SSL er en viktig del av å sikre ditt IIS 7.0-nettsted og lage et selvsignert sertifikat i IIS 7 er mye lettere å gjøre enn i tidligere versjoner av IIS. SSL-sertifikater muliggjør kryptering av all trafikk som sendes til og fra IIS-nettstedet ditt, og hindrer andre i å se sensitiv informasjon. Den bruker kryptografi med offentlig nøkkel for å opprette en sikker forbindelse. Dette betyr at alt kryptert med en offentlig nøkkel (SSL-sertifikatet) bare kan dekrypteres med den private nøkkelen og omvendt.
Når skal jeg bruke et IIS selvsignert sertifikat
Bruk aldri et selvsignert sertifikat på et e-handelssted eller noe nettsted som overfører verdifull personlig informasjon som kredittkort, personnummer osv.
Et SSL-sertifikat har flere formål: distribusjon av den offentlige nøkkelen, og når den er signert av en pålitelig tredjepart, bekrefter du identiteten til serveren slik at klienter vet at de ikke sender informasjonen (kryptert eller ikke) til feil person. Et selvsignert sertifikat er et sertifikat som er signert av seg selv i stedet for en pålitelig tredjepart. Dette betyr at du ikke kan bekrefte at du kobler til riktig server fordi enhver angriper kan opprette et selvsignert sertifikat og starte et mann-i-midten-angrep. På grunn av dette bør du nesten aldri bruke et selvsignert sertifikat på en offentlig IIS-server som krever at anonyme besøkende kobler seg til nettstedet ditt. Imidlertid kan selvsignerte sertifikater være passende i visse situasjoner:
- Selvsignerte sertifikater kan brukes på et intranett. Når klienter bare har å gå gjennom et lokalt intranett for å komme til serveren, er det praktisk talt ingen sjanse for et mann-i-midten-angrep.
- Selvsignerte sertifikater kan brukes på en IIS-utviklingsserver. Det er ingen trenger å bruke ekstra penger på å kjøpe et klarert sertifikat når du bare utvikler eller tester en applikasjon.
- Selvsignerte sertifikater kan brukes på personlige nettsteder med få besøkende. Hvis du har et lite personlig nettsted som overfører ikke- kritisk informasjon, er det veldig lite insentiv for noen for å angripe forbindelsen.
Bare husk at besøkende vil se en advarsel i nettleserne (som den nedenfor) når de kobler til et IIS-nettsted som bruker et selvsignert sertifikat til det er lagres permanent i sertifikatbutikken. Bruk aldri et selvsignert sertifikat på et e-handelssted eller noe nettsted som overfører verdifull personlig informasjon som kredittkort, personnummer osv.
Sammenlign pålitelige SSL-sertifikater
Generer ditt IIS selvsignerte sertifikat
Nå vet du når du skal bruke et IIS selvsignert sertifikat og når ikke. La oss nå lage en:
- Klikk på Start-menyen, gå til Administrative verktøy og klikk på Internet Information Services (IIS) Manager.
- Klikk på navnet på serveren i kolonnen Tilkoblinger til venstre. Dobbeltklikk på serversertifikater.
- I Handling-kolonnen til høyre klikker du på Opprett selvsignert sertifikat .. .
- Angi et vennlig navn, og klikk deretter OK.
- Du vil nå ha et IIS selvsignert sertifikat som er gyldig i 1 år, oppført under serversertifikater. Sertifikatets vanlige navn (utstedt til) er servernavnet. Nå trenger vi bare å binde det selvsignerte sertifikatet til IIS-nettstedet.
Bind det selvsignerte sertifikatet
- I kolonnene Tilkoblinger til venstre utvider du nettstedsmappen og klikker på nettstedet du vil binde sertifikatet til. Klikk på Bindinger … i høyre kolonne.
- Klikk på Legg til … -knappen.
- Endre typen til https og velg deretter SSL-sertifikatet du nettopp har installert. Klikk OK.
- Du vil nå se bindingen for port 443 oppført. Klikk på Lukk.
- La oss nå teste det IIS selvsignerte sertifikatet ved å gå til nettstedet med https i nettleseren vår ( f.eks. https://site1.mydomain.com). Når du gjør det, bør du se følgende advarsel om at «Sikkerhetssertifikatet som ble presentert av dette nettstedet ble utstedt for en annen nettsides adresse» (en feil i samsvar med navnet
Dette vises fordi IIS alltid bruker serverens navn (i dette tilfellet WIN-PABODPHV6W3) som det vanlige navnet når det oppretter et selvsignert sertifikat. Dette samsvarer vanligvis ikke med vertsnavnet du bruker for å få tilgang til nettstedet i nettleseren din (site1.mydomain.com). I mange situasjoner der det brukes IIS selvsignerte sertifikater, er dette ikke et problem.Bare klikk «Fortsett til dette nettstedet» hver gang. Men hvis du vil kvitte deg med feilmeldingene, må du følge de to neste trinnene nedenfor.
Generer et selvsignert sertifikat med riktig felles Navn
Dette trinnet er bare nødvendig hvis du vil bli kvitt advarselen som vises fordi det vanlige navnet på det selvsignerte sertifikatet ikke samsvarer med nettstedets vertsnavn. For å løse dette problemet, vi må opprette det selvsignerte sertifikatet ved hjelp av samme metode som brukes til å lage et selvsignert sertifikat i IIS 6.0 (med SelfSSL i stedet for gjennom IIS).
- Last ned Internet Information Services (IIS) 6.0 Resource Kit Tools og installer SelfSSL 1.0 (hvis du gjør en tilpasset installasjon kan du fjerne merket for alt unntatt SelfSSL). Når den er installert, klikker du på Start-menyen, går til IIS Resources, deretter SelfSSL og kjører SelfSSL.
- Lim inn i følgende kommando og erstatt site1.mydomain.com med vertsnavnet til ditt IIS-nettsted. Hvis du får feilmeldingen «Feil ved åpning av metabase: 0x80040154», er det bare å ignorere det. Vi binder sertifikatet manuelt til nettstedet.
SelfSSL /N:CN=site1.mydomain.com /V:1000
- Etter at kommandoen er fullført, vil du ha et IIS-selvsignert sertifikat med riktig fellesnavn oppført i serversertifikat-delen av IIS. Følg nå instruksjonene ovenfor for å binde sertifikatet til ditt IIS-nettsted.
- Etter at du har bundet det nye sertifikatet til IIS på nettstedet, besøk det med https i nettleseren din, og du vil støte på en annen feil: «Sikkerhetssertifikatet presentert av dette nettstedet ble ikke utstedt av en klarert sertifikatmyndighet.» (SSL-sertifikatet ikke klarert-feilen)
Ikke bekymre deg, dette er den siste feilen vi må fikse. Dette er en normal feil for oss selv signerte sertifikater fordi sertifikatet er signert av seg selv i stedet for en pålitelig SSL-leverandør. Alle besøkende på nettstedet vil se den feilen med mindre de importerer det selvsignerte sertifikatet til deres Trusted Root Certification Authorities-butikk (eller det riktige SSL-sertifikatlageret for nettleseren de bruker). Du kan enkelt legge til det IIS selvsignerte sertifikatet i butikken på serveren ved å følge instruksjonene nedenfor. Hvis du trenger å importere sertifikatet på en annen Windows-maskin, følger du bare instruksjonene om hvordan du flytter eller kopierer en SSL-sertifikat fra en Windows-server.
Legg til det selvsignerte sertifikatet til pålitelige rotsertifikatmyndigheter
- Klikk på Start-menyen og klikk Kjør.
- Skriv inn mmc og klikk OK.
- Klikk på filen menyen og klikk på Legg til / fjern snap-in …
- Dobbeltklikk på Sertifikater.
- Klikk på Computer Account og klikk Next.
- La den lokale datamaskinen være valgt, og klikk Fullfør.
- Utvid sertifikatelementet til venstre og utvid den personlige mappen . Klikk på Sertifikat-mappen og høyreklikk på det selvsignerte sertifikatet du nettopp opprettet, og velg Kopier.
- Utvid Trusted Root Certification Authorities-mappen og klikk på mappen Sertifikater under den. Høyreklikk i det hvite området under sertifikatene og klikk Lim inn.
- Nå kan du besøke nettstedet ditt med https i nettleser, og du bør ikke motta noen feil fordi Windows nå automatisk vil stole på ditt IIS selvsignerte sertifikat.
For mer informasjon om generering av et IIS selvsignert sertifikat, se følgende lenker:
- Installere et SSL-sertifikat i Windows Server 2008 (IIS 7.0)
- Tips / triks : Aktivering av SSL på IIS 7.0 ved bruk av selvsignerte sertifikater
- IIS selvsignerte sertifikater på IIS 7 – den enkle måten og den mest effektive måten
Opprinnelig postet lør okt. 23, 2010