SSL este o parte esențială a securizării site-ului dvs. IIS 7.0 și a creării unui certificat autosemnat în IIS 7 este mult mai ușor de făcut decât în versiunile anterioare ale IIS. Certificatele SSL permit criptarea întregului trafic trimis către și de pe site-ul dvs. web IIS, împiedicând alții să vadă informații sensibile. Folosește criptografia cu cheie publică pentru a stabili o conexiune sigură. Aceasta înseamnă că orice lucru criptat cu o cheie publică (certificatul SSL) poate fi decriptat numai cu cheia privată și invers.
Când se folosește un certificat IIS Autosemnat
Nu utilizați niciodată un certificat autosemnat pe un site de comerț electronic sau pe orice site care transferă informații personale valoroase, cum ar fi carduri de credit, numere de securitate socială etc.
Un certificat SSL are mai multe scopuri: distribuirea cheii publice și, atunci când este semnat de un terț de încredere, verificarea identității serverului, astfel încât clienții să știe că nu își trimit informațiile (criptate sau nu) persoanei greșite. Un certificat auto-semnat este un certificat care este semnat de sine, mai degrabă decât de o terță parte de încredere. Aceasta înseamnă că nu puteți verifica dacă vă conectați la serverul potrivit, deoarece orice atacator poate crea un certificat autosemnat și poate lansa un atac om în mijloc. Din acest motiv, aproape niciodată nu ar trebui să utilizați un certificat autosemnat pe un server public IIS care necesită vizitatori anonimi să se conecteze la site-ul dvs. Cu toate acestea, certificatele autosemnate pot fi adecvate în anumite situații:
- Certificatele autosemnate pot fi utilizate pe un intranet. Când clienții au doar pentru a trece printr-un intranet local pentru a ajunge la server, practic nu există nicio șansă de a ataca omul în mijloc.
- Certificatele autosemnate pot fi utilizate pe un server de dezvoltare IIS. Nu există trebuie să cheltuiți bani suplimentari cumpărând un certificat de încredere atunci când tocmai dezvoltați sau testați o aplicație.
- Certificatele autosemnate pot fi utilizate pe site-uri personale cu puțini vizitatori. informații critice, există foarte puține stimulente pentru cineva pentru a ataca conexiunea.
Rețineți că vizitatorii vor vedea un avertisment în browserele lor (cum ar fi cel de mai jos) atunci când se conectează la un site IIS care utilizează un certificat autosemnat până când este stocate permanent în magazinul lor de certificate. Nu utilizați niciodată un certificat autosemnat pe un site de comerț electronic sau pe orice site care transferă informații personale valoroase, cum ar fi carduri de credit, numere de securitate socială etc.
Comparați certificatele SSL de încredere
Generați certificatul dvs. autofirmat IIS
Acum știți când să utilizați un certificat autofirmat IIS și când nu. Acum să creăm unul:
- Faceți clic pe meniul Start, mergeți la Instrumente de administrare și faceți clic pe Internet Information Services (IIS) Manager.
- Faceți clic pe numele serverului în coloana Conexiuni din stânga. Faceți dublu clic pe Server Certificate.
- În coloana Actions din dreapta, faceți clic pe Create Self-Signed Certificate .. .
- Introduceți orice nume prietenos și apoi faceți clic pe OK.
- Acum veți avea un certificat auto-semnat IIS valabil timp de 1 an, listat în Certificate de server. Numele comun al certificatului (Emis la) este numele serverului. Acum trebuie doar să legăm certificatul autosemnat de site-ul IIS.
Asociați certificatul autosemnat
- În coloana Conexiuni din stânga, extindeți folderul site-uri și faceți clic pe site-ul web la care doriți să legați certificatul. Faceți clic pe Bindings … în coloana din dreapta.
- Faceți clic pe butonul Adăugați …
- Schimbați tipul în https și apoi selectați certificatul SSL pe care tocmai l-ați instalat. Faceți clic pe OK.
- Acum veți vedea listarea legării pentru portul 443. Faceți clic pe Închidere.
- Acum, să testăm certificatul auto-semnat IIS accesând site-ul cu https în browserul nostru ( de ex. https://site1.mydomain.com). Când faceți acest lucru, ar trebui să vedeți următorul avertisment care să ateste că „Certificatul de securitate prezentat de acest site web a fost emis pentru o altă adresă” a site-ului web (o eroare de nepotrivire a numelui) ).
Acest lucru este afișat deoarece IIS folosește întotdeauna numele serverului (în acest caz WIN-PABODPHV6W3) ca nume comun atunci când creează un certificat autosemnat. De obicei, acesta nu se potrivește cu numele gazdei pe care îl utilizați pentru a accesa site-ul din browserul dvs. (site1.mydomain.com). Pentru multe situații în care se utilizează certificate auto-semnate IIS, aceasta nu este o problemă.Doar faceți clic pe „Continuați cu acest site web” de fiecare dată. Cu toate acestea, dacă doriți să scăpați complet de mesajele de eroare, va trebui să urmați următorii doi pași de mai jos.
Generați un certificat autosemnat cu Common Correct Nume
Acest pas este necesar numai dacă doriți să scăpați de mesajul de avertizare afișat deoarece numele comun din certificatul autosemnat nu se potrivește cu numele de gazdă al site-ului web. Pentru a rezolva această problemă, va trebui să creăm certificatul autosemnat folosind aceeași metodă care este utilizată pentru a crea un certificat autosemnat în IIS 6.0 (cu SelfSSL în loc de prin IIS).
- Descărcați serviciile de informații Internet (IIS) 6.0 Resource Kit Tools și instalați SelfSSL 1.0 (dacă faceți o instalare personalizată, puteți debifa totul, cu excepția SelfSSL). Odată ce este instalat, faceți clic pe meniul Start, accesați Resursele IIS, apoi SelfSSL și rulați SelfSSL.
- Inserați în următoarea comandă și înlocuiți site1.mydomain.com cu numele de gazdă al site-ului dvs. IIS. Dacă primiți eroarea „Eroare la deschiderea metabazei: 0x80040154”, ignorați-o. Vom lega manual certificatul de site-ul web.
SelfSSL /N:CN=site1.mydomain.com /V:1000
- După ce comanda este terminată, veți avea un certificat IIS auto-semnat cu numele comun corect listat în secțiunea Server Certificate din IIS. Acum urmați instrucțiunile de mai sus pentru a lega certificatul de site-ul web IIS.
- După ce ați legat noul certificat de IIS site-ul, vizitați-l cu https în browserul dvs. web și veți întâlni o altă eroare: „Certificatul de securitate prezentat de acest site nu a fost emis de o autoritate de certificare de încredere.” (eroarea SSL Certificate Not Trusted)
Nu vă faceți griji; aceasta este ultima eroare pe care va trebui să o remediem. Aceasta este o eroare normală pentru sine certificate semnate, deoarece certificatul este semnat de el însuși în loc de un furnizor SSL de încredere. Toți vizitatorii site-ului vor vedea acea eroare, cu excepția cazului în care importă certificatul auto-semnat în magazinul lor de autorități de certificare rădăcină de încredere (sau magazinul de certificate SSL adecvat pentru browser Puteți adăuga cu ușurință certificatul auto-semnat IIS în magazinul de pe server urmând instrucțiunile de mai jos. Dacă trebuie să importați certificatul pe o altă mașină Windows, urmați instrucțiunile despre cum să Mutați sau să copiați un Certificat SSL de pe un server Windows.
Adăugați certificatul autosemnat la autoritățile de certificare rădăcină de încredere
- Faceți clic pe meniul Start și faceți clic pe Executare.
- Tastați mmc și faceți clic pe OK.
- Faceți clic pe fișier meniul și faceți clic pe Adăugare / Eliminare Snap-in …
- Faceți dublu clic pe Certificate.
- Faceți clic pe Cont computer și faceți clic pe Următorul.
- Lăsați computerul local selectat și faceți clic pe Finalizare.
- Extindeți elementul Certificate din stânga și extindeți folderul personal . Faceți clic pe folderul Certificate și faceți clic dreapta pe certificatul autosemnat pe care tocmai l-ați creat și selectați Copiere.
- Extindeți În folderul Autorități de certificare rădăcină de încredere și faceți clic pe folderul Certificate de sub acesta. Faceți clic dreapta în zona albă de sub certificate și faceți clic pe Lipire.
- Acum puteți vizita site-ul dvs. cu https în browser web și nu ar trebui să primiți nicio eroare, deoarece Windows va avea acum încredere în certificatul dvs. auto-semnat IIS.
Pentru mai multe informații despre generarea unui certificat auto-semnat IIS, consultați următoarele linkuri:
- Instalarea unui certificat SSL în Windows Server 2008 (IIS 7.0)
- Sfat / truc : Activarea SSL pe IIS 7.0 Utilizarea certificatelor autosemnate
- Certificatele autosemnate IIS pe IIS 7 – calea ușoară și calea cea mai eficientă
Postat inițial sâmbătă oct. 23, 2010