SSL är en viktig del av att säkra din IIS 7.0-webbplats och skapa ett självsignerat certifikat i IIS 7 är mycket lättare att göra än i tidigare versioner av IIS. SSL-certifikat möjliggör kryptering av all trafik som skickas till och från din IIS-webbplats, vilket hindrar andra från att se känslig information. Den använder kryptografi med offentlig nyckel för att skapa en säker anslutning. Detta innebär att allt som är krypterat med en offentlig nyckel (SSL-certifikatet) bara kan dekrypteras med den privata nyckeln och vice versa.
När ska jag använda ett IIS-själv signerat certifikat
Använd aldrig ett självsignerat certifikat på en e-handelswebbplats eller någon webbplats som överför värdefull personlig information som kreditkort, personnummer etc.
Ett SSL-certifikat har flera syften: att distribuera den offentliga nyckeln och, när den signeras av en pålitlig tredje part, verifierar serverns identitet så att klienterna vet att de inte skickar sin information (krypterad eller inte) till fel person. Ett självsignerat certifikat är ett certifikat som signeras av sig själv snarare än en betrodd tredje part. Det betyder att du inte kan verifiera att du ansluter till rätt server eftersom alla angripare kan skapa ett självsignerat certifikat och starta en man-i-mitten-attack. På grund av detta bör du nästan aldrig använda ett själv signerat certifikat på en offentlig IIS-server som kräver att anonyma besökare ansluter till din webbplats. Men självsignerade certifikat kan vara lämpliga i vissa situationer:
- Självsignerade certifikat kan användas på ett intranät. När klienter bara har att gå igenom ett lokalt intranät för att komma till servern, det finns praktiskt taget ingen chans för en man-i-mitten-attack.
- Självsignerade certifikat kan användas på en IIS-utvecklingsserver. Det finns ingen behöver spendera extra pengar på att köpa ett pålitligt certifikat när du bara utvecklar eller testar en applikation.
- Självsignerade certifikat kan användas på personliga webbplatser med få besökare. Om du har en liten personlig webbplats som överför icke- kritisk information finns det väldigt lite incitament för någon för att attackera anslutningen.
Tänk bara på att besökare ser en varning i sina webbläsare (som den nedan) när de ansluter till en IIS-webbplats som använder ett självsignerat certifikat tills det är lagras permanent i deras certifikatbutik. Använd aldrig ett självsignerat certifikat på en e-handelswebbplats eller någon webbplats som överför värdefull personlig information som kreditkort, personnummer etc.
Jämför betrodda SSL-certifikat
Skapa ditt IIS självsignerade certifikat
Nu vet du när du ska använda ett IIS-självsignerat certifikat och när inte. Låt oss nu skapa en:
- Klicka på Start-menyn, gå till Administrativa verktyg och klicka på Internet Information Services (IIS) Manager.
- Klicka på namnet på servern i kolumnen Anslutningar till vänster. Dubbelklicka på servercertifikat.
- I kolumnen Åtgärder till höger klickar du på Skapa självsignerat certifikat .. .
- Ange ett vänligt namn och klicka sedan på OK.
- Nu kommer du att ha ett IIS-självsignerat certifikat som är giltigt i 1 år listat under Servercertifikat. Certifikatets vanliga namn (utfärdas till) är serverns namn. Nu behöver vi bara binda det självsignerade certifikatet till IIS-webbplatsen.
Binda det självsignerade certifikatet
- I kolumnen Anslutningar till vänster expanderar du webbplatsmappen och klickar på webbplatsen som du vill binda certifikatet till. Klicka på Bindningar … i högra kolumnen.
- Klicka på knappen Lägg till …
- Ändra typen till https och välj sedan det SSL-certifikat som du just installerade. Klicka på OK.
- Nu visas bindningen för port 443. Klicka på Stäng.
- Låt oss nu testa det IIS självtecknade certifikatet genom att gå till webbplatsen med https i vår webbläsare ( t.ex. https://site1.mydomain.com). När du gör det bör du se följande varning om att ”Säkerhetscertifikatet som presenteras av den här webbplatsen har utfärdats för en annan webbadress” (ett fel som inte stämmer med namnet
Detta visas eftersom IIS alltid använder serverns namn (i detta fall WIN-PABODPHV6W3) som det vanliga namnet när det skapar ett självsignerat certifikat. Detta matchar vanligtvis inte värdnamnet som du använder för att komma åt webbplatsen i din webbläsare (site1.mydomain.com). I många situationer där IIS-självtecknade certifikat används är detta inte ett problem.Klicka bara på ”Fortsätt till den här webbplatsen” varje gång. Men om du vill bli av med felmeddelandena, måste du följa de två följande stegen nedan.
Skapa ett självsignerat certifikat med rätt gemensamt Namn
Detta steg krävs endast om du vill bli av med det varningsmeddelande som visas eftersom det vanliga namnet på det självsignerade certifikatet inte matchar webbplatsens värdnamn. För att lösa detta problem, vi måste skapa det självsignerade certifikatet med samma metod som används för att skapa ett självsignerat certifikat i IIS 6.0 (med SelfSSL istället för via IIS).
- Ladda ner Internet Information Services (IIS) 6.0 Resource Kit Tools och installera SelfSSL 1.0 (om du gör en anpassad installation kan du avmarkera allt utom SelfSSL). När den är installerad klickar du på Start-menyn, går till IIS Resources, sedan SelfSSL och kör SelfSSL.
- Klistra in i följande kommando och ersätt site1.mydomain.com med värdnamnet på din IIS-webbplats. Om du får felmeddelandet ”Fel vid metabasöppning: 0x80040154”, ignorerar du det bara. Vi kommer att binda certifikatet manuellt till webbplatsen.
SelfSSL /N:CN=site1.mydomain.com /V:1000
- När kommandot är klart kommer du att ha ett IIS-självtecknat certifikat med rätt vanligt namn i avsnittet Servercertifikat i IIS. Följ nu instruktionerna ovan för att binda certifikatet till din IIS-webbplats.
- När du har bundit det nya certifikatet till ditt IIS webbplats, besök den med https i din webbläsare och du kommer att stöta på ett annat fel: ”Säkerhetscertifikatet som presenteras av denna webbplats utfärdades inte av en betrodd certifikatutfärdare.” (SSL-certifikatet är inte tillförlitligt-fel)
Oroa dig inte, det här är det sista felet vi måste åtgärda. Detta är ett normalt fel för dig själv signerade certifikat eftersom certifikatet är signerat av sig själv istället för en betrodd SSL-leverantör. Alla besökare på webbplatsen kommer att se det felet såvida de inte importerar det självsignerade certifikatet till deras Trusted Root Certification Authorities-butik (eller lämpligt SSL-certifikatlager för webbläsaren De använder). Du kan enkelt lägga till det IIS självtecknade certifikatet i butiken på servern genom att följa instruktionerna nedan. Om du behöver importera certifikatet på en annan Windows-maskin, följ bara instruktionerna för hur du flyttar eller kopierar en SSL-certifikat från en Windows-server.
Lägg till det självsignerade certifikatet till betrodda rotcertifikatutfärdare
- Klicka på Start-menyn och klicka på Kör.
- Skriv in mmc och klicka på OK.
- Klicka på filen menyn och klicka på Lägg till / ta bort Snap-in …
- Dubbelklicka på Certifikat.
- Klicka på Datorkonto och klicka på Nästa.
- Lämna lokal dator vald och klicka på Slutför.
- Expandera certifikatobjektet till vänster och expandera den personliga mappen . Klicka på mappen Certifikat och högerklicka på det självsignerade certifikatet som du just skapade och välj Kopiera.
- Expandera Mapp för betrodda rotcertifieringsmyndigheter och klicka på mappen Certifikat under den. Högerklicka i det vita området under certifikaten och klicka på Klistra in.
- Nu kan du besöka din webbplats med https i din webbläsare och du bör inte få några fel eftersom Windows nu automatiskt litar på ditt IIS-självtecknade certifikat.
Mer information om att skapa ett IIS-självtecknat certifikat finns i följande länkar:
- Installera ett SSL-certifikat i Windows Server 2008 (IIS 7.0)
- Tips / trick : Aktivera SSL i IIS 7.0 med hjälp av självsignerade certifikat
- IIS själv signerade certifikat på IIS 7 – det enkla sättet och det mest effektiva sättet
Ursprungligen publicerad lör okt. 23, 2010