Αρχική σελίδα » πως να » IT Πώς να δημιουργήσετε ένα πιστοποιητικό SSL (Self signed security) και να το αναπτύξετε σε υπολογιστές-πελάτες

    IT Πώς να δημιουργήσετε ένα πιστοποιητικό SSL (Self signed security) και να το αναπτύξετε σε υπολογιστές-πελάτες

    Οι προγραμματιστές και οι διαχειριστές πληροφορικής έχουν, χωρίς αμφιβολία, την ανάγκη να αναπτύξουν κάποιον ιστότοπο μέσω του HTTPS χρησιμοποιώντας ένα πιστοποιητικό SSL. Ενώ αυτή η διαδικασία είναι αρκετά απλή για έναν τόπο παραγωγής, για τους σκοπούς της ανάπτυξης και των δοκιμών μπορεί να βρείτε την ανάγκη να χρησιμοποιήσετε και ένα πιστοποιητικό SSL εδώ.

    Ως εναλλακτική λύση στην αγορά και ανανέωση ενός ετήσιου πιστοποιητικού, μπορείτε να αξιοποιήσετε την ικανότητά του Windows Server να δημιουργήσει ένα αυτογραφόμενο πιστοποιητικό το οποίο είναι βολικό και εύκολο και θα πρέπει να ανταποκρίνεται τέλεια σε τέτοιου είδους ανάγκες.

    Δημιουργία πιστοποιητικού αυτοελέγχου στην υπηρεσία IIS

    Παρόλο που υπάρχουν διάφοροι τρόποι για να εκτελέσετε το έργο της δημιουργίας ενός πιστοποιητικού που έχει υπογράψει ο ίδιος, θα χρησιμοποιήσουμε το βοηθητικό πρόγραμμα SelfSSL της Microsoft. Δυστυχώς, αυτό δεν μεταφέρεται με το IIS, αλλά είναι ελεύθερα διαθέσιμο ως τμήμα του IIS 6.0 Resource Toolkit (σύνδεσμος που παρέχεται στο κάτω μέρος αυτού του άρθρου). Παρά το όνομα "IIS 6.0" αυτό το βοηθητικό πρόγραμμα λειτουργεί καλά σε IIS 7.

    Το μόνο που απαιτείται είναι να εξαγάγετε το IIS6RT για να αποκτήσετε το βοηθητικό πρόγραμμα selfssl.exe. Από εδώ, μπορείτε να την αντιγράψετε στον κατάλογο των Windows ή σε μια διαδρομή δικτύου / μονάδα USB για μελλοντική χρήση σε άλλο μηχάνημα (έτσι δεν χρειάζεται να κάνετε λήψη και εξαγωγή του πλήρους IIS6RT).

    Μόλις εγκαταστήσετε το βοηθητικό πρόγραμμα SelfSSL, εκτελέστε την ακόλουθη εντολή (ως Διαχειριστής), αντικαθιστώντας τις τιμές στις κατάλληλες:

    selfssl / N: CN = / V:

    Το παρακάτω παράδειγμα παράγει ένα αυθεντικό πιστοποιητικό μπαλαντέρ έναντι του "mydomain.com" και ορίζει ότι ισχύει για 9,999 ημέρες. Επιπλέον, απαντώντας ναι στην προτροπή, αυτό το πιστοποιητικό ρυθμίζεται αυτόματα για να δεσμευτεί στη θύρα 443 μέσα στην προεπιλεγμένη τοποθεσία Web της υπηρεσίας IIS.

    Ενώ σε αυτό το σημείο το πιστοποιητικό είναι έτοιμο για χρήση, αποθηκεύεται μόνο στο κατάστημα ατομικών πιστοποιητικών του διακομιστή. Είναι μια βέλτιστη πρακτική να έχετε επίσης αυτό το πιστοποιητικό που έχει οριστεί και στην αξιόπιστη ρίζα.

    Μεταβείτε στην επιλογή Έναρξη> Εκτέλεση (ή Windows Key + R) και πληκτρολογήστε "mmc". Ενδέχεται να λάβετε μια προτροπή UAC, να την αποδεχτείτε και να ανοίξει μια κενή κονσόλα διαχείρισης.

    Στην κονσόλα, μεταβείτε στην επιλογή Αρχείο> Προσθήκη / Κατάργηση συμπληρωματικού στοιχείου.

    Προσθέστε Πιστοποιητικά από την αριστερή πλευρά.

    Επιλέξτε Λογαριασμός Υπολογιστή.

    Επιλέξτε Τοπικό υπολογιστή.

    Κάντε κλικ στο OK για να προβάλετε το κατάστημα τοπικού πιστοποιητικού.

    Μεταβείτε στην επιλογή Προσωπικά> Πιστοποιητικά και εντοπίστε το πιστοποιητικό που ορίσατε χρησιμοποιώντας το βοηθητικό πρόγραμμα SelfSSL. Κάντε δεξί κλικ στο πιστοποιητικό και επιλέξτε Αντιγραφή.

    Πλοηγηθείτε στα πιστοποιητικά αξιόπιστων αρχών πιστοποίησης> Πιστοποιητικά. Κάντε δεξί κλικ στο φάκελο Πιστοποιητικά και επιλέξτε Επικόλληση.

    Μια καταχώρηση για το πιστοποιητικό SSL θα πρέπει να εμφανίζεται στη λίστα.

    Σε αυτό το σημείο, ο διακομιστής σας δεν θα έχει κανένα πρόβλημα να εργάζεται με το πιστοποιητικό που έχει υπογράψει.

    Εξαγωγή πιστοποιητικού

    Εάν πρόκειται να αποκτήσετε πρόσβαση σε έναν ιστότοπο που χρησιμοποιεί το πιστοποιητικό SSL που έχει υπογράψει αυτόνομα σε οποιοδήποτε μηχάνημα-πελάτη (δηλαδή σε οποιονδήποτε υπολογιστή δεν είναι ο διακομιστής), προκειμένου να αποφευχθεί πιθανή επίθεση σφαλμάτων πιστοποιητικών και προειδοποιήσεων, σε κάθε μηχανή πελατών (την οποία θα συζητήσουμε λεπτομερώς παρακάτω). Για να γίνει αυτό, πρέπει πρώτα να εξαγάγουμε το αντίστοιχο πιστοποιητικό έτσι ώστε να μπορεί να εγκατασταθεί στους πελάτες.

    Μέσα από την κονσόλα που έχει φορτωθεί η Διαχείριση πιστοποιητικών, μεταβείτε στις Υπηρεσίες αξιόπιστων πιστοποιητικών ρίζας> Πιστοποιητικά. Εντοπίστε το πιστοποιητικό, κάντε δεξί κλικ και επιλέξτε Όλες οι εργασίες> Εξαγωγή.

    Όταν σας ζητηθεί να εξαγάγετε το ιδιωτικό κλειδί, επιλέξτε Ναι. Κάντε κλικ στο κουμπί Επόμενο.

    Αφήστε τις προεπιλεγμένες επιλογές για τη μορφή αρχείου και κάντε κλικ στο κουμπί Επόμενο.

    Εισαγετε εναν κωδικο. Αυτό θα χρησιμοποιηθεί για την προστασία του πιστοποιητικού και οι χρήστες δεν θα μπορέσουν να το εισαγάγουν τοπικά χωρίς να εισάγουν αυτόν τον κωδικό πρόσβασης.

    Καταχωρίστε μια θέση για την εξαγωγή του αρχείου πιστοποιητικού. Θα είναι σε μορφή PFX.

    Επιβεβαιώστε τις ρυθμίσεις σας και κάντε κλικ στο Τέλος.

    Το προκύπτον αρχείο PFX είναι αυτό που θα εγκατασταθεί στις μηχανές-πελάτες σας για να τους ενημερώσετε ότι το πιστοποιητικό που έχετε υπογράψει είναι από μια αξιόπιστη πηγή.

    Ανάπτυξη σε μηχανές πελατών

    Αφού έχετε δημιουργήσει το πιστοποιητικό στην πλευρά του διακομιστή και έχετε τα πάντα σε λειτουργία, ίσως παρατηρήσετε ότι όταν ένα μηχάνημα-πελάτης συνδέεται με την αντίστοιχη διεύθυνση URL, εμφανίζεται μια προειδοποίηση πιστοποιητικού. Αυτό συμβαίνει επειδή η αρχή πιστοποιητικού (ο διακομιστής σας) δεν αποτελεί αξιόπιστη πηγή για πιστοποιητικά SSL στον υπολογιστή-πελάτη.

    Μπορείτε να κάνετε κλικ στις προειδοποιήσεις και να αποκτήσετε πρόσβαση στον ιστότοπο, ωστόσο ενδέχεται να λάβετε επαναλαμβανόμενες ειδοποιήσεις με τη μορφή γραμμής διευθύνσεων URL ή επαναλαμβανόμενων προειδοποιήσεων πιστοποιητικού. Για να αποφύγετε αυτήν την ενόχληση, πρέπει απλώς να εγκαταστήσετε το προσαρμοσμένο πιστοποιητικό ασφαλείας SSL στο μηχάνημα-πελάτη.

    Ανάλογα με το πρόγραμμα περιήγησης που χρησιμοποιείτε, αυτή η διαδικασία μπορεί να διαφέρει. Το IE και το Chrome διαβάζουν από το χώρο αποθήκευσης πιστοποιητικών των Windows, ωστόσο ο Firefox διαθέτει μια προσαρμοσμένη μέθοδο χειρισμού πιστοποιητικών ασφαλείας.

    Σημαντική σημείωση: Θα έπρεπε ποτέ να εγκαταστήσετε ένα πιστοποιητικό ασφαλείας από μια άγνωστη πηγή. Στην πράξη, θα πρέπει να εγκαταστήσετε μόνο ένα πιστοποιητικό τοπικά, αν το δημιούργησε. Κανένας νόμιμος ιστότοπος δεν απαιτεί να εκτελέσετε αυτά τα βήματα.

    Internet Explorer & Google Chrome - Τοποθέτηση του πιστοποιητικού τοπικά

    Σημείωση: Παρόλο που ο Firefox δεν χρησιμοποιεί το εγγενές κατάστημα πιστοποιητικών των Windows, αυτό εξακολουθεί να συνιστά ένα βήμα.

    Αντιγράψτε το πιστοποιητικό που εξήχθη από το διακομιστή (το αρχείο PFX) στο μηχάνημα-πελάτη ή βεβαιωθείτε ότι είναι διαθέσιμο σε μια διαδρομή δικτύου.

    Ανοίξτε τη διαχείριση τοπικού καταστήματος πιστοποιητικών στο μηχάνημα-πελάτη χρησιμοποιώντας τα ίδια ακριβώς βήματα όπως παραπάνω. Τελικά θα καταλήξετε σε μια οθόνη όπως αυτή που ακολουθεί.

    Στην αριστερή πλευρά, αναπτύξτε τα Πιστοποιητικά> Αρχές πιστοποίησης ρωγμών ρίζας. Κάντε δεξί κλικ στο φάκελο Πιστοποιητικά και επιλέξτε Όλες οι εργασίες> Εισαγωγή.

    Επιλέξτε το πιστοποιητικό που αντιγράφηκε τοπικά στο μηχάνημά σας.

    Εισαγάγετε τον κωδικό ασφαλείας που έχει εκχωρηθεί όταν εξαχθεί το πιστοποιητικό από το διακομιστή.

    Το κατάστημα "Αξιόπιστες αρχές πιστοποίησης ρίζας" πρέπει να είναι προπληρωμένο ως προορισμός. Κάντε κλικ στο κουμπί Επόμενο.

    Ελέγξτε τις ρυθμίσεις και κάντε κλικ στο Τέλος.

    Θα πρέπει να δείτε ένα μήνυμα επιτυχίας.

    Ανανεώστε την προβολή του φακέλου Αρχή Πιστοποίησης για τις Πιστοποιημένες Ρίζες> Πιστοποιητικά και θα πρέπει να δείτε το πιστοποιητικό αυτόματης υπογραφής του διακομιστή που παρατίθεται στο κατάστημα.

    Κάτι τέτοιο γίνεται, θα πρέπει να μπορείτε να περιηγηθείτε σε έναν ιστότοπο HTTPS που χρησιμοποιεί αυτά τα πιστοποιητικά και δεν λαμβάνει προειδοποιήσεις ή προτροπές.

    Firefox - Επιτρέπονται εξαιρέσεις

    Ο Firefox χειρίζεται αυτή τη διαδικασία λίγο διαφορετικά, καθώς δεν διαβάζει πληροφορίες πιστοποιητικών από το κατάστημα των Windows. Αντί να εγκαταστήσετε πιστοποιητικά (per-se), σας επιτρέπει να ορίσετε εξαιρέσεις για πιστοποιητικά SSL σε συγκεκριμένους ιστότοπους.

    Όταν επισκέπτεστε έναν ιστότοπο ο οποίος έχει ένα σφάλμα πιστοποιητικού, θα λάβετε μια προειδοποίηση όπως αυτή που ακολουθεί. Η μπλε περιοχή θα ονομάσει την αντίστοιχη διεύθυνση URL που προσπαθείτε να αποκτήσετε πρόσβαση. Για να δημιουργήσετε μια εξαίρεση για να παρακάμψετε αυτήν την προειδοποίηση στην αντίστοιχη διεύθυνση URL, κάντε κλικ στο κουμπί Προσθήκη εξαιρέσεων.

    Στο παράθυρο διαλόγου "Εξαίρεση ασφαλείας", κάντε κλικ στην επιλογή "Επιβεβαίωση εξαίρεσης ασφαλείας", για να διαμορφώσετε αυτήν την εξαίρεση τοπικά.

    Σημειώστε ότι εάν ένας συγκεκριμένος ιστότοπος ανακατευθύνει σε υποτομείς από μέσα του, ενδέχεται να λάβετε πολλαπλές προειδοποιήσεις ασφαλείας (με τη διεύθυνση URL ελαφρώς διαφορετική κάθε φορά). Προσθέστε εξαιρέσεις για αυτές τις διευθύνσεις URL χρησιμοποιώντας τα ίδια βήματα όπως παραπάνω.

    συμπέρασμα

    Αξίζει να επαναλάβετε την παραπάνω ανακοίνωση που πρέπει να κάνετε ποτέ να εγκαταστήσετε ένα πιστοποιητικό ασφαλείας από μια άγνωστη πηγή. Στην πράξη, θα πρέπει να εγκαταστήσετε μόνο ένα πιστοποιητικό τοπικά, αν το δημιούργησε. Κανένας νόμιμος ιστότοπος δεν απαιτεί να εκτελέσετε αυτά τα βήματα.

    Συνδέσεις

    Κάντε λήψη του IIS 6.0 Resource Toolkit (περιλαμβάνει το βοηθητικό πρόγραμμα SelfSSL) από τη Microsoft