Като алтернатива на закупуването и подновяването на годишен сертификат можете да увеличите способността на Windows Server да генерира сертификат, който е удобен, лесен и трябва да отговаря напълно на тези нужди.
Създаване на сертификат за самостоятелно подписване в IIS
Въпреки че има няколко начина да се изпълни задачата за създаване на сертификат, който да бъде подписан от нас, ще използваме помощната програма SelfSSL от Microsoft. За съжаление, това не се изпраща с IIS, но е свободно достъпно като част от IIS 6.0 Resource Toolkit (връзката е предоставена в долната част на тази статия). Въпреки името "IIS 6.0" тази програма работи добре в IIS 7.
Всичко, което е необходимо, е да извлечете IIS6RT, за да получите помощната програма selfssl.exe. От тук можете да го копирате в директорията на Windows или мрежово устройство / USB устройство за бъдещо използване на друга машина (затова не е нужно да изтегляте и извличате пълния IIS6RT).
След като разполагате с помощната програма SelfSSL, изпълнете следната команда (като администратора), като замените стойностите в <>, както е подходящо:
selfssl /N:CN= /V:
Примерът по-долу създава самостоятелно подписан "wildcard" сертификат срещу "mydomain.com" и го определя за валиден за 9999 дни. Освен това, като отговорите с "да" на подканата, този сертификат автоматично се конфигурира, за да се свърже към порт 443 в уеб сайта по подразбиране на IIS.
Отидете на Start> Run (или Windows Key + R) и въведете "mmc". Може да получите подкана на UAC, да я приемете и да се отвори празна конзола за управление.
Експортиране на сертификата
Ако възнамерявате да осъществявате достъп до сайт, който използва самостоятелно подписания SSL сертификат на която и да е клиентска машина (т.е. всеки компютър, който не е сървърът), за да избегнете потенциална атака на грешки и предупреждения за сертификат, на всяка от клиентските машини (което ще разгледаме подробно по-долу). За да направите това, първо трябва да експортирате съответния сертификат, за да може той да бъде инсталиран на клиентите.
Вътре в конзолата, където е заредено управлението на сертификата, отидете в Сертификати за надеждни сертифициращи корени> Сертификати. Намерете сертификата, щракнете с десния бутон и изберете Всички задачи> Експортиране.
Оставете стандартните селекции за файловия формат и кликнете върху Напред.
Разгръщане към клиентските машини
След като създадете сертификата от сървъра и всичко работи, може да забележите, че когато клиентската машина се свърже със съответния URL адрес, се показва предупреждение за сертификат. Това се случва, защото сертификационният орган (вашият сървър) не е надежден източник за SSL сертификати на клиента.
В зависимост от браузъра, който използвате, този процес може да варира. IE и Chrome четат и двете от магазина за сертификати на Windows, но Firefox има персонализиран метод за обработка на сертификати за сигурност.
Важна забележка: Ти трябва никога инсталирайте сертификат за защита от неизвестен източник. На практика трябва да инсталирате сертификат локално само ако го генерирате. Няма законни уебсайтове, които да изискват от вас да изпълните тези стъпки.
Internet Explorer & Google Chrome - инсталиране на сертификата на място
Забележка: Въпреки че Firefox не използва природния магазин за сертификати на Windows, това все още е препоръчителна стъпка.
Копирайте сертификата, който е бил експортиран от сървъра (PFX файла), в клиентската машина или се уверете, че е наличен по мрежов път.
Отворете управлението на локалния магазин за сертификати на клиентската машина, като използвате същите стъпки, както по-горе.В крайна сметка ще завършите на екран като този по-долу.
Firefox - разрешаване на изключения
Firefox обработва този процес малко по-различно, тъй като не чете информация за сертификатите от магазина на Windows. Вместо да инсталирате сертификати (per-se), той ви позволява да дефинирате изключения за SSL сертификати за определени сайтове.
Когато посетите сайт, който има грешка в сертификата, ще получите предупреждение като това по-долу. Областта в синьо ще наименува съответния URL адрес, до който се опитвате да осъществите достъп. За да създадете изключение, за да заобиколите това предупреждение на съответния URL адрес, кликнете върху бутона Добавяне на изключение.
заключение
Струва си да повторите известието по-горе, което трябва да направите никога инсталирайте сертификат за защита от неизвестен източник. На практика трябва да инсталирате сертификат локално само ако го генерирате. Няма законни уебсайтове, които да изискват от вас да изпълните тези стъпки.
звена
Изтеглете IIS 6.0 Resource Toolkit (включва инструмент SelfSSL) от Microsoft