So erstellen Sie ein selbstsigniertes Zertifikat in IIS 7

SSL ist ein wesentlicher Bestandteil der Sicherung Ihrer IIS 7.0-Site und der Erstellung eines selbstsignierten Zertifikats In IIS 7 ist dies viel einfacher als in früheren Versionen von IIS. SSL-Zertifikate ermöglichen die Verschlüsselung des gesamten Datenverkehrs, der an und von Ihrer IIS-Website gesendet wird, und verhindern, dass andere Benutzer vertrauliche Informationen anzeigen. Es verwendet die Kryptografie mit öffentlichem Schlüssel, um eine sichere Verbindung herzustellen. Dies bedeutet, dass alles, was mit einem öffentlichen Schlüssel (dem SSL-Zertifikat) verschlüsselt ist, nur mit dem privaten Schlüssel entschlüsselt werden kann und umgekehrt.

Verwendung eines selbstsignierten IIS-Zertifikats

Verwenden Sie niemals ein selbstsigniertes Zertifikat auf einer E-Commerce-Website oder einer Website, die wertvolle persönliche Informationen wie Kreditkarten, Sozialversicherungsnummern usw. überträgt.

Ein SSL-Zertifikat dient mehreren Zwecken: Verteilen des öffentlichen Schlüssels und Überprüfen der Identität des Servers, wenn Clients von einem vertrauenswürdigen Drittanbieter signiert werden, damit diese wissen, dass sie ihre Informationen nicht senden (verschlüsselt oder) nicht) an die falsche Person. Ein selbstsigniertes Zertifikat ist ein Zertifikat, das von sich selbst und nicht von einem vertrauenswürdigen Dritten signiert wird. Dies bedeutet, dass Sie nicht überprüfen können, ob Sie eine Verbindung zum richtigen Server herstellen, da jeder Angreifer ein selbstsigniertes Zertifikat erstellen und einen Man-in-the-Middle-Angriff starten kann. Aus diesem Grund sollten Sie fast nie ein selbstsigniertes Zertifikat verwenden Ein öffentlicher IIS-Server, auf dem anonyme Besucher eine Verbindung zu Ihrer Site herstellen müssen. In bestimmten Situationen können jedoch selbstsignierte Zertifikate geeignet sein:

  • Selbstsignierte Zertifikate können in einem Intranet verwendet werden Um über ein lokales Intranet zum Server zu gelangen, besteht praktisch keine Chance auf einen Man-in-the-Middle-Angriff.
  • Selbstsignierte Zertifikate können auf einem IIS-Entwicklungsserver verwendet werden Sie müssen zusätzliches Geld für den Kauf eines vertrauenswürdigen Zertifikats ausgeben, wenn Sie gerade eine Anwendung entwickeln oder testen.
  • Selbstsignierte Zertifikate können auf persönlichen Websites mit wenigen Besuchern verwendet werden. Wenn Sie eine kleine persönliche Website haben, die nicht überträgt kritische Informationen gibt es sehr wenig Anreiz für jemanden

Denken Sie daran, dass Besucher in ihren Browsern (wie im folgenden) eine Warnung sehen, wenn sie eine Verbindung zu einer IIS-Site herstellen, die ein selbstsigniertes Zertifikat verwendet, bis dies der Fall ist dauerhaft in ihrem Zertifikatspeicher gespeichert. Verwenden Sie niemals ein selbstsigniertes Zertifikat auf einer E-Commerce-Website oder einer Website, die wertvolle persönliche Informationen wie Kreditkarten, Sozialversicherungsnummern usw. überträgt.

Vergleichen Sie vertrauenswürdige SSL-Zertifikate

Generieren Sie Ihr selbstsigniertes IIS-Zertifikat

Jetzt wissen Sie, wann Sie ein selbstsigniertes IIS-Zertifikat verwenden müssen und wann nicht. Erstellen wir nun eines:

  1. Klicken Sie auf das Startmenü, gehen Sie zu Verwaltung und klicken Sie auf IIS-Manager (Internet Information Services).

  2. Klicken Sie links in der Spalte Verbindungen auf den Namen des Servers. Doppelklicken Sie auf Serverzertifikate.

  3. Klicken Sie in der Spalte Aktionen rechts auf Selbstsigniertes Zertifikat erstellen.

  4. Geben Sie einen beliebigen Anzeigenamen ein und klicken Sie auf OK.

  5. Sie haben jetzt ein selbstsigniertes IIS-Zertifikat, das 1 Jahr gültig ist und unter Serverzertifikate aufgeführt ist. Der allgemeine Name des Zertifikats (ausgestellt an) ist der Servername. Jetzt müssen wir nur noch das selbstsignierte Zertifikat an die IIS-Site binden.

Binden Sie das selbstsignierte Zertifikat

  1. Erweitern Sie in der Spalte Verbindungen links den Ordner sites und klicken Sie auf die Website, an die Sie das Zertifikat binden möchten. Klicken Sie in der rechten Spalte auf Bindungen …

  2. Klicken Sie auf die Schaltfläche Hinzufügen …

  3. Ändern Sie den Typ in https und wählen Sie dann das gerade installierte SSL-Zertifikat aus. Klicken Sie auf OK.

  4. Sie sehen nun die Bindung für Port 443 aufgelistet. Klicken Sie auf Schließen.

  5. Testen Sie nun das selbstsignierte IIS-Zertifikat, indem Sie die Site mit https in unserem Browser aufrufen ( Beispiel: https://site1.mydomain.com) Wenn Sie dies tun, sollte die folgende Warnung angezeigt werden, die besagt, dass „das von dieser Website vorgelegte Sicherheitszertifikat für die Adresse einer anderen Website ausgestellt wurde“ (ein Fehler, der nicht mit dem Namen übereinstimmt) ).

    Dies wird angezeigt, da IIS immer den Servernamen (in diesem Fall WIN-PABODPHV6W3) als allgemeinen Namen verwendet erstellt ein selbstsigniertes Zertifikat. Dieses Zertifikat stimmt normalerweise nicht mit dem Hostnamen überein, mit dem Sie in Ihrem Browser (site1.mydomain.com) auf die Site zugreifen. In vielen Situationen, in denen selbstsignierte IIS-Zertifikate verwendet werden, ist dies kein Problem.Klicken Sie jedes Mal auf „Weiter zu dieser Website“. Wenn Sie jedoch die Fehlermeldungen vollständig entfernen möchten, müssen Sie die folgenden zwei Schritte ausführen.

Generieren Sie ein selbstsigniertes Zertifikat mit der korrekten allgemeinen Name

Dieser Schritt ist nur erforderlich, wenn Sie die angezeigte Warnmeldung entfernen möchten, da der allgemeine Name auf dem selbstsignierten Zertifikat nicht mit dem Hostnamen der Website übereinstimmt. Um dieses Problem zu beheben, Wir müssen das selbstsignierte Zertifikat mit derselben Methode erstellen, mit der ein selbstsigniertes Zertifikat in IIS 6.0 erstellt wird (mit SelfSSL anstelle von IIS).

  1. Laden Sie die Internetinformationsdienste herunter (IIS) 6.0 Resource Kit Tools und installieren Sie SelfSSL 1.0 (wenn Sie eine benutzerdefinierte Installation durchführen, können Sie alles außer SelfSSL deaktivieren). Klicken Sie nach der Installation auf das Startmenü, gehen Sie zu IIS-Ressourcen und dann zu SelfSSL und führen Sie SelfSSL aus.

  2. Einfügen Ersetzen Sie im folgenden Befehl site1.mydomain.com durch den Hostnamen Ihrer IIS-Site. Wenn Sie den Fehler „Fehler beim Öffnen der Metabasis: 0x80040154“ erhalten, ignorieren Sie ihn einfach. Wir werden das Zertifikat manuell an die Website binden.
    SelfSSL /N:CN=site1.mydomain.com /V:1000

  3. Nach Abschluss des Befehls verfügen Sie über ein selbstsigniertes IIS-Zertifikat mit dem korrekten allgemeinen Namen, der im Abschnitt Serverzertifikate von IIS aufgeführt ist. Befolgen Sie nun die obigen Anweisungen, um das Zertifikat an Ihre IIS-Website zu binden.

  4. Nachdem Sie das neue Zertifikat an Ihren IIS gebunden haben Besuchen Sie die Website mit https in Ihrem Webbrowser, und es tritt ein weiterer Fehler auf: „Das von dieser Website vorgelegte Sicherheitszertifikat wurde nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt.“ (Der Fehler „SSL-Zertifikat nicht vertrauenswürdig“)

    Keine Sorge, dies ist der letzte Fehler, den wir beheben müssen. Dies ist ein normaler Fehler für sich selbst signierte Zertifikate, da das Zertifikat von sich selbst anstelle eines vertrauenswürdigen SSL-Anbieters signiert ist. Alle Besucher der Site sehen diesen Fehler, es sei denn, sie importieren das selbstsignierte Zertifikat in ihren Speicher für vertrauenswürdige Stammzertifizierungsstellen (oder den entsprechenden SSL-Zertifikatspeicher für den Browser) Sie können das selbstsignierte IIS-Zertifikat problemlos zum Speicher auf dem Server hinzufügen, indem Sie die folgenden Anweisungen befolgen. Wenn Sie das Zertifikat auf einen anderen Windows-Computer importieren müssen, befolgen Sie einfach die Anweisungen zum Verschieben oder Kopieren eines Zertifikats SSL-Zertifikat von einem Windows-Server.

Hinzufügen des selbstsignierten Zertifikats zu vertrauenswürdigen Stammzertifizierungsstellen

  1. Klicken Sie auf das Startmenü und dann auf Ausführen.
  2. Geben Sie mmc ein und klicken Sie auf OK.

  3. Klicken Sie auf die Datei Menü und klicken Sie auf Snap-In hinzufügen / entfernen …

  4. Doppelklicken Sie auf Zertifikate.

  5. Klicken Sie auf Computerkonto und dann auf Weiter.

  6. Lassen Sie den lokalen Computer ausgewählt und klicken Sie auf Fertig stellen.

  7. Erweitern Sie das Element Zertifikate links und den Ordner Persönlich . Klicken Sie auf den Ordner „Zertifikate“ und klicken Sie mit der rechten Maustaste auf das selbst erstellte Zertifikat, das Sie gerade erstellt haben, und wählen Sie „Kopieren“.

  8. Erweitern Sie das Ordner „Vertrauenswürdige Stammzertifizierungsstellen“ und klicken Sie auf den Ordner „Zertifikate“ darunter. Klicken Sie mit der rechten Maustaste in den weißen Bereich unter den Zertifikaten und klicken Sie auf Einfügen.

  9. Jetzt können Sie Ihre Site mit https in Ihrem besuchen Webbrowser und Sie sollten keine Fehler erhalten, da Windows Ihrem selbstsignierten IIS-Zertifikat jetzt automatisch vertraut.

Weitere Informationen zum Generieren eines selbstsignierten IIS-Zertifikats finden Sie unter den folgenden Links:

  • Installieren eines SSL-Zertifikats in Windows Server 2008 (IIS 7.0)
  • Tipp / Trick : Aktivieren von SSL unter IIS 7.0 mit selbstsignierten Zertifikaten
  • Selbstsignierte IIS-Zertifikate unter IIS 7 – der einfache und effektivste Weg

Ursprünglich veröffentlicht am Sa Okt. 23, 2010

Write a Comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.