SSL on olennainen osa IIS 7.0 -sivustosi suojaamista ja itse allekirjoitetun varmenteen luomista. IIS 7: ssä on paljon helpompi tehdä kuin IIS: n aiemmissa versioissa. SSL-varmenteet mahdollistavat kaiken IIS-verkkosivustollesi lähettämän ja sieltä lähetetyn liikenteen salauksen, estäen muita katselemasta arkaluontoisia tietoja. Se käyttää julkisen avaimen salausta turvallisen yhteyden muodostamiseen. Tämä tarkoittaa, että kaikki julkisella avaimella (SSL-varmenteella) salattu voidaan purkaa vain yksityisellä avaimella ja päinvastoin.
Milloin IIS: n itse allekirjoittamaa sertifikaattia tulee käyttää
Älä koskaan käytä itse allekirjoitettua varmentetta verkkokauppasivustolla tai muulla sivustolla, joka siirtää arvokkaita henkilökohtaisia tietoja, kuten luottokortteja, sosiaaliturvatunnuksia jne.
SSL-varmenteella on useita tarkoituksia: julkisen avaimen jakaminen ja luotettavan kolmannen osapuolen allekirjoittama palvelimen henkilöllisyyden varmistaminen, jotta asiakkaat tietävät, että he eivät lähetä tietojaan (salattuja tai salattuja). ei) väärälle henkilölle. Itse allekirjoitettu varmenne on varmenne, jonka itse allekirjoittanut luotettava kolmas osapuoli. Tämä tarkoittaa, että et voi tarkistaa, että muodostat yhteyden oikeaan palvelimeen, koska kuka tahansa hyökkääjä voi luoda itse allekirjoitetun varmenteen ja käynnistää keskellä olevan ihmisen hyökkäyksen. Tämän vuoksi sinun ei pitäisi koskaan käyttää itse allekirjoitettua varmentetta julkinen IIS-palvelin, joka vaatii tuntemattomia kävijöitä muodostamaan yhteyden sivustoosi. Itse allekirjoitetut varmenteet voivat kuitenkin olla sopivia tietyissä tilanteissa:
- Itse allekirjoitettuja varmenteita voidaan käyttää intranetissä. Kun asiakkailla on vain Jos haluat käydä paikallisen intranetin läpi päästäksesi palvelimelle, ei ole käytännössä mitään mahdollisuutta man-in-the-middle-hyökkäykseen.
- Itse allekirjoitettuja varmenteita voidaan käyttää IIS-kehityspalvelimessa. sinun on käytettävä ylimääräistä käteistä ostamalla luotettava varmenne, kun olet juuri kehittämässä tai testaamassa sovellusta.
- Itse allekirjoitettuja varmenteita voidaan käyttää henkilökohtaisissa sivustoissa, joissa on vähän kävijöitä. Jos sinulla on pieni henkilökohtainen sivusto, joka siirtää muita kuin kriittistä tietoa, jollekin ei ole juurikaan kannustimia hyökätä yhteyden muodostamiseksi.
Muista vain, että kävijät näkevät selaimissaan varoituksen (kuten alla oleva), kun he muodostavat yhteyden IIS-sivustoon, joka käyttää itse allekirjoitettua varmentetta, kunnes se on varastoidaan pysyvästi varmenteidensa varastoon. Älä koskaan käytä itse allekirjoitettua varmentetta verkkokauppasivustolla tai muulla sivustolla, joka siirtää arvokkaita henkilökohtaisia tietoja, kuten luottokortteja, sosiaaliturvatunnuksia jne.
Vertaa luotettavia SSL-varmenteita
Luo IIS: n itse allekirjoittama varmenne
Nyt tiedät, milloin sinun on käytettävä itse allekirjoitettua IIS-varmentetta ja milloin ei. Luodaan nyt yksi:
- Napsauta Käynnistä-valikkoa, siirry Hallintatyökalut-kohtaan ja valitse Internet Information Services (IIS) Manager.
- Napsauta palvelimen nimeä vasemmalla olevassa Yhteydet-sarakkeessa. Kaksoisnapsauta Palvelinvarmenteet.
- Valitse oikealla olevasta Toiminnot-sarakkeesta Luo itse allekirjoitettu varmenne. .
- Kirjoita mikä tahansa ystävällinen nimi ja napsauta sitten OK.
- Sinulla on nyt palvelinvarmenteiden luettelossa IIS: n itse allekirjoittama varmenne, joka on voimassa yhden vuoden. Sertifikaatin yleinen nimi (Issued To) on palvelimen nimi. Nyt meidän täytyy vain sitoa itse allekirjoitettu varmenne IIS-sivustoon.
Sitoa itse allekirjoitettu varmenne
- Laajenna vasemmanpuoleisessa Yhteydet-sarakkeessa Sites-kansio ja napsauta verkkosivustoa, johon haluat sitoa varmenteen. Napsauta oikean sarakkeen kohtaa Sidonnat …
- Napsauta Lisää … -painiketta.
- Vaihda tyypiksi https ja valitse sitten juuri asentamasi SSL-varmenne. Napsauta OK.
- Näet nyt portin 443 sidonnan. Napsauta Sulje.
- Testataan nyt IIS: n itse allekirjoittama varmenne siirtymällä sivustolle selaimessamme https: llä ( esim. https://site1.mydomain.com). Kun teet niin, sinun pitäisi nähdä seuraava varoitus, jossa todetaan, että ”Tämän verkkosivuston esittämä suojaustodistus on annettu eri verkkosivuston osoitteelle” (nimi ei täsmää virhe) ).
Tämä näkyy, koska IIS käyttää palvelimen nimeä (tässä tapauksessa WIN-PABODPHV6W3) yleisenä nimenä, kun se luo itse allekirjoitetun varmenteen. Tämä ei yleensä vastaa isäntänimeä, jota käytät selaimesi sivustoon (site1.omaverkkotunnus.com). Monissa tilanteissa, joissa käytetään IIS: n itse allekirjoittamia varmenteita, tämä ei ole ongelma.Napsauta vain ”Jatka tälle verkkosivustolle” joka kerta. Jos kuitenkin haluat päästä eroon virheilmoituksista kokonaan, sinun on noudatettava seuraavia kahta seuraavaa vaihetta.
Luo itse allekirjoitettu varmenne oikeilla tavallisilla tavoilla Nimi
Tämä vaihe vaaditaan vain, jos haluat päästä eroon näytetystä varoitusviestistä, koska itse allekirjoitetun varmenteen yleinen nimi ei vastaa verkkosivuston isäntänimeä. Tämän ongelman ratkaisemiseksi Meidän on luotava itse allekirjoitettu varmenne samalla menetelmällä, jota käytetään itse allekirjoitetun varmenteen luomiseen IIS 6.0: ssa (SelfSSL: n kanssa IIS: n kautta).
- Lataa Internet Information Services (IIS) 6.0 Resource Kit Tools ja asenna SelfSSL 1.0 (jos teet mukautetun asennuksen, voit poistaa kaiken paitsi SelfSSL: n valinnan). Kun se on asennettu, napsauta Käynnistä-valikkoa, siirry IIS-resursseihin, sitten SelfSSL ja suorita SelfSSL.
- Liitä ja korvaa site1.mydomain.com IIS-sivuston isäntänimellä. Jos saat virheilmoituksen ”Virhe avaamalla metabase: 0x80040154”, ohita se. Sitomme varmenteen manuaalisesti verkkosivustoon.
SelfSSL /N:CN=site1.mydomain.com /V:1000
- Kun komento on valmis, sinulla on IIS: n itse allekirjoittama varmenne, jolla on oikea yleinen nimi IIS: n Palvelinvarmenteet-osassa. Seuraa nyt yllä olevia ohjeita sitoa varmenne IIS-verkkosivustoosi.
- Kun olet sitonut uuden varmenteen IIS-järjestelmään sivustossa, käy siinä https-selaimella selaimessasi, ja saat virheilmoituksen: ”Luotettava varmentaja ei ole myöntänyt tämän verkkosivuston esittämää suojaustodistusta” (SSL-varmenteen ei luotettu virhe)
Älä huoli, tämä on viimeinen virhe, joka meidän on korjattava. Tämä on normaali virhe itsellesi allekirjoitetut varmenteet, koska varmenne on allekirjoitettu itse luotettavan SSL-palveluntarjoajan sijasta. Kaikki sivuston vierailijat näkevät tämän virheen, elleivät he tuo itse allekirjoitettua varmentetta Trusted Root Certification Authorities -myymälään (tai selaimen asianmukaiseen SSL-varmentesäilöön). Voit helposti lisätä IIS: n itse allekirjoittaman varmenteen palvelimen myymälään noudattamalla seuraavia ohjeita. Jos sinun on tuotava varmenne toiselle Windows-koneelle, noudata ohjeita siirtämällä tai kopioimalla SSL-varmenne Windows-palvelimelta.
Lisää itse allekirjoitettu varmenne luotettuihin juurivarmentajiin
- Napsauta Käynnistä-valikkoa ja valitse Suorita.
- Kirjoita mmc ja napsauta OK.
- Napsauta tiedostoa -valikosta ja napsauta Lisää / poista laajennus … = ”fadf1b2549”>
- Napsauta Tietokonetili ja valitse Seuraava.
- Jätä paikallinen tietokone valittuna ja valitse Valmis.
- Laajenna vasemmalla oleva Varmenteet-kohde ja laajenna Henkilökohtainen kansio . Napsauta Sertifikaatit-kansiota ja napsauta hiiren kakkospainikkeella juuri luomasi itse allekirjoittamaa sertifikaattia ja valitse Kopioi.
- Laajenna Trusted Root Certification Authorities -kansio ja napsauta sen alla olevaa Certificates-kansiota. Napsauta hiiren kakkospainikkeella varmenteiden alla olevaa valkoista aluetta ja napsauta Liitä.
- Nyt voit käydä sivustollasi https: n avulla verkkoselain ja sinun ei pitäisi saada virheitä, koska Windows luottaa nyt automaattisesti IIS: n itse allekirjoittamaan varmenteesi.
Lisätietoja IIS: n itse allekirjoittaman varmenteen luomisesta on seuraavissa linkeissä:
- SSL-varmenteen asentaminen Windows Server 2008 (IIS 7.0)
- Vihje / temppu : SSL: n ottaminen käyttöön IIS 7.0: ssa käyttämällä itse allekirjoitettuja varmenteita
- IIS: n itse allekirjoittamat varmenteet IIS 7: ssä – helppo tapa ja tehokkain tapa
Lähetetty alun perin lauantaina 23. 2010