IT Cara Buat Sijil Keamanan Sendiri (SSL) dan Perlukannya ke Mesin Pelanggan
Pemaju dan pentadbir IT mempunyai, tidak syak lagi, keperluan menggunakan beberapa laman web melalui HTTPS menggunakan sijil SSL. Walaupun proses ini agak mudah untuk tapak produksi, untuk tujuan pembangunan dan ujian anda mungkin mendapati keperluan untuk menggunakan sijil SSL di sini juga.
Sebagai ganti untuk membeli dan memperbaharui sijil setiap tahun, anda boleh memanfaatkan keupayaan Windows Server anda untuk menghasilkan sijil ditandatangani sendiri yang mudah, mudah dan sepatutnya memenuhi keperluan jenis ini dengan sempurna.
Mewujudkan Sijil Diri Sendiri pada IIS
Walaupun terdapat beberapa cara untuk mencapai tugas mewujudkan sijil ditandatangani sendiri, kami akan menggunakan utiliti SelfSSL dari Microsoft. Malangnya, ini tidak dihantar dengan IIS tetapi ia boleh didapati secara bebas sebagai sebahagian daripada IIS 6.0 Sumber Daya Toolkit (pautan yang disediakan di bahagian bawah artikel ini). Walaupun nama "IIS 6.0" utiliti ini berfungsi dengan baik dalam IIS 7.
Apa yang diperlukan adalah untuk mengeluarkan IIS6RT untuk mendapatkan utiliti selfssl.exe. Dari sini anda boleh menyalinnya ke direktori Windows anda atau laluan rangkaian / pemacu USB untuk kegunaan masa depan pada mesin lain (jadi anda tidak perlu memuat turun dan mengeluarkan IIS6RT penuh).
Sebaik sahaja anda mempunyai utiliti SelfSSL di tempatnya, jalankan arahan berikut (sebagai Pentadbir) menggantikan nilai-nilai yang sesuai:
selfssl / N: CN = / V:
Contoh di bawah ini menghasilkan sijil kad liar yang ditandatangani sendiri terhadap "mydomain.com" dan menetapkannya untuk sah selama 9,999 hari. Di samping itu, dengan menjawab ya kepada prompt, sijil ini dikonfigurasi secara automatik untuk mengikat ke port 443 di dalam Laman Web Lalai IIS.
Semasa pada masa ini, sijil bersedia untuk digunakan, ia hanya disimpan di dalam kedai sijil peribadi di pelayan. Ini adalah amalan terbaik untuk juga mempunyai sijil ini ditetapkan dalam akar yang dipercayai juga.
Pergi ke Start> Run (atau Windows Key + R) dan masukkan "mmc". Anda boleh menerima balasan UAC, terima dan Konsol Pengurusan kosong akan dibuka.
Di konsol, pergi ke Fail> Tambah / Alih Keluar Snap-in.
Tambah Sijil dari sebelah kiri.
Pilih akaun Komputer.
Pilih komputer Tempatan.
Klik OK untuk melihat kedai Sijil Tempatan.
Navigasi ke Peribadi> Sijil dan cari sijil yang anda persediaan menggunakan utiliti SelfSSL. Klik kanan sijil dan pilih Salin.
Navigasi ke Pihak Berkuasa Perakuan Root Dipercayai> Sijil. Klik kanan pada folder Sijil dan pilih Tampal.
Kemasukan untuk sijil SSL sepatutnya muncul dalam senarai.
Pada ketika ini, pelayan anda sepatutnya tidak mempunyai masalah bekerja dengan sijil yang ditandatangani sendiri.
Mengeksport Sijil
Jika anda akan mengakses laman web yang menggunakan sijil SSL yang ditandatangani sendiri pada mana-mana mesin klien (iaitu mana-mana komputer yang bukan pelayan), untuk mengelakkan serangan yang berisiko dari kesilapan sijil dan amaran sijil yang ditandatangani sendiri harus dipasang pada setiap mesin klien (yang akan dibincangkan secara terperinci di bawah). Untuk melakukan ini, kita perlu terlebih dahulu mengeksport sijil masing-masing supaya ia boleh dipasang pada pelanggan.
Di dalam konsol dengan Pengurusan Sijil dimuatkan, navigasi ke Pihak Berkuasa Perakuan Root Dipercayai> Sijil. Cari sijil, klik kanan dan pilih Semua Tugas> Eksport.
Apabila diminta untuk mengeksport kunci persendirian, pilih Ya. Klik Seterusnya.
Tinggalkan pilihan lalai untuk format fail dan klik Seterusnya.
Masukkan kata laluan. Ini akan digunakan untuk melindungi sijil dan pengguna tidak akan dapat mengimportnya secara tempatan tanpa memasukkan kata laluan ini.
Masukkan lokasi untuk mengeksport fail sijil. Ia akan dalam format PFX.
Sahkan tetapan anda dan klik Selesai.
Fail PFX yang dihasilkan adalah apa yang akan dipasang pada mesin klien anda untuk memberitahu mereka bahawa sijil ditandatangani diri anda dari sumber yang dipercayai.
Menyebarkan ke Mesin Pelanggan
Sebaik sahaja anda telah mencipta sijil di sisi pelayan dan mempunyai semua yang bekerja, anda mungkin dapati bahawa apabila mesin klien menyambung ke URL yang berkenaan, amaran sijil dipaparkan. Ini berlaku kerana pihak berkuasa sijil (pelayan anda) bukan sumber yang dipercayai untuk sijil SSL pada klien.
Anda boleh mengklik amaran dan mengakses laman web ini, namun anda boleh mendapatkan notis berulang dalam bentuk bar URL yang diketengahkan atau amaran perakuan berulang. Untuk mengelakkan gangguan ini, anda hanya perlu memasang sijil keselamatan SSL tersuai pada mesin klien.
Bergantung pada penyemak imbas yang anda gunakan, proses ini boleh berbeza-beza. IE dan Chrome kedua-duanya dibaca dari kedai Sijil Windows, namun Firefox mempunyai kaedah khusus untuk mengendalikan sijil keselamatan.
Nota PENTING: Kamu patut tidak pernah memasang sijil keselamatan dari sumber yang tidak diketahui. Dalam amalan, anda hanya perlu memasang sijil secara setempat jika anda menghasilkannya. Tiada laman web sah yang memerlukan anda melakukan langkah-langkah ini.
Internet Explorer & Google Chrome - Memasang Perakuan Secara Dalam Negeri
Nota: Walaupun Firefox tidak menggunakan kedai sijil Windows asli, ini masih merupakan langkah yang disyorkan.
Salin sijil yang dieksport dari pelayan (fail PFX) ke mesin klien atau pastikan ia tersedia di laluan rangkaian.
Buka pengurusan kedai sijil tempatan pada mesin klien menggunakan langkah yang sama seperti di atas. Anda akhirnya akan berakhir pada skrin seperti yang di bawah.
Di sebelah kiri, memperluaskan Sijil> Pihak Berkuasa Pensijilan Root Dipercayai. Klik kanan pada folder Sijil dan pilih Semua Tugas> Import.
Pilih sijil yang disalin secara tempatan ke mesin anda.
Masukkan kata laluan keselamatan yang diberikan apabila sijil dieksport dari pelayan.
Kedai "Pihak Berkuasa Pensijilan Root Dipercayai" harus diisi sebagai destinasi. Klik Seterusnya.
Semak tetapan dan klik Selesai.
Anda harus melihat mesej berjaya.
Segarkan pandangan anda tentang Pihak Berkuasa Pensijilan Root Dipercayai> Folder Sijil dan anda akan melihat sijil diri pelayan yang disenaraikan di kedai.
Satu perkara ini dilakukan, anda sepatutnya dapat melayari laman web HTTPS yang menggunakan sijil-sijil ini dan tidak menerima amaran atau arahan.
Firefox - Membenarkan Pengecualian
Firefox mengendalikan proses ini sedikit berbeza kerana ia tidak membaca maklumat sijil dari kedai Windows. Daripada memasang sijil (per-se), ia membolehkan anda menentukan pengecualian untuk sijil SSL di tapak tertentu.
Apabila anda melawat tapak yang mempunyai ralat sijil, anda akan mendapat amaran seperti yang di bawah. Kawasan yang berwarna biru akan menamakan URL yang anda cuba akses. Untuk membuat pengecualian untuk memintas amaran ini pada URL masing-masing, klik butang Tambah Pengecualian.
Dalam dialog Add Exception Security, klik Confirm Security Exception untuk mengkonfigurasi pengecualian ini secara tempatan.
Ambil perhatian bahawa jika tapak tertentu mengalihkan arah ke subdomain dari dalam dirinya sendiri, anda mungkin mendapat beberapa amaran peringatan keselamatan (dengan URL sedikit berbeza setiap kali). Tambah pengecualian untuk URL tersebut menggunakan langkah yang sama seperti di atas.
Kesimpulannya
Adalah bernilai mengulangi notis di atas bahawa anda sepatutnya tidak pernah memasang sijil keselamatan dari sumber yang tidak diketahui. Dalam amalan, anda hanya perlu memasang sijil secara setempat jika anda menghasilkannya. Tiada laman web sah yang memerlukan anda melakukan langkah-langkah ini.
Pautan
Muat turun IIS 6.0 Sumber Daya Toolkit (termasuk utiliti SelfSSL) dari Microsoft