O SSL é uma parte essencial para proteger seu site IIS 7.0 e criar um certificado autoassinado no IIS 7 é muito mais fácil de fazer do que nas versões anteriores do IIS. Os certificados SSL permitem a criptografia de todo o tráfego enviado de e para o site do IIS, evitando que outras pessoas vejam informações confidenciais. Ele usa criptografia de chave pública para estabelecer uma conexão segura. Isso significa que qualquer coisa criptografada com uma chave pública (o certificado SSL) só pode ser descriptografada com a chave privada e vice-versa.
Quando usar um certificado autoassinado IIS
Nunca use um certificado autoassinado em um site de comércio eletrônico ou qualquer site que transfira informações pessoais valiosas, como cartões de crédito, números de previdência social etc.
Um certificado SSL tem várias finalidades: distribuir a chave pública e, quando assinado por um terceiro confiável, verificar a identidade do servidor para que os clientes saibam que não estão enviando suas informações (criptografadas ou não) para a pessoa errada. Um certificado autoassinado é um certificado assinado por ele mesmo, e não por um terceiro confiável. Isso significa que você não pode verificar se está se conectando ao servidor certo porque qualquer invasor pode criar um certificado autoassinado e lançar um ataque man-in-the-middle. Por isso, você quase nunca deve usar um certificado autoassinado no um servidor IIS público que requer que visitantes anônimos se conectem ao seu site. No entanto, os certificados autoassinados podem ser apropriados em certas situações:
- Certificados autoassinados podem ser usados em uma intranet. Quando os clientes só têm para passar por uma intranet local para chegar ao servidor, virtualmente não há chance de um ataque man-in-the-middle.
- Certificados autoassinados podem ser usados em um servidor de desenvolvimento IIS. precisa gastar um dinheiro extra na compra de um certificado confiável quando você está apenas desenvolvendo ou testando um aplicativo.
- Certificados autoassinados podem ser usados em sites pessoais com poucos visitantes. Se você tiver um pequeno site pessoal que transfere informações críticas, há muito pouco incentivo para alguém para atacar a conexão.
Apenas tenha em mente que os visitantes verão um aviso em seus navegadores (como o mostrado abaixo) ao se conectar a um site IIS que usa um certificado autoassinado até que seja permanentemente armazenados em seu armazenamento de certificados. Nunca use um certificado autoassinado em um site de comércio eletrônico ou qualquer site que transfira informações pessoais valiosas, como cartões de crédito, números de previdência social, etc.
Compare certificados SSL confiáveis
Gere seu certificado autoassinado IIS
Agora você sabe quando usar um certificado autoassinado IIS e quando não. Agora vamos criar um:
- Clique no menu Iniciar, vá para Ferramentas Administrativas e clique em Gerenciador de Serviços de Informações da Internet (IIS).
- Clique no nome do servidor na coluna Conexões à esquerda. Clique duas vezes em Certificados de servidor.
- Na coluna Ações à direita, clique em Criar certificado autoassinado. .
- Insira qualquer nome amigável e clique em OK.
- Agora você terá um certificado autoassinado IIS válido por 1 ano listado em Certificados do servidor. O nome comum do certificado (emitido para) é o nome do servidor. Agora só precisamos vincular o certificado autoassinado ao site IIS.
Vincular o certificado autoassinado
- Na coluna Conexões à esquerda, expanda a pasta de sites e clique no site ao qual deseja vincular o certificado. Clique em Ligações … na coluna da direita.
- Clique no botão Adicionar …
- Altere o Tipo para https e selecione o certificado SSL que acabou de instalar. Clique em OK.
- Agora você verá a ligação para a porta 443 listada. Clique em Fechar.
- Agora vamos testar o certificado autoassinado IIS acessando o site com https em nosso navegador ( por exemplo, https://site1.mydomain.com). Ao fazer isso, você verá o seguinte aviso informando que “O certificado de segurança apresentado por este site foi emitido para o endereço de um site diferente” (um erro de incompatibilidade de nome ).
Isso é exibido porque o IIS sempre usa o nome do servidor (neste caso WIN-PABODPHV6W3) como o nome comum quando cria um certificado autoassinado. Isso normalmente não corresponde ao nome do host que você usa para acessar o site no seu navegador (site1.mydomain.com). Para muitas situações em que são usados certificados autoassinados do IIS, isso não é um problema.Basta clicar em “Continuar neste site” a cada vez. No entanto, se você quiser se livrar completamente das mensagens de erro, “você precisará seguir as próximas duas etapas abaixo.
Gerar um certificado autoassinado com o comum correto Nome
Esta etapa é necessária apenas se você quiser se livrar da mensagem de aviso exibida porque o nome comum no certificado autoassinado não corresponde ao nome do host do site. Para resolver esse problema, precisaremos criar o certificado autoassinado usando o mesmo método usado para criar um certificado autoassinado no IIS 6.0 (com SelfSSL em vez de através do IIS).
- Baixe o Internet Information Services (IIS) 6.0 Resource Kit Tools e instalar SelfSSL 1.0 (se você fizer uma instalação personalizada, poderá desmarcar tudo, exceto SelfSSL). Depois de instalado, clique no menu Iniciar, vá para Recursos do IIS, em seguida, SelfSSL e execute SelfSSL.
- Colar no comando a seguir e substitua site1.mydomain.com pelo nome do host do seu site IIS. Se você receber o erro “Erro ao abrir metabase: 0x80040154”, ignore-o. Estaremos vinculando manualmente o certificado ao site.
SelfSSL /N:CN=site1.mydomain.com /V:1000
- Depois que o comando for concluído, você terá um certificado autoassinado IIS com o nome comum correto listado na seção Certificados de servidor do IIS. Agora siga as instruções acima para vincular o certificado ao site do IIS.
- Depois de vincular o novo certificado ao IIS site, visite-o com https em seu navegador da web e você encontrará outro erro: “O certificado de segurança apresentado por este site não foi emitido por uma autoridade de certificação confiável.” (o erro do certificado SSL não confiável)
Não se preocupe; este é o último erro que precisamos corrigir. Este é um erro normal para você mesmo certificados assinados porque o certificado é assinado por ele mesmo em vez de por um provedor SSL confiável. Todos os visitantes do site verão esse erro, a menos que importem o certificado autoassinado para o armazenamento de Autoridades de certificação raiz confiáveis (ou o armazenamento de certificado SSL apropriado para o navegador estão usando). Você pode adicionar facilmente o certificado autoassinado do IIS ao armazenamento no servidor, seguindo as instruções abaixo. Se precisar importar o certificado em outra máquina Windows, basta seguir as instruções sobre como mover ou copiar um Certificado SSL de um servidor Windows.
Adicione o certificado autoassinado às autoridades de certificação raiz confiáveis
- Clique no menu Iniciar e clique em Executar.
- Digite mmc e clique em OK.
- Clique no arquivo menu e clique em Adicionar / Remover Snap-in …
- Clique duas vezes em Certificados.
- Clique em Conta do computador e clique em Avançar.
- Deixe Computador local selecionado e clique em Concluir.
- Expanda o item Certificados à esquerda e expanda a pasta Pessoal . Clique na pasta Certificados e clique com o botão direito no certificado autoassinado que você acabou de criar e selecione Copiar.
- Expanda o Clique na pasta Autoridades de certificação raiz confiáveis e clique na pasta Certificados abaixo dela. Clique com o botão direito na área em branco abaixo dos certificados e clique em Colar.
- Agora você pode visitar seu site com https em seu navegador da web e você não deve receber nenhum erro porque o Windows agora confiará automaticamente em seu certificado autoassinado IIS.
Para obter mais informações sobre como gerar um certificado autoassinado IIS, consulte os seguintes links:
- Instalando um certificado SSL no Windows Server 2008 (IIS 7.0)
- Dica / truque : Habilitando SSL no IIS 7.0 usando certificados autoassinados
- Certificados autoassinados IIS no IIS 7 – a maneira fácil e a maneira mais eficaz
Postado originalmente em sábado, outubro 23, 2010