דף הבית » איך ל » כיצד ליצור עצמית חתום אבטחה (SSL) תעודת ולפרוס אותו מכונות הלקוח

    כיצד ליצור עצמית חתום אבטחה (SSL) תעודת ולפרוס אותו מכונות הלקוח

    למפתחים ולמנהלי IT יש, ללא ספק, את הצורך לפרוס אתר כלשהו באמצעות HTTPS באמצעות אישור SSL. בעוד תהליך זה הוא פשוט למדי עבור אתר הייצור, לצורך פיתוח ובדיקה אתה עשוי למצוא את הצורך להשתמש אישור SSL גם כאן.

    כחלופה לרכישה ולחידוש תעודה שנתית, באפשרותך למנף את יכולת Windows Server שלך ליצור אישור חתום עצמית שהוא נוח, קל ועליו לעמוד בצרכים אלה של צרכים בצורה מושלמת.

    יצירת אישור עם חתימה עצמית ב- IIS

    אמנם יש כמה דרכים לבצע את המשימה של יצירת אישור חתום עצמי, נשתמש כלי השירות SelfSSL של מיקרוסופט. למרבה הצער, זה לא הספינה עם IIS אבל זה זמין באופן חופשי כחלק IIS 6.0 Resource Toolkit (הקישור המסופק בחלק התחתון של מאמר זה). למרות השם "IIS 6.0" כלי זה עובד בסדר גמור ב- IIS 7.

    כל מה שנדרש הוא לחלץ את IIS6RT כדי לקבל את השירות selfssl.exe. מכאן תוכל להעתיק אותו לספריית Windows או לנתיב רשת / כונן USB לשימוש עתידי במכשיר אחר (כך שאין צורך להוריד ולחלץ את IIS6RT המלא).

    ברגע שיש לך את כלי השירות SelfSSL במקום, הפעל את הפקודה הבאה (כמנהל) להחליף את הערכים לפי הצורך:

    selfssl / N: CN = / V:

    הדוגמה שלהלן מייצרת אישור חתום עצמי חתום נגד "mydomain.com" ומגדיר אותו תקף עבור 9,999 ימים. בנוסף, על ידי מענה כן להנחיה, אישור זה מוגדר באופן אוטומטי כדי לקשור ליציאה 443 בתוך אתר האינטרנט של ברירת המחדל של IIS.

    בעוד בשלב זה התעודה מוכנה לשימוש, היא מאוחסנת רק בחנות האישורים האישיים בשרת. זהו הנוהג הטוב ביותר יש גם אישור זה מוגדר שורש מהימן גם כן.

    עבור אל התחל> הפעלה (או Windows Key + R) והזן "mmc". ייתכן שתקבל הנחיה של UAC, תקבל אותה ותפתח מסוף ניהול ריק.

    במסוף, עבור אל קובץ> הוספה / הסרה של Snap-in.

    הוסף אישורים מצד שמאל.

    בחר חשבון מחשב.

    בחר במחשב מקומי.

    לחץ על אישור כדי להציג את החנות 'אישור מקומי'.

    נווט אל אישי> אישורים ואתר את האישור שאתה מגדיר באמצעות כלי השירות SelfSSL. לחץ לחיצה ימנית על האישור ובחר העתק.

    נווט אל 'אישורי שורש מהימנים'> 'אישורים'. לחץ לחיצה ימנית על התיקייה אישורים ובחר הדבק.

    רשומה עבור אישור SSL צריכה להופיע ברשימה.

    בשלב זה, השרת שלך צריך להיות שום בעיות בעבודה עם האישור חתום עצמי.

    ייצוא התעודה

    אם אתה הולך להיות גישה לאתר אשר משתמש עצמית חתום אישור SSL על כל מחשב הלקוח (כלומר כל מחשב שאינו השרת), על מנת למנוע הסתערות פוטנציאלית של שגיאות אישור ואזהרות את האישור חתום עצמי צריך להיות מותקן על כל אחד מהמכונות הלקוח (אשר נדון בפירוט בהמשך). לשם כך, תחילה עלינו לייצא את התעודה המתאימה, כך שניתן יהיה להתקין אותה על הלקוחות.

    בתוך המסוף עם ניהול האישורים שנטענים, נווט אל 'אישורי שורש מהימנים'> 'אישורים'. אתר את האישור, לחץ באמצעות לחצן העכבר הימני ובחר את כל המשימות> יצא.

    כאשר תתבקש לייצא את המפתח הפרטי, בחר כן. הקש "הבא.

    השאר את אפשרויות ברירת המחדל עבור פורמט הקובץ ולחץ על הבא.

    הכנס סיסמא. פעולה זו תשמש להגנה על התעודה, והמשתמשים לא יוכלו לייבא אותה באופן מקומי מבלי להזין סיסמה זו.

    הזן מיקום כדי לייצא את קובץ האישור. זה יהיה בפורמט PFX.

    אשר את ההגדרות ולחץ על סיום.

    קובץ PFX המתקבל הוא מה יותקן במכונות הלקוח שלך כדי לומר להם כי האישור שלך חתום עצמית הוא ממקור מהימן.

    פריסה למכונות לקוח

    לאחר שיצרת את האישור בצד השרת והכל עובד, ייתכן שתבחין בכך שכאשר מחשב לקוח מתחבר לכתובת האתר המתאימה, תוצג אזהרת אישור. מצב זה קורה מכיוון שרשות האישורים (השרת שלך) אינה מקור מהימן עבור אישורי SSL בלקוח.

    תוכל ללחוץ על האזהרות ולגשת לאתר, אולם ייתכן שתקבל הודעות חוזרות ונשנות בצורת שורת כתובת מודגשת או אזהרות אישור חוזרות. כדי למנוע את המטרד הזה, אתה פשוט צריך להתקין את תעודת האבטחה SSL אישית על מכונת הלקוח.

    בהתאם לדפדפן שבו אתה משתמש, תהליך זה עשוי להשתנות. IE ו- Chrome שניהם קוראים מחנות האישורים של Windows, אולם ל- Firefox יש שיטה מותאמת אישית לטיפול באישורי אבטחה.

    הערה חשובה: אתה צריך לעולם לא התקן תעודת אבטחה ממקור לא ידוע. בפועל, עליך להתקין אישור מקומי רק אם יצרת אותו. אתר אינטרנט חוקי לא יחייב אותך לבצע את השלבים הבאים.

    התקנה של האישור באופן מקומי

    הערה: למרות ש- Firefox אינו משתמש בחנות האישורים המקורית של Windows, זהו עדיין שלב מומלץ.

    העתק את האישור שיוצא מהשרת (קובץ PFX) למכשיר הלקוח או ודא שהוא זמין בנתיב רשת.

    פתח את ניהול חנות האישורים המקומי במחשב הלקוח תוך שימוש באותם השלבים הנ"ל. בסופו של דבר אתה בסופו של דבר על המסך כמו אחד למטה.

    בצד שמאל, הרחב את אישורים> רשויות אישור שורש מהימנות. לחץ לחיצה ימנית על התיקייה אישורים ובחר כל המשימות> ייבוא.

    בחר את האישור שהועתק באופן מקומי למכשיר שלך.

    הזן את סיסמת האבטחה שהוקצתה כאשר האישור יצא מהשרת.

    החנות "רשויות אישורים מהימנות של שורש" חייבת להיות מוכנסת מראש ליעד. הקש "הבא.

    עיין בהגדרות ולחץ על Finish (סיום).

    אתה אמור לראות הודעת הצלחה.

    רענן את התצוגה של רשויות אישורי הבסיס המהימנות> תיקיית אישורים ואתה אמור לראות את האישור החתימתי של השרת הרשומים בחנות.

    אחד מהם נעשה, אתה אמור להיות מסוגל לגלוש אל אתר HTTPS המשתמשת אישורים אלה לא מקבלים אזהרות או הנחיות.

    - מותר חריגים

    פיירפוקס מטפל תהליך זה קצת אחרת כפי שהוא אינו קורא מידע אישור מחנות Windows. במקום להתקין אישורים (per-se), הוא מאפשר לך להגדיר חריגים עבור אישורי SSL באתרים מסוימים.

    כאשר אתה מבקר באתר שבו יש שגיאת אישור, תקבל אזהרה כמו זה למטה. האזור בכחול יקרא את כתובת האתר המתאימה שאליה אתה מנסה לגשת. כדי ליצור חריגה כדי לעקוף את האזהרה הזו בכתובת האתר המתאימה, לחץ על הלחצן הוסף חריגה.

    בתיבת הדו-שיח הוספת חריג אבטחה, לחץ על אישור אבטחה חריגה כדי להגדיר את החריג הזה באופן מקומי.

    שים לב שאם אתר מסוים מפנה מחדש לתת-דומיינים מתוך עצמו, ייתכן שתקבל מספר אזהרות לגבי אזהרת אבטחה (עם כתובת האתר שונה במקצת בכל פעם). הוסף חריגים לכתובות האתרים האלה באמצעות אותם השלבים כמפורט למעלה.

    סיכום

    כדאי לחזור על ההודעה לעיל כי אתה צריך לעולם לא התקן תעודת אבטחה ממקור לא ידוע. בפועל, עליך להתקין אישור מקומי רק אם יצרת אותו. אתר אינטרנט חוקי לא יחייב אותך לבצע את השלבים הבאים.

    קישורים

    הורד את IIS 6.0 Resource Toolkit (כולל כלי השירות SelfSSL) ממיקרוסופט