Kaip pakaitinis narys, norintis įsigyti ir atnaujinti metinį pažymėjimą, galite pasinaudoti savo "Windows Server" gebėjimu sukurti savarankiškai pasirašytą sertifikatą, kuris būtų patogus, lengvas ir puikiai tenkintų tokio pobūdžio poreikius.
Sukurti savarankiškai pasirašytą sertifikatą IIS
Nors yra keletas būdų, kaip atlikti savarankiškai pasirašyto sertifikato sukūrimo užduotį, mes naudosime "SelfSSL" įrankį iš "Microsoft". Deja, tai neatitinka IIS, bet ji yra laisvai prieinama kaip dalis IIS 6.0 Resource Toolkit (nuoroda pateikiama šio straipsnio apačioje). Nepaisant to, kad vardas "IIS 6.0" ši priemonė veikia puikiai 7 IIS.
Viskas, ko reikia, yra ištraukti IIS6RT, kad gautumėte utilsumą selfssl.exe. Čia galite nukopijuoti ją į savo "Windows" katalogą arba tinklo kelią / USB diską, kad jį būtų galima naudoti kitoje mašinoje (taigi jums nereikės atsisiųsti ir išgauti viso IIS6RT).
Kai savarankiškai naudojate SelfSSL įrankį, paleiskite šią komandą (kaip administratorių), pakeisdami reikšmes <> atitinkamai:
selfssl /N:CN= /V:
Toliau pateikiamas pavyzdys sukuria savarankiškai pasirašytą pakaitos kodą prieš "mydomain.com" ir nustato, kad jis galioja 9999 dienų. Be to, atsakydamas į eilutę "taip", šis sertifikatas automatiškai sukonfigūruotas, kad būtų susietas su portalu 443 IIS numatytoje interneto svetainėje.
Eikite į Start> Run (arba Windows Key + R) ir įveskite "mmc". Galite gauti UAC raginimą, priimti jį ir atidaryti tuščią valdymo konsolę.
Pasirinkite kompiuterio paskyrą.
Sertifikato eksportas
Jei ketinate pasiekti svetainę, kuri naudoja savarankiškai pasirašytą SSL sertifikatą bet kurioje kliento kompiuteryje (ty bet kuriame kompiuteryje, kuris nėra serveris), siekiant išvengti galimo sertifikavimo klaidų ir įspėjimų įpuolimo, turėtų būti įdiegtas savarankiškai pasirašytas sertifikatas ant kiekvienos kliento mašinos (apie tai mes išsamiau aptarsime žemiau). Norėdami tai padaryti, pirmiausia turime eksportuoti atitinkamą sertifikatą, kad jį būtų galima įdiegti klientams.
Konsole su sertifikato valdymu pakrauta, pereikite prie Patikimos šaknies sertifikavimo institucijos> Sertifikatai. Suraskite sertifikatą, dešiniuoju pelės mygtuku spustelėkite ir pasirinkite Visos užduotys> Eksportuoti.
Diegimas į klientų automatus
Kai sukūrėte sertifikatą serverio pusėje ir viskas veikia, galite pastebėti, kad kai kliento kompiuteris prisijungia prie atitinkamo URL, rodomas sertifikato įspėjimas. Taip yra todėl, kad sertifikavimo institucija (jūsų serveris) nėra patikimas SSL sertifikato šaltinis kliento.
Priklausomai nuo naudojamos naršyklės šis procesas gali skirtis. "IE" ir "Chrome" yra skaitomi iš "Windows" sertifikatų saugyklos, tačiau "Firefox" turi specialųjį saugumo sertifikatų tvarkymo būdą.
Svarbi pastaba: Tu turėtum niekada įdiegti apsaugos sertifikatą iš nežinomo šaltinio. Praktikoje sertifikatą turėtumėte įdiegti tik vietoje, jei jį sukūrėte. Jokios teisėtos svetainės nereikėtų atlikti šių veiksmų.
"Internet Explorer" ir "Google Chrome" - sertifikato įdiegimas lokaliai
Pastaba: net jei "Firefox" nenaudoja gimtoji "Windows" sertifikatų saugyklos, tai vis dar rekomenduojamas žingsnis.
Kopijuokite iš serverio eksportuotą sertifikatą (PFX failą) į kliento kompiuterį arba įsitikinkite, kad jis pasiekiamas tinklo keliu.
Atidarykite vietinį sertifikato saugyklos valdymą kliento kompiuteryje, naudodami tas pačias pirmiau nurodytas priemones.Galų gale galiausiai atsidursite kaip žemiau esantis ekranas.
Firefox - leisti išimtis
"Firefox" tvarko šį procesą šiek tiek kitaip, nes jis neskaito "Windows" parduotuvės sertifikato informacijos. Užuot įdiegę sertifikatus (per-se), galite konkrečiose svetainėse nustatyti SSL sertifikatų išimtis.
Kai lankotės svetainėje, kurioje yra sertifikato klaida, gausite įspėjimą, panašų į žemiau esantį. Zona mėlyna bus pavadinta atitinkamu URL, kurį bandysite pasiekti. Jei norite sukurti išimtį, kad apeitumėte šį įspėjimą atitinkamame URL, spustelėkite mygtuką "Pridėti išimtį".
Išvada
Verta pakartoti aukščiau paminėtą įspėjimą niekada įdiegti apsaugos sertifikatą iš nežinomo šaltinio. Praktikoje sertifikatą turėtumėte įdiegti tik vietoje, jei jį sukūrėte. Jokios teisėtos svetainės nereikėtų atlikti šių veiksmų.
Nuorodos
Atsisiųskite "IIS 6.0 Resource Toolkit" (įskaitant SelfSSL įrankį) iš "Microsoft"