Come creare un certificato autofirmato in IIS 7

SSL è una parte essenziale della protezione del sito IIS 7.0 e della creazione di un certificato autofirmato in IIS 7 è molto più facile da fare rispetto alle versioni precedenti di IIS. I certificati SSL consentono la crittografia di tutto il traffico inviato da e verso il tuo sito web IIS, impedendo ad altri di visualizzare informazioni sensibili. Utilizza la crittografia a chiave pubblica per stabilire una connessione sicura. Ciò significa che qualsiasi cosa crittografata con una chiave pubblica (il certificato SSL) può essere decrittografata solo con la chiave privata e viceversa.

Quando utilizzare un certificato autofirmato IIS

Non utilizzare mai un certificato autofirmato su un sito di e-commerce o qualsiasi sito che trasferisce preziose informazioni personali come carte di credito, numeri di previdenza sociale, ecc.

Un certificato SSL ha molteplici scopi: distribuire la chiave pubblica e, se firmato da una terza parte fidata, verificare l’identità del server in modo che i client sappiano che non stanno inviando le loro informazioni (crittografate o non) alla persona sbagliata. Un certificato autofirmato è un certificato firmato da solo anziché da una terza parte fidata. Ciò significa che non puoi verificare che ti stai connettendo al server corretto perché qualsiasi utente malintenzionato può creare un certificato autofirmato e lanciare un attacco man-in-the-middle. Per questo motivo, non dovresti quasi mai utilizzare un certificato autofirmato su un server IIS pubblico che richiede ai visitatori anonimi di connettersi al tuo sito. Tuttavia, i certificati autofirmati possono essere appropriati in determinate situazioni:

  • I certificati autofirmati possono essere utilizzati su una intranet. Quando i client hanno solo per passare attraverso una intranet locale per accedere al server, non c’è praticamente alcuna possibilità di un attacco man-in-the-middle.
  • I certificati autofirmati possono essere utilizzati su un server di sviluppo IIS. è necessario spendere denaro extra per l’acquisto di un certificato attendibile quando si sta solo sviluppando o testando un’applicazione.
  • I certificati autofirmati possono essere utilizzati su siti personali con pochi visitatori. Se si dispone di un piccolo sito personale che trasferisce non informazioni critiche, c’è poco incentivo per qualcuno per attaccare la connessione.

Tieni presente che i visitatori vedranno un avviso nei loro browser (come quello sotto) quando si connettono a un sito IIS che utilizza un certificato autofirmato finché non viene archiviati in modo permanente nel loro archivio certificati. Non utilizzare mai un certificato autofirmato su un sito di e-commerce o qualsiasi sito che trasferisce preziose informazioni personali come carte di credito, numeri di previdenza sociale, ecc.

Confronta certificati SSL affidabili

Genera il tuo certificato autofirmato IIS

Ora sai quando utilizzare un certificato autofirmato IIS e quando no. Ora creiamone uno:

  1. Fai clic sul menu Start, vai su Strumenti di amministrazione e fai clic su Gestione Internet Information Services (IIS).

  2. Fare clic sul nome del server nella colonna Connessioni a sinistra. Fai doppio clic su Certificati server.

  3. Nella colonna Azioni a destra, fai clic su Crea certificato autofirmato. .

  4. Inserisci un nome descrittivo e fai clic su OK.

  5. Ora avrai un certificato autofirmato IIS valido per 1 anno elencato in Certificati server. Il nome comune del certificato (rilasciato a) è il nome del server. Ora dobbiamo solo associare il certificato autofirmato al sito IIS.

Associare il certificato autofirmato

  1. Nella colonna Connessioni a sinistra, espandere la cartella dei siti e fare clic sul sito Web a cui si desidera associare il certificato. Fai clic su Associazioni … nella colonna di destra.

  2. Fai clic sul pulsante Aggiungi …

  3. Modifica il tipo in https, quindi seleziona il certificato SSL appena installato. Fai clic su OK.

  4. Ora vedrai elencato il binding per la porta 443. Fai clic su Chiudi.

  5. Ora testiamo il certificato autofirmato IIS andando sul sito con https nel nostro browser ( ad es. https://site1.mydomain.com). Quando lo fai, dovresti vedere il seguente avviso che indica che “Il certificato di sicurezza presentato da questo sito web è stato emesso per un altro sito web” s indirizzo “(un errore di mancata corrispondenza del nome ).

    Viene visualizzato perché IIS utilizza sempre il nome del server (in questo caso WIN-PABODPHV6W3) come nome comune quando crea un certificato autofirmato. Questo normalmente non corrisponde al nome host che utilizzi per accedere al sito nel tuo browser (sito1.miodominio.com). Per molte situazioni in cui vengono utilizzati certificati autofirmati IIS, questo non è un problema.Basta fare clic su “Continua su questo sito Web” ogni volta. Tuttavia, se desideri eliminare completamente i messaggi di errore, dovrai seguire i due passaggi successivi di seguito.

Genera un certificato autofirmato con il comune corretto Nome

Questo passaggio è richiesto solo se si desidera eliminare il messaggio di avviso visualizzato perché il nome comune sul certificato autofirmato non corrisponde al nome host del sito Web. Per risolvere questo problema, sarà necessario creare il certificato autofirmato utilizzando lo stesso metodo utilizzato per creare un certificato autofirmato in IIS 6.0 (con SelfSSL invece che tramite IIS).

  1. Scarica Internet Information Services (IIS) 6.0 Resource Kit Tools e installa SelfSSL 1.0 (se esegui un’installazione personalizzata puoi deselezionare tutto tranne SelfSSL). Una volta installato, fai clic sul menu Start, vai a Risorse IIS, quindi SelfSSL ed esegui SelfSSL.

  2. Incolla nel seguente comando e sostituisci site1.mydomain.com con il nome host del tuo sito IIS. Se ricevi l’errore “Errore durante l’apertura della metabase: 0x80040154”, ignoralo. Assoceremo manualmente il certificato al sito web.
    SelfSSL /N:CN=site1.mydomain.com /V:1000

  3. Al termine del comando, si avrà un certificato autofirmato IIS con il nome comune corretto elencato nella sezione Certificati server di IIS. Ora segui le istruzioni sopra per associare il certificato al tuo sito web IIS.

  4. Dopo aver associato il nuovo certificato al tuo IIS sito, visitalo con https nel tuo browser web e incontrerai un altro errore: “Il certificato di sicurezza presentato da questo sito web non è stato rilasciato da un’autorità di certificazione attendibile.” (l’errore Certificato SSL non attendibile)

    Non preoccuparti; questo è l’ultimo errore che dovremo correggere. Questo è un errore normale per noi stessi certificati firmati perché il certificato è firmato da solo anziché da un provider SSL attendibile. Tutti i visitatori del sito vedranno questo errore a meno che non importino il certificato autofirmato nel loro archivio Autorità di certificazione radice attendibili (o l’archivio certificati SSL appropriato per il browser stanno utilizzando). È possibile aggiungere facilmente il certificato autofirmato IIS all’archivio sul server seguendo le istruzioni riportate di seguito. Se è necessario importare il certificato su un’altra macchina Windows, è sufficiente seguire le istruzioni su come spostare o copiare un Certificato SSL da un server Windows.

Aggiungi il certificato autofirmato alle autorità di certificazione radice attendibili

  1. Fai clic sul menu Start e fai clic su Esegui.
  2. Digita mmc e fai clic su OK.

  3. Fai clic sul file menu e fai clic su Aggiungi / Rimuovi snap-in …

  4. Fai doppio clic su Certificati.

  5. Fai clic su Account computer e poi su Avanti.

  6. Lascia selezionato Computer locale e fai clic su Fine.

  7. Espandi la voce Certificati a sinistra ed espandi la cartella Personale . Fai clic sulla cartella Certificati e fai clic con il pulsante destro del mouse sul certificato autofirmato appena creato e seleziona Copia.

  8. Espandi il Cartella Autorità di certificazione radice attendibili e fare clic sulla cartella Certificati al di sotto di essa. Fai clic con il pulsante destro del mouse nell’area bianca sotto i certificati e fai clic su Incolla.

  9. Ora puoi visitare il tuo sito con https nel tuo browser web e non dovresti ricevere alcun errore perché Windows ora considererà automaticamente attendibile il tuo certificato IIS autofirmato.

Per ulteriori informazioni sulla generazione di un certificato autofirmato IIS, vedere i seguenti collegamenti:

  • Installazione di un certificato SSL in Windows Server 2008 (IIS 7.0)
  • Suggerimento / trucco : Abilitazione di SSL su IIS 7.0 utilizzando certificati autofirmati
  • Certificati autofirmati IIS su IIS 7: il modo più semplice e più efficace

Pubblicato originariamente sabato ottobre 23, 2010

Write a Comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *