SSL je nezbytnou součástí zabezpečení vašeho serveru IIS 7.0 a vytváření certifikátu podepsaného svým držitelem ve službě IIS 7 je mnohem snazší než v předchozích verzích služby IIS. Certifikáty SSL umožňují šifrování veškerého provozu odesílaného na váš web IIS a z něj, což ostatním brání v prohlížení citlivých informací. K navázání zabezpečeného připojení využívá kryptografii veřejného klíče. To znamená, že cokoli zašifrované pomocí veřejného klíče (certifikát SSL) lze dešifrovat pouze pomocí soukromého klíče a naopak.
Kdy použít certifikát IIS podepsaný sám sebou
Nikdy nepoužívejte certifikát podepsaný svým držitelem na webu elektronického obchodování ani na jiných webech, které přenášejí cenné osobní údaje, jako jsou kreditní karty, čísla sociálního zabezpečení atd.
Certifikát SSL má několik účelů: distribuci veřejného klíče a při podpisu důvěryhodnou třetí stranou ověření identity serveru, aby klienti věděli, že neposílají své informace (šifrované nebo ne) nesprávné osobě. Certifikát podepsaný svým držitelem je certifikát, který je podepsán sám sebou, nikoli důvěryhodnou třetí stranou. To znamená, že nemůžete ověřit, že se připojujete ke správnému serveru, protože každý útočník může vytvořit certifikát s vlastním podpisem a zahájit útok typu man-in-the-middle. Z tohoto důvodu byste téměř nikdy neměli používat certifikát s vlastním podpisem na veřejný server IIS, který vyžaduje, aby se k vašemu webu připojili anonymní návštěvníci. Certifikáty s vlastním podpisem však mohou být v určitých situacích vhodné:
- Certifikáty s vlastním podpisem lze použít na intranetu. Když klienti mají pouze projít místním intranetem a dostat se na server, neexistuje prakticky žádná šance na útok typu man-in-the-middle.
- Na vývojovém serveru IIS lze použít certifikáty s vlastním podpisem. musíte utrácet peníze navíc nákupem důvěryhodného certifikátu, když vyvíjíte nebo testujete aplikaci.
- Certifikáty s vlastním podpisem lze použít na osobních webech s malým počtem návštěvníků. Pokud máte malý osobní web, který přenáší kritické informace, existuje pro někoho velmi malá pobídka zaútočit na připojení.
Nezapomeňte, že návštěvníci uvidí ve svých prohlížečích varování (jako je ten níže), když se připojí k webu IIS, který používá certifikát podepsaný svým držitelem, dokud nebude trvale uloženy v jejich úložišti certifikátů. Nikdy nepoužívejte certifikát podepsaný svým držitelem na webu elektronického obchodu ani na webu, který přenáší cenné osobní údaje, jako jsou kreditní karty, čísla sociálního zabezpečení atd.
Porovnat důvěryhodné certifikáty SSL
Vygenerujte si svůj IIS certifikát podepsaný sám sebou
Nyní víte, kdy použít IIS certifikát podepsaný sám sebou a kdy ne. Nyní vytvořme jeden:
- Klikněte na nabídku Start, přejděte do Nástroje pro správu a klikněte na Správce Internetové informační služby (IIS).
- Klikněte na název serveru ve sloupci Připojení vlevo. Poklepejte na Certifikáty serveru.
- Ve sloupci Akce vpravo klikněte na Vytvořit certifikát podepsaný sám sebou. .
- Zadejte libovolný popisný název a klikněte na OK.
- Nyní budete mít certifikát IIS s vlastním podpisem platný po dobu 1 roku uvedený v části Certifikáty serveru. Obecný název certifikátu (Vydáno komu) je název serveru. Nyní stačí svázat certifikát podepsaný sám sebou na web IIS.
Svázat certifikát podepsaný sám sebou
- Ve sloupci Připojení vlevo rozbalte složku weby a klikněte na web, ke kterému chcete certifikát vázat. Klikněte na Vazby … v pravém sloupci.
- Klikněte na tlačítko Přidat ….
- Změňte typ na https a poté vyberte certifikát SSL, který jste právě nainstalovali. Klikněte na OK.
- Nyní uvidíte uvedenou vazbu pro port 443. Klikněte na Zavřít.
- Nyní otestujeme certifikát IIS s vlastním podpisem tak, že přejdete na web s https v našem prohlížeči ( např. https://site1.mydomain.com). Pokud tak učiníte, mělo by se zobrazit následující varování, že „Bezpečnostní certifikát předložený tímto webem byl vydán pro adresu jiného webu“ (chyba neshody názvu ).
Toto se zobrazí, protože služba IIS vždy používá jako běžný název název serveru (v tomto případě WIN-PABODPHV6W3) vytvoří certifikát podepsaný svým držitelem. Obvykle se neshoduje s názvem hostitele, který používáte k přístupu na web ve svém prohlížeči (site1.mydomain.com). V mnoha situacích, kdy se používají certifikáty IIS podepsané svým držitelem, to není problém.Stačí pokaždé kliknout na „Pokračovat na tento web“. Pokud se však chcete chybových zpráv úplně zbavit, budete muset postupovat podle následujících dvou kroků níže.
Vygenerujte certifikát podepsaný sám sebou správným společným Název
Tento krok je vyžadován pouze v případě, že se chcete zbavit zobrazené varovné zprávy, protože běžný název v certifikátu podepsaném svým držitelem neodpovídá názvu hostitele webu. Abychom tento problém vyřešili, Budeme muset vytvořit certifikát podepsaný svým držitelem pomocí stejné metody, která se používá k vytvoření certifikátu podepsaného svým držitelem ve službě IIS 6.0 (pomocí SelfSSL místo prostřednictvím IIS).
- Stáhnout Internetovou informační službu (IIS) 6.0 Resource Kit Tools a nainstalujte SelfSSL 1.0 (pokud provedete vlastní instalaci, můžete zrušit zaškrtnutí všeho kromě SelfSSL). Po instalaci klikněte na nabídku Start, přejděte na Zdroje IIS, poté SelfSSL a spusťte SelfSSL.
- Vložit v následujícím příkazu a nahraďte web1.mydomain.com názvem hostitele vašeho serveru IIS. Pokud se zobrazí chybová zpráva „Chyba při otevírání metabáze: 0x80040154“, jednoduše ji ignorujte. Certifikát ručně navážeme na web.
SelfSSL /N:CN=site1.mydomain.com /V:1000
- Po dokončení příkazu budete mít certifikát IIS s vlastním podpisem se správným běžným názvem uvedeným v části Certifikáty serveru služby IIS. Nyní podle výše uvedených pokynů připojte certifikát k vašemu webu IIS.
- Poté, co jste nový certifikát svázali s vaší IIS navštivte web s https ve vašem webovém prohlížeči a setkáte se s další chybou: „Bezpečnostní certifikát předložený tímto webem nebyl vydán důvěryhodnou certifikační autoritou.“ (chyba certifikátu SSL není důvěryhodná)
Nemějte obavy; toto je poslední chyba, kterou budeme muset opravit. Toto je běžná chyba pro sebe podepsané certifikáty, protože certifikát je podepsán sám namísto důvěryhodného poskytovatele SSL. Všem návštěvníkům webu se tato chyba zobrazí, pokud neimportují certifikát podepsaný svým držitelem do svého úložiště důvěryhodných kořenových certifikačních autorit (nebo do příslušného úložiště certifikátů SSL pro prohlížeč). používají). Certifikát s vlastním podpisem IIS můžete snadno přidat do úložiště na serveru podle následujících pokynů. Pokud potřebujete importovat certifikát na jiném počítači se systémem Windows, postupujte podle pokynů k přesunutí nebo zkopírování Certifikát SSL ze serveru Windows.
Přidejte certifikát podepsaný sám sebou důvěryhodným kořenovým certifikačním úřadům
- Klikněte na nabídku Start a klikněte na příkaz Spustit.
- Zadejte mmc a klikněte na OK.
- Klikněte na soubor v nabídce a klikněte na Přidat nebo odebrat modul snap-in …
- Poklepejte na Certifikáty.
- Klikněte na Účet počítače a klikněte na Další.
- Nechejte vybraný Místní počítač a klikněte na Dokončit.
- Rozbalte položku Certifikáty vlevo a rozbalte složku Osobní. . Klikněte na složku Certifikáty a klikněte pravým tlačítkem na certifikát s vlastním podpisem, který jste právě vytvořili, a vyberte Kopírovat.
- Rozbalte Složka Důvěryhodné kořenové certifikační úřady a pod ní klikněte na složku Certifikáty. Klikněte pravým tlačítkem do bílé oblasti pod certifikáty a klikněte na Vložit.
- Nyní můžete navštívit svůj web s https ve vašem webový prohlížeč a neměli byste dostávat žádné chyby, protože systém Windows nyní automaticky důvěřuje vašemu certifikátu IIS podepsanému svým držitelem.
Další informace o generování certifikátu IIS s vlastním podpisem naleznete na následujících odkazech:
- Instalace certifikátu SSL v systému Windows Server 2008 (IIS 7.0)
- Tip / trik : Povolení SSL ve službě IIS 7.0 pomocí certifikátů s vlastním podpisem
- Certifikáty s vlastním podpisem IIS ve službě IIS 7 – snadná a nejefektivnější cesta
Původně zveřejněno v so 23. 2010
