Розробники та ІТ-адміністратори, без сумніву, потребують розгортання деяких веб-сайтів через HTTPS з використанням SSL-сертифіката. Хоча цей процес досить простий для виробничого сайту, з метою розробки та тестування ви можете виявити необхідність використання SSL-сертифіката і тут.
Як альтернативу покупці та продовженню річного сертифіката, ви можете використовувати можливість вашого Windows Server для створення самозавіряючого сертифіката, який зручний, простий і повинен ідеально задовольняти цим вимогам.
Створення сертифіката на IIS
Хоча є кілька способів виконати самозавіряючий сертифікат, ми будемо використовувати утиліту SelfSSL від Microsoft. На жаль, це не поставляється з IIS, але воно вільно доступно як частина IIS 6.0 Resource Toolkit (посилання наведено в нижній частині цієї статті). Незважаючи на назву «IIS 6.0», ця утиліта чудово працює в IIS 7.
Все, що потрібно, це отримати IIS6RT, щоб отримати утиліту selfssl.exe. Звідси ви можете скопіювати його в свій каталог Windows або мережевий шлях/USB-накопичувач для майбутнього використання на іншому комп'ютері (щоб вам не доводилося завантажувати і витягувати повну версію IIS6RT).
Встановивши інструмент SelfSSL, виконайте наступну команду (від імені адміністратора), замінивши значення < > відповідним чином:
selfssl / N: CN = <your.domain.com> / V: < кількість дійсних днів >
У наведеному нижче прикладі створюється самозавіряючий підстановочний сертифікат для «mydomain.com» і встановлюється термін його дії протягом 9 999 днів. Крім того, відповідаючи «так» на запрошення, цей сертифікат автоматично налаштовується для прив'язки до порту 443 на веб-сайті IIS за замовчуванням.
Поки сертифікат готовий до використання, він зберігається тільки в особистому сховищі сертифікатів на сервері. Рекомендується також встановити цей сертифікат у довіреному корені.
Перейдіть до Пуск > Виконати (або Windows Key + R) і введіть «mmc». Ви можете отримати запрошення UAC, прийняти його, і відкриється порожня консоль управління.
У консолі виберіть «Файл» > «Додати/видалити оснастку».
Додати сертифікати з лівого боку.
Виберіть обліковий запис комп "ютера.
Виберіть Локальний комп "ютер.
Натисніть кнопку Гаразд, щоб переглянути локальне сховище сертифікатів.
Перейдіть до розділу «Особисті» > «Сертифікати» та знайдіть сертифікат, який ви налаштували за допомогою SelfSSL. Клацніть правою клавішею миші сертифікат і виберіть пункт «Копіювати».
Перейдіть до довірених кореневих центрів сертифікації > Сертифікати. Клацніть правою клавішею миші теку «Сертифікати» та виберіть «Вставити».
Запис для сертифіката SSL має з "явитися у списку.
На цьому етапі у вашого сервера не повинно виникнути проблем при роботі з самозавіряючим сертифікатом.
Експортувати сертифікат
Якщо ви збираєтеся отримати доступ до сайту, який використовує самозавіряючий сертифікат SSL на будь-якому клієнтському комп'ютері (тобто на будь-якому комп'ютері, який не є сервером), щоб уникнути потенційної атаки помилок і попереджень сертифіката, слід встановити самопідписаний сертифікат. на кожній клієнтській машині (про що ми докладніше поговоримо нижче). Для цього спочатку потрібно експортувати відповідний сертифікат, щоб його можна було встановити на клієнтах.
Всередині консолі із завантаженим управлінням сертифікатами перейдіть до розділу «Довірені кореневі центри сертифікації» > «Сертифікати». Знайдіть сертифікат, клацніть правою клавішею миші та виберіть команду «Всі завдання» > «Експорт».
Якщо буде запропоновано експортувати закритий ключ, виберіть «Так». Натисніть кнопку «Далі».
Будь ласка, виберіть типовий формат файла і натисніть кнопку Далі.
Введіть пароль. Це буде використано для захисту сертифіката, і користувачі не зможуть імпортувати його локально, не ввівши цей пароль.
Введіть місце для експорту файлу сертифіката. Це буде у форматі PFX.
Підтвердіть свої параметри і натисніть кнопку Готово.
Отриманий файл PFX - це те, що буде встановлено на ваших клієнтських комп'ютерах, щоб повідомити їм, що ваш самозавіряючий сертифікат отримано з надійного джерела.
Розгортання на клієнтських машинах
Після того, як ви створили сертифікат на стороні сервера і все працює, ви можете зауважити, що, коли клієнтський комп'ютер з'єднується до відповідної URL-адреси, відображається попередження про сертифікат. Це відбувається тому, що центр сертифікації (ваш сервер) не є довіреним джерелом сертифікатів SSL на клієнті.
Ви можете натиснути на попередження і заходити на сайт, однак ви можете отримувати повторні повідомлення у вигляді підсвіченої панелі URL або повторюваних попереджень сертифікатів. Щоб уникнути цього роздратування, вам просто потрібно встановити власний сертифікат безпеки SSL на клієнтському комп'ютері.
Залежно від навігатора, цей процес може відрізнятися. IE і Chrome зчитують дані зі сховища сертифікатів Windows, однак у Firefox є власний метод обробки сертифікатів безпеки.
Важлива примітка. Ніколи не встановлюйте сертифікат безпеки з невідомого джерела. На практиці вам слід встановлювати сертифікат тільки локально, якщо ви його згенерували. Жоден законний сайт не вимагатиме від вас виконання цих кроків.
Internet Explorer і Google Chrome - локальне встановлення сертифіката
Примітка. Незважаючи на те, що Firefox не використовує власне сховище сертифікатів Windows, це все ж рекомендований крок.
Скопіюйте сертифікат, який було експортовано з сервера (PFX) на клієнтський комп'ютер, або переконайтеся, що він доступний по мережевому шляху.
Відкрийте локальне керування сховищем сертифікатів на клієнтському комп'ютері, виконавши ті самі дії, що й вище. Ви зрештою опинитеся на екрані, як показано нижче.
Ліворуч розгорніть Сертифікати > Довірені кореневі центри сертифікації. Клацніть правою клавішею миші теку «Сертифікати» та виберіть команду «Всі завдання» > «Імпорт».
Виберіть сертифікат, який було скопійовано локально на ваш комп "ютер.
Введіть пароль безпеки, призначений під час експорту сертифіката з сервера.
Магазин «Довірені кореневі центри сертифікації» повинен бути заповнений як пункт призначення. Натисніть кнопку «Далі».
Перевірте параметри та натисніть кнопку «Готово».
Ви повинні побачити повідомлення про успіх.
Оновіть перегляд теки «Довірені кореневі центри сертифікації» > «Сертифікати», і ви побачите самозавіряючий сертифікат сервера, вказаний у сховищі.
Як тільки це буде зроблено, ви зможете перейти на сайт HTTPS, який використовує ці сертифікати, і не отримувати попереджень або підказок.
Firefox - Дозволити винятки
Firefox обробляє цей процес трохи по-іншому, оскільки він не читає інформацію про сертифікати зі сховища Windows. Замість встановлення сертифікатів (per se) він дозволяє визначати винятки для SSL-сертифікатів на певних сайтах.
Коли ви відвідуєте сайт з помилкою сертифіката, ви отримаєте попередження, подібне до наведеного нижче. Область, виділена синім кольором, назве відповідний URL, який ви намагаєтеся відкрити. Щоб створити виняток для обігу цього попередження на відповідній URL-адресі, натисніть кнопку «Додати виняток».
У діалоговому вікні «Додати виключення безпеки» клацніть «Підтвердити виключення безпеки», щоб налаштувати цей виняток локально.
Зверніть увагу, що якщо конкретний сайт перенаправляється на субдомени зсередини самого себе, ви можете отримати кілька попереджень безпеки (при цьому кожен раз URL н