pohodlný a jednoduchý a mal by spĺňať tieto typy potrieb dokonale.

Vytvorenie certifikátu s vlastným podpisom v službe IIS

Aj keď existuje niekoľko spôsobov, ako splniť úlohu vytvorenia certifikátu s vlastným podpisom, použijeme nástroj SelfSSL od spoločnosti Microsoft. Bohužiaľ, toto nie je dodávané so službou IIS, ale je voľne k dispozícii ako súčasť nástroja IIS 6.0 Resource Toolkit (odkaz uvedený v spodnej časti tohto článku). Napriek názvu "IIS 6.0" tento nástroj funguje v službe IIS 7 v poriadku.

Všetko, čo je potrebné, je extrahovať IIS6RT a získať nástroj selfssl.exe. Odtiaľ ho môžete skopírovať do adresára systému Windows alebo sieťovej cesty / USB disku pre budúce použitie na inom počítači (takže nemusíte stahovať a extrahovať úplný IIS6RT).

Keď máte nástroj SelfSSL na svojom mieste, spustite nasledujúci príkaz (ako správca), ktorý nahradí hodnoty v <> podľa potreby:


selfssl /N:CN= /V:

Nižšie uvedený príklad vytvára vlastný podpísaný zástupný certifikát proti "mydomain.com" a nastaví ho na 9999 dní. Okrem toho odpovedaním áno na výzvu je tento certifikát automaticky nakonfigurovaný tak, aby sa viazal na port 443 vnútri predvolenej webovej lokality IIS.

Aj keď je certifikát v tomto okamihu pripravený na použitie, je uložený iba na úložisku osobných certifikátov na serveri. Je najlepšou praxou mať aj tento certifikát nastavený v dôveryhodnom koreňu.

Prejdite na Štart> Spustiť (alebo Windows Key + R) a zadajte "mmc". Môžete dostať výzvu nástroja UAC, prijať ho a otvorí sa prázdna konzola na správu.

V konzole prejdite na položku Súbor> Pridať alebo odstrániť modul Snap-in.

Kliknutím na tlačidlo OK zobrazíte úložisko miestnych certifikátov.

Prejdite na položku Osobné> Certifikáty a vyhľadajte certifikát, ktorý ste nastavili pomocou nástroja SelfSSL. Kliknite pravým tlačidlom na certifikát a vyberte položku Kopírovať.

Prejdite na certifikačné autority dôveryhodných koreňových certifikačných autorít> Certifikáty. Kliknite pravým tlačidlom na priečinok Certifikáty a vyberte možnosť Prilepiť.

Položka pre certifikát SSL by sa mala zobraziť v zozname.

V tomto momente by Váš server nemal mať problémy s prácou s certifikátom s vlastným podpisom.

Export certifikátu

Ak chcete pristupovať k webovej lokalite, ktorá používa certifikát SSL s vlastným podpisom na akomkoľvek klientskom počítači (tj akýkoľvek počítač, ktorý nie je serverom), aby sa zabránilo možnému náporu chyb a upozornení na certifikáty, mal by byť nainštalovaný certifikát s vlastným podpisom na každom klientskom počítači (o ktorom budeme podrobnejšie diskutovať nižšie). Ak to chcete urobiť, najprv musíte exportovať príslušný certifikát, aby ho bolo možné nainštalovať na klientov.

Vnútri konzoly s načítaním správy certifikátov prejdite na Trusted Root Certification Authorities> Certificates. Vyhľadajte certifikát, kliknite pravým tlačidlom myši a vyberte položku Všetky úlohy> Exportovať.

Po výzve na export súkromného kľúča vyberte možnosť Áno. Kliknite na tlačidlo Ďalej.

Ponechajte predvolené výbery pre formát súboru a kliknite na tlačidlo Ďalej.

Zadajte heslo. Toto sa použije na ochranu certifikátu a používatelia ho nebudú môcť lokálne importovať bez zadania tohto hesla.

Zadajte miesto na export súboru certifikátu. Bude vo formáte PFX.

Potvrďte svoje nastavenia a kliknite na tlačidlo Dokončiť.

Výsledný súbor PFX je to, čo bude nainštalované do vašich klientských počítačov, aby ste im oznámili, že váš certifikát s vlastným podpisom pochádza z dôveryhodného zdroja.

Nasadenie do klientských počítačov

Keď máte vytvorený certifikát na strane servera a všetko funguje, môžete si všimnúť, že keď sa klientske zariadenie pripája k príslušnej adrese URL, zobrazí sa upozornenie na certifikát. Stáva sa to preto, že certifikačná autorita (váš server) nie je dôveryhodným zdrojom certifikátov SSL v klientovi.

Môžete kliknúť na upozornenia a pristupovať na stránku, avšak môžete získať opakované upozornenia vo forme zvýrazneného pruhu URL alebo opakujúcich sa upozornení na certifikáty. Aby ste sa vyhli tejto nepríjemnosti, jednoducho musíte na klientskom počítači nainštalovať vlastný certifikát zabezpečenia SSL.

V závislosti od prehliadača, ktorý používate, sa tento proces môže líšiť. IE a prehliadač Chrome čítajú z obchodu s certifikátmi systému Windows, avšak Firefox má vlastnú metódu na spracovanie bezpečnostných certifikátov.

Dôležitá poznámka: Mal by si nikdy nainštalujte bezpečnostný certifikát z neznámeho zdroja. V praxi by ste mali nainštalovať certifikát lokálne iba ak ste ho vygenerovali. Žiadna legitímna webová stránka by nevyžadovala, aby ste vykonali tieto kroky.

Internet Explorer a Google Chrome - inštalácia certifikátu lokálne

Poznámka: Aj keď Firefox nepoužíva natívny obchod s certifikátmi Windows, je to stále odporúčaný krok.

Skopírujte certifikát, ktorý bol exportovaný zo servera (súbor PFX) do klientskeho počítača, alebo uistite sa, že je k dispozícii v sieťovej ceste.

Otvorte správu lokálneho certifikátu úložiska na klientskom počítači pomocou rovnakých krokov ako vyššie.Nakoniec skončíte na obrazovke, ako je nižšie.

Na ľavej strane rozbaľte položku Certifikáty> Dôveryhodné koreňové certifikačné autority. Kliknite pravým tlačidlom na priečinok Certifikáty a vyberte položku Všetky úlohy> Importovať.

Vyberte certifikát, ktorý bol lokálne skopírovaný do zariadenia.

Zadajte bezpečnostné heslo pridelené, keď bol certifikát exportovaný zo servera.

Predajňa "Dôveryhodné koreňové certifikačné úrady" by mal byť naplnený ako cieľ. Kliknite na tlačidlo Ďalej.

Skontrolujte nastavenia a kliknite na tlačidlo Dokončiť.

Mali by ste vidieť správu o úspechu.

Obnovte svoj pohľad na priečinok Dôveryhodné koreňové certifikačné autority> Certifikáty a mali by ste vidieť certifikát servera s vlastným podpisom uvedený v obchode.

Jeden sa tak stane, mali by ste byť schopní prechádzať na webovú stránku HTTPS, ktorá používa tieto certifikáty a nedostáva žiadne upozornenia alebo výzvy.

Firefox - povolenie výnimiek

Firefox spracuje tento proces trochu inak, pretože nečíta informácie o certifikátoch z obchodu Windows. Namiesto inštalácie certifikátov (per-se) vám umožňuje definovať výnimky pre certifikáty SSL na konkrétnych stránkach.

Keď navštívite stránku, ktorá má chybu certifikátu, dostanete upozornenie, ako je uvedené nižšie. Modrá oblasť pomenuje príslušnú webovú adresu, ku ktorej sa pokúšate pristupovať. Ak chcete vytvoriť výnimku, aby ste vynechali toto upozornenie na príslušnej adrese URL, kliknite na tlačidlo Pridať výnimku.

V dialógovom okne Pridať bezpečnostné výnimky kliknite na položku Potvrdiť výnimku zabezpečenia, aby ste túto výnimku lokálne nakonfigurovali.

Upozorňujeme, že ak konkrétne stránky presmerujú na subdomény zo seba samého, môžete získať viaceré výzvy na upozornenie na bezpečnosť (vždy keď sa adresa URL mierne líši). Pridanie výnimiek pre tieto adresy URL pomocou rovnakých krokov ako vyššie.

záver

Stojí za to opakovať vyššie uvedené oznámenie, ktoré by ste mali nikdy nainštalujte bezpečnostný certifikát z neznámeho zdroja. V praxi by ste mali nainštalovať certifikát lokálne iba ak ste ho vygenerovali. Žiadna legitímna webová stránka by nevyžadovala, aby ste vykonali tieto kroky.