Een zelfondertekend certificaat maken in IIS 7

SSL is een essentieel onderdeel van het beveiligen van uw IIS 7.0-site en het maken van een zelfondertekend certificaat in IIS 7 is veel gemakkelijker te doen dan in eerdere versies van IIS. SSL-certificaten maken de versleuteling mogelijk van al het verkeer dat van en naar uw IIS-website wordt verzonden, zodat anderen geen gevoelige informatie kunnen bekijken. Het maakt gebruik van cryptografie met openbare sleutels om een veilige verbinding tot stand te brengen. Dit betekent dat alles dat is versleuteld met een openbare sleutel (het SSL-certificaat) alleen kan worden ontsleuteld met de privésleutel en vice versa.

Wanneer moet u een zelfondertekend IIS-certificaat gebruiken

Gebruik nooit een zelfondertekend certificaat op een e-commercesite of een site die waardevolle persoonlijke informatie zoals creditcards, burgerservicenummers, enz. overdraagt.

Een SSL-certificaat heeft meerdere doelen: het verspreiden van de openbare sleutel en, indien ondertekend door een vertrouwde derde partij, het verifiëren van de identiteit van de server zodat klanten weten dat ze hun informatie niet verzenden (versleuteld of niet) naar de verkeerde persoon. Een zelfondertekend certificaat is een certificaat dat door zichzelf is ondertekend in plaats van door een vertrouwde derde partij. Dit betekent dat u niet kunt verifiëren dat u verbinding maakt met de juiste server, omdat elke aanvaller een zelfondertekend certificaat kan maken en een man-in-the-middle-aanval kan starten. Daarom moet u bijna nooit een zelfondertekend certificaat gebruiken op een openbare IIS-server die anonieme bezoekers vereist om verbinding te maken met uw site. Zelfondertekende certificaten kunnen echter in bepaalde situaties geschikt zijn:

  • Zelfondertekende certificaten kunnen op een intranet worden gebruikt. Wanneer klanten alleen om via een lokaal intranet naar de server te gaan, is er vrijwel geen kans op een man-in-the-middle-aanval.
  • Zelfondertekende certificaten kunnen worden gebruikt op een IIS-ontwikkelserver. Er is geen extra geld moet uitgeven aan het kopen van een vertrouwd certificaat wanneer u net een applicatie ontwikkelt of test.
  • Zelfondertekende certificaten kunnen worden gebruikt op persoonlijke sites met weinig bezoekers. Als u een kleine persoonlijke site heeft die niet- kritische informatie, er is voor iemand weinig stimulans om de verbinding aan te vallen.

Houd er rekening mee dat bezoekers een waarschuwing in hun browser zien (zoals hieronder) wanneer ze verbinding maken met een IIS-site die een zelfondertekend certificaat gebruikt totdat het permanent opgeslagen in hun certificaatarchief. Gebruik nooit een zelfondertekend certificaat op een e-commercesite of een andere site die waardevolle persoonlijke informatie zoals creditcards, burgerservicenummers enz. Overdraagt.

Vergelijk vertrouwde SSL-certificaten

Genereer uw zelfondertekend IIS-certificaat

Nu weet u wanneer u een zelfondertekend IIS-certificaat moet gebruiken en wanneer niet. Laten we er nu een maken:

  1. Klik op het menu Start, ga naar Systeembeheer en klik op Internet Information Services (IIS) Manager.

  2. Klik op de naam van de server in de kolom Verbindingen aan de linkerkant. Dubbelklik op Servercertificaten.

  3. Klik in de kolom Acties aan de rechterkant op Zelfondertekend certificaat maken … .

  4. Voer een beschrijvende naam in en klik op OK.

  5. U heeft nu een IIS Self Signed Certificate dat 1 jaar geldig is, vermeld onder Servercertificaten. De algemene naam van het certificaat (uitgegeven aan) is de servernaam. Nu hoeven we alleen het zelfondertekende certificaat aan de IIS-site te binden.

Bind het zelfondertekende certificaat

  1. Vouw in de kolom Verbindingen aan de linkerkant de map sites uit en klik op de website waaraan u het certificaat wilt binden. Klik op Bindingen … in de rechterkolom.

  2. Klik op de knop Toevoegen …

  3. Wijzig het Type in https en selecteer vervolgens het SSL-certificaat dat u zojuist hebt geïnstalleerd. Klik op OK.

  4. Je zult nu de binding voor poort 443 zien staan. Klik op Sluiten.

  5. Laten we nu het zelfondertekende IIS-certificaat testen door naar de site te gaan met https in onze browser ( bijv. https://site1.mydomain.com). Als u dat doet, zou u de volgende waarschuwing moeten zien waarin staat dat “Het beveiligingscertificaat dat door deze website wordt aangeboden, is uitgegeven voor het adres van een andere website” (een fout met een verkeerde naam ).

    Dit wordt weergegeven omdat IIS altijd de servernaam gebruikt (in dit geval WIN-PABODPHV6W3) als de algemene naam wanneer het maakt een zelfondertekend certificaat aan. Dit komt meestal niet overeen met de hostnaam die u gebruikt om toegang te krijgen tot de site in uw browser (site1.mijndomein.com). Voor veel situaties waarin zelfondertekende IIS-certificaten worden gebruikt, is dit geen probleem.Klik elke keer op “Doorgaan naar deze website”. Als u echter volledig van de foutmeldingen af wilt komen, moet u “de volgende twee stappen hieronder volgen.

Genereer een zelfondertekend certificaat met de juiste algemene Naam

Deze stap is alleen vereist als u het weergegeven waarschuwingsbericht wilt verwijderen omdat de algemene naam op het zelfondertekende certificaat niet overeenkomt met de hostnaam van de website. Om dit probleem op te lossen, we zullen het zelfondertekende certificaat moeten aanmaken met dezelfde methode die wordt gebruikt om een zelfondertekend certificaat te maken in IIS 6.0 (met SelfSSL in plaats van via IIS).

  1. Download de Internet Information Services (IIS) 6.0 Resource Kit Tools en installeer SelfSSL 1.0 (als u een aangepaste installatie uitvoert, kunt u alles uitschakelen behalve SelfSSL). Zodra het is geïnstalleerd, klikt u op het menu Start, gaat u naar IIS-bronnen, vervolgens SelfSSL en voert u SelfSSL uit.

  2. Plakken in de volgende opdracht en vervang site1.mydomain.com door de hostnaam van uw IIS-site. Als u de foutmelding “Fout bij openen van metabase: 0x80040154” ontvangt, negeert u deze gewoon. We zullen het certificaat handmatig aan de website koppelen.
    SelfSSL /N:CN=site1.mydomain.com /V:1000

  3. Nadat de opdracht is voltooid, hebt u een zelfondertekend IIS-certificaat met de juiste algemene naam vermeld in de sectie Servercertificaten van IIS. Volg nu de bovenstaande instructies om het certificaat aan uw IIS-website te binden.

  4. Nadat u het nieuwe certificaat aan uw IIS heeft gekoppeld site, bezoek het met https in uw webbrowser en u zult een andere fout tegenkomen: “Het beveiligingscertificaat gepresenteerd door deze website is niet uitgegeven door een vertrouwde certificeringsinstantie.” (de SSL Certificate Not Trusted-fout)

    Maak je geen zorgen; dit is de laatste fout die we moeten oplossen. Dit is een normale fout voor jezelf ondertekende certificaten omdat het certificaat door zichzelf is ondertekend in plaats van door een vertrouwde SSL-provider. Alle bezoekers van de site zien die fout, tenzij ze het zelfondertekende certificaat importeren in hun Trusted Root Certification Authorities-archief (of het juiste SSL-certificaatarchief voor de browser die ze gebruiken). U kunt het zelfondertekende IIS-certificaat eenvoudig toevoegen aan de winkel op de server door de onderstaande instructies te volgen. Als u het certificaat op een andere Windows-machine moet importeren, volgt u de instructies voor het verplaatsen of kopiëren van een SSL-certificaat van een Windows-server.

Voeg het zelfondertekende certificaat toe aan vertrouwde basiscertificaatautoriteiten

  1. Klik op het menu Start en klik op Uitvoeren.
  2. Typ mmc en klik op OK.

  3. Klik op het bestand menu en klik op Add / Remove Snap-in …

  4. Dubbelklik op Certificates.

  5. Klik op Computeraccount en klik op Volgende.

  6. Laat Lokale computer geselecteerd en klik op Voltooien.

  7. Vouw het item Certificaten aan de linkerkant uit en vouw de map Persoonlijk uit . Klik op de map Certificaten en klik met de rechtermuisknop op het zelfondertekende certificaat dat u zojuist hebt gemaakt en selecteer Kopiëren.

  8. Vouw het Map Trusted Root Certification Authorities en klik op de map Certificates eronder. Klik met de rechtermuisknop in het witte gebied onder de certificaten en klik op Plakken.

  9. Nu kunt u uw site bezoeken met https in uw webbrowser en u zou “geen fouten moeten ontvangen omdat Windows nu automatisch uw door IIS ondertekend certificaat vertrouwt.

Voor meer informatie over het genereren van een door IIS zelf ondertekend certificaat, zie de volgende links:

  • Een SSL-certificaat installeren in Windows Server 2008 (IIS 7.0)
  • Tip / truc : SSL inschakelen op IIS 7.0 met behulp van zelfondertekende certificaten
  • IIS zelfondertekende certificaten op IIS 7 – de gemakkelijke manier en de meest effectieve manier

Oorspronkelijk gepost op za oktober 23, 2010

Write a Comment

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *