SSL jest niezbędnym elementem zabezpieczania witryny usług IIS 7.0 i tworzenia certyfikatu z podpisem własnym w IIS 7 jest znacznie łatwiejsze do wykonania niż w poprzednich wersjach IIS. Certyfikaty SSL umożliwiają szyfrowanie całego ruchu wysyłanego do iz witryny internetowej usług IIS, uniemożliwiając innym osobom przeglądanie poufnych informacji. Wykorzystuje kryptografię klucza publicznego do ustanowienia bezpiecznego połączenia. Oznacza to, że wszystko zaszyfrowane za pomocą klucza publicznego (certyfikatu SSL) można odszyfrować tylko za pomocą klucza prywatnego i odwrotnie.
Kiedy używać certyfikatu z podpisem własnym IIS
Nigdy nie używaj certyfikatu z podpisem własnym w witrynie handlu elektronicznego ani w żadnej witrynie, która przekazuje cenne dane osobowe, takie jak karty kredytowe, numery ubezpieczenia społecznego itp.
Certyfikat SSL ma wiele celów: rozprowadzanie klucza publicznego oraz, w przypadku podpisania przez zaufaną firmę zewnętrzną, weryfikację tożsamości serwera, aby klienci wiedzieli, że nie wysyłają swoich informacji (zaszyfrowanych lub nie) do niewłaściwej osoby. Certyfikat z podpisem własnym to certyfikat podpisany przez siebie, a nie przez zaufaną stronę trzecią. Oznacza to, że nie możesz zweryfikować, czy łączysz się z właściwym serwerem, ponieważ każdy atakujący może utworzyć certyfikat z podpisem własnym i przeprowadzić atak typu man-in-the-middle. Z tego powodu prawie nigdy nie należy używać certyfikatu z podpisem własnym w publiczny serwer IIS, który wymaga anonimowych odwiedzających, aby połączyć się z Twoją witryną. Jednak certyfikaty z podpisem własnym mogą być odpowiednie w pewnych sytuacjach:
- Certyfikatów z podpisem własnym można używać w intranecie. Gdy klienci mają tylko aby przejść przez lokalny intranet w celu uzyskania dostępu do serwera, praktycznie nie ma szans na atak typu man-in-the-middle.
- Certyfikaty z podpisem własnym mogą być używane na serwerze programistycznym IIS. trzeba wydać dodatkowe pieniądze na zakup zaufanego certyfikatu, gdy dopiero tworzysz lub testujesz aplikację.
- Certyfikatów z podpisem własnym można używać w witrynach osobistych z niewielką liczbą odwiedzających. Jeśli masz małą witrynę osobistą, która przenosi krytycznych informacji, istnieje bardzo mała motywacja dla kogoś zaatakować połączenie.
Pamiętaj tylko, że odwiedzający zobaczą ostrzeżenie w swoich przeglądarkach (takie jak ta poniżej) podczas łączenia się z witryną IIS, która używa certyfikatu z podpisem własnym, dopóki nie zostanie trwale przechowywane w ich magazynie certyfikatów. Nigdy nie używaj certyfikatu z podpisem własnym w witrynie handlu elektronicznego ani w żadnej witrynie, która przekazuje cenne dane osobowe, takie jak karty kredytowe, numery ubezpieczenia społecznego itp.
Porównaj zaufane certyfikaty SSL
Wygeneruj swój certyfikat z podpisem własnym IIS
Teraz wiesz, kiedy użyć certyfikatu z podpisem własnym IIS a kiedy nie. Teraz stwórzmy jeden:
- Kliknij menu Start, przejdź do Narzędzia administracyjne i kliknij Menedżer internetowych usług informacyjnych (IIS).
- Kliknij nazwę serwera w kolumnie Connections po lewej stronie. Kliknij dwukrotnie Certyfikaty serwera.
- W kolumnie Akcje po prawej stronie kliknij Utwórz certyfikat z podpisem własnym. .
- Wprowadź dowolną przyjazną nazwę, a następnie kliknij OK.
- Będziesz mieć teraz samopodpisany certyfikat IIS ważny przez 1 rok, wymieniony w sekcji Certyfikaty serwera. Nazwa pospolita certyfikatu (Issued To) to nazwa serwera. Teraz musimy tylko powiązać certyfikat z podpisem własnym z witryną IIS.
Powiąż certyfikat z podpisem własnym
- W kolumnie Połączenia po lewej stronie rozwiń folder witryn i kliknij witrynę, z którą chcesz powiązać certyfikat. Kliknij Powiązania … w prawej kolumnie.
- Kliknij przycisk Dodaj …
- Zmień typ na https, a następnie wybierz certyfikat SSL, który właśnie zainstalowałeś. Kliknij OK.
- Zobaczysz teraz powiązanie dla portu 443. Kliknij Zamknij.
- Przetestujmy teraz certyfikat z podpisem własnym IIS, przechodząc do witryny z https w naszej przeglądarce ( np. https://site1.mydomain.com). Gdy to zrobisz, powinieneś zobaczyć następujące ostrzeżenie informujące, że „Certyfikat bezpieczeństwa przedstawiony przez tę witrynę został wystawiony dla adresu innej witryny” (błąd niezgodności nazwy ).
Jest to wyświetlane, ponieważ IIS zawsze używa nazwy serwera (w tym przypadku WIN-PABODPHV6W3) jako nazwy zwykłej, gdy tworzy certyfikat z podpisem własnym. Zwykle nie jest to zgodne z nazwą hosta używaną do uzyskiwania dostępu do witryny w przeglądarce (witryna1.moja_domena.com). W wielu sytuacjach, w których używane są certyfikaty z podpisem własnym usług IIS, nie stanowi to problemu.Po prostu kliknij „Przejdź do tej witryny internetowej” za każdym razem. Jeśli jednak chcesz całkowicie pozbyć się komunikatów o błędach, musisz wykonać kolejne dwa poniższe kroki.
Wygeneruj certyfikat z podpisem własnym z poprawnym Nazwa
Ten krok jest wymagany tylko wtedy, gdy chcesz pozbyć się komunikatu ostrzegawczego wyświetlanego, ponieważ nazwa zwyczajowa na certyfikacie z podpisem własnym nie jest zgodna z nazwą hosta witryny internetowej. Aby rozwiązać ten problem, będziemy musieli utworzyć certyfikat z podpisem własnym przy użyciu tej samej metody, która jest używana do tworzenia certyfikatu z podpisem własnym w usługach IIS 6.0 (z SelfSSL zamiast przez IIS).
- Pobierz Internetowe usługi informacyjne (IIS) 6.0 Resource Kit Tools i zainstaluj SelfSSL 1.0 (jeśli wykonujesz instalację niestandardową, możesz odznaczyć wszystko oprócz SelfSSL). Po zainstalowaniu kliknij menu Start, przejdź do Zasoby IIS, następnie SelfSSL i uruchom SelfSSL.
- Wklej w poniższym poleceniu i zamień site1.mydomain.com na nazwę hosta Twojej witryny IIS. Jeśli pojawi się błąd „Błąd otwierania metabazy: 0x80040154”, po prostu zignoruj go. Ręcznie powiążemy certyfikat ze stroną internetową.
SelfSSL /N:CN=site1.mydomain.com /V:1000
- Po wykonaniu polecenia otrzymasz certyfikat z podpisem własnym usług IIS z poprawną nazwą pospolitą wymienioną w sekcji Certyfikaty serwera w usługach IIS. Teraz postępuj zgodnie z powyższymi instrukcjami, aby powiązać certyfikat z witryną internetową IIS.
- Po powiązaniu nowego certyfikatu z usługami IIS odwiedź ją, używając https w przeglądarce, a napotkasz inny błąd: „Certyfikat bezpieczeństwa przedstawiony przez tę witrynę nie został wydany przez zaufany urząd certyfikacji”. (błąd SSL Certificate Not Trusted)
Nie martw się, to jest ostatni błąd, który będziemy musieli naprawić. To jest normalny błąd sam podpisane certyfikaty, ponieważ certyfikat jest podpisany samodzielnie, a nie przez zaufanego dostawcę SSL. Wszyscy odwiedzający witrynę zobaczą ten błąd, chyba że zaimportują certyfikat z podpisem własnym do swojego magazynu zaufanych głównych urzędów certyfikacji (lub odpowiedniego magazynu certyfikatów SSL dla przeglądarki używają). Możesz łatwo dodać certyfikat z podpisem własnym IIS do sklepu na serwerze, postępując zgodnie z poniższymi instrukcjami. Jeśli chcesz zaimportować certyfikat na innym komputerze z systemem Windows, postępuj zgodnie z instrukcjami dotyczącymi przenoszenia lub kopiowania Certyfikat SSL z serwera Windows.
Dodaj samopodpisany certyfikat do zaufanych głównych urzędów certyfikacji
- Kliknij menu Start i kliknij polecenie Uruchom.
- Wpisz mmc i kliknij OK.
- Kliknij plik menu i kliknij Dodaj / Usuń przystawkę …
- Kliknij dwukrotnie Certyfikaty.
- Kliknij Konto komputera i kliknij Dalej.
- Pozostaw wybrany komputer lokalny i kliknij przycisk Zakończ.
- Rozwiń element Certyfikaty po lewej stronie i rozwiń folder Osobisty . Kliknij folder Certyfikaty i kliknij prawym przyciskiem myszy właśnie utworzony certyfikat z podpisem własnym i wybierz opcję Kopiuj.
- Rozwiń Folder Zaufane główne urzędy certyfikacji i kliknij znajdujący się pod nim folder Certyfikaty. Kliknij prawym przyciskiem myszy biały obszar poniżej certyfikatów i kliknij Wklej.
- Teraz możesz odwiedzić swoją witrynę z https w swoim i nie powinieneś otrzymywać żadnych błędów, ponieważ system Windows będzie teraz automatycznie ufał certyfikatowi z podpisem własnym IIS.
Aby uzyskać więcej informacji na temat generowania certyfikatu z podpisem własnym IIS, zobacz następujące łącza:
- Instalowanie certyfikatu SSL w systemie Windows Server 2008 (IIS 7.0)
- Porada / sztuczka : Włączanie SSL w IIS 7.0 przy użyciu samopodpisanych certyfikatów
- Samopodpisane certyfikaty IIS w IIS 7 – łatwy i najbardziej efektywny sposób
Pierwotnie opublikowano w sobotę października 23 września 2010 r.