Startpagina » hoe » IT Hoe een zelfondertekend (SSL) -beveiligingscertificaat te maken en dit op clientcomputers toe te passen

    IT Hoe een zelfondertekend (SSL) -beveiligingscertificaat te maken en dit op clientcomputers toe te passen

    Ontwikkelaars en IT-beheerders hebben ongetwijfeld de noodzaak om een ​​bepaalde website via HTTPS te gebruiken met behulp van een SSL-certificaat. Hoewel dit proces vrij eenvoudig is voor een productiesite, kan het voor de doeleinden van ontwikkeling en testen noodzakelijk zijn om hier ook een SSL-certificaat te gebruiken.

    Als een alternatief voor het kopen en vernieuwen van een jaarlijks certificaat, kunt u de capaciteit van uw Windows Server gebruiken om een ​​zelfondertekend certificaat te genereren dat handig en gemakkelijk is en perfect aan dit soort behoeften moet voldoen.

    Een zelfondertekend certificaat maken op IIS

    Hoewel er verschillende manieren zijn om een ​​zelf ondertekend certificaat te maken, gebruiken we het SelfSSL-hulpprogramma van Microsoft. Helaas wordt dit niet geleverd met IIS, maar het is gratis beschikbaar als onderdeel van de IIS 6.0 Resource Toolkit (link onderaan dit artikel). Ondanks de naam "IIS 6.0" werkt dit hulpprogramma prima in IIS 7.

    Het enige dat nodig is, is het extraheren van de IIS6RT om het hulpprogramma selfssl.exe te krijgen. Vanaf hier kunt u het naar uw Windows-map of een netwerkpad / USB-station kopiëren voor toekomstig gebruik op een andere machine (zodat u niet de volledige IIS6RT hoeft te downloaden en extraheren).

    Nadat u het SelfSSL-hulpprogramma hebt geïnstalleerd, voert u de volgende opdracht (als beheerder) uit die de waarden naar wens vervangt:

    selfssl / N: CN = / V:

    Het onderstaande voorbeeld produceert een zelfondertekend wildcardcertificaat tegen "mijndomein.com" en stelt het in op 9.999 dagen. Bovendien, door Ja te antwoorden op de vraag, wordt dit certificaat automatisch geconfigureerd om te binden aan poort 443 binnen de standaardwebsite van IIS.

    Terwijl het certificaat op dit moment klaar is voor gebruik, wordt het alleen opgeslagen in het persoonlijke certificaatarchief op de server. Het is een goede gewoonte om dit certificaat ook in de vertrouwde root te laten instellen.

    Ga naar Start> Uitvoeren (of Windows-toets + R) en voer "mmc" in. Mogelijk ontvangt u een UAC-prompt, accepteert u deze en wordt een lege beheerconsole geopend.

    Ga in de console naar Bestand> Module toevoegen / verwijderen.

    Voeg certificaten aan de linkerkant toe.

    Selecteer Computeraccount.

    Selecteer Lokale computer.

    Klik op OK om de winkel met lokaal certificaat te bekijken.

    Navigeer naar Persoonlijk> Certificaten en zoek het certificaat dat u hebt ingesteld met behulp van het SelfSSL-hulpprogramma. Klik met de rechtermuisknop op het certificaat en selecteer Kopiëren.

    Navigeer naar Vertrouwde basiscertificeringsinstanties> Certificaten. Klik met de rechtermuisknop op de map Certificaten en selecteer Plakken.

    Een vermelding voor het SSL-certificaat zou in de lijst moeten verschijnen.

    Op dit punt zou uw server geen problemen moeten hebben met het werken met het zelfondertekende certificaat.

    Het certificaat exporteren

    Als u toegang wilt krijgen tot een site die het zelfondertekende SSL-certificaat gebruikt op een clientcomputer (dwz elke computer die niet de server is), om een ​​mogelijke aanval van certificaatfouten en waarschuwingen te voorkomen, moet het zelfondertekende certificaat worden geïnstalleerd op elk van de clientmachines (die we hieronder in detail zullen bespreken). Om dit te doen, moeten we eerst het respectieve certificaat exporteren zodat het op de clients kan worden geïnstalleerd.

    Ga binnen in de console met geladen certificaatbeheer naar Vertrouwde basiscertificeringsinstanties> Certificaten. Zoek het certificaat, klik met de rechtermuisknop en selecteer Alle taken> Exporteren.

    Selecteer Ja wanneer u wordt gevraagd de privésleutel te exporteren. Klik volgende.

    Laat de standaardselecties voor de bestandsindeling en klik op Volgende.

    Vul een wachtwoord in. Dit wordt gebruikt om het certificaat te beschermen en gebruikers kunnen het lokaal niet importeren zonder dit wachtwoord in te voeren.

    Voer een locatie in om het certificaatbestand te exporteren. Het zal in PFX-formaat zijn.

    Bevestig uw instellingen en klik op Voltooien.

    Het resulterende PFX-bestand is wat op uw clientcomputers wordt geïnstalleerd om hen te vertellen dat uw zelfondertekende certificaat afkomstig is van een vertrouwde bron.

    Implementeren naar clientcomputers

    Nadat u het certificaat aan de serverzijde hebt gemaakt en alles werkt, merkt u mogelijk dat wanneer een clientcomputer verbinding maakt met de betreffende URL, er een certificaatwaarschuwing wordt weergegeven. Dit gebeurt omdat de certificeringsinstantie (uw server) geen vertrouwde bron is voor SSL-certificaten op de client.

    U kunt door de waarschuwingen bladeren en toegang krijgen tot de site, maar u krijgt mogelijk herhaaldelijke meldingen in de vorm van een gemarkeerde URL-balk of herhaling van certificaatwaarschuwingen. Om deze ergernis te voorkomen, hoeft u alleen maar het aangepaste SSL-beveiligingscertificaat op de clientcomputer te installeren.

    Afhankelijk van de browser die u gebruikt, kan dit proces variëren. IE en Chrome lezen beide uit de Windows Certificate Store, maar Firefox heeft een aangepaste methode voor het afhandelen van beveiligingscertificaten.

    Belangrijke notitie: Je zou moeten nooit installeer een beveiligingscertificaat van een onbekende bron. In de praktijk zou u een certificaat alleen lokaal moeten installeren als u het hebt gegenereerd. Geen enkele legitieme website vereist dat u deze stappen uitvoert.

    Internet Explorer & Google Chrome - Lokaal certificaat installeren

    Opmerking: hoewel Firefox het oorspronkelijke Windows-certificaatarchief niet gebruikt, is dit nog steeds een aanbevolen stap.

    Kopieer het certificaat dat is geëxporteerd van de server (het PFX-bestand) naar de clientcomputer of zorg ervoor dat het beschikbaar is in een netwerkpad.

    Open het lokale certificaatarchiefbeheer op de clientcomputer met exact dezelfde stappen als hierboven. Uiteindelijk zul je eindigen op een scherm zoals hieronder.

    Vouw aan de linkerkant Certificaten> Vertrouwde basiscertificeringsinstanties uit. Klik met de rechtermuisknop op de map Certificaten en selecteer Alle taken> Importeren.

    Selecteer het certificaat dat lokaal naar uw computer is gekopieerd.

    Voer het beveiligingswachtwoord in dat is toegewezen toen het certificaat van de server werd geëxporteerd.

    De winkel "Vertrouwde basiscertificeringsinstanties" moet vooraf als bestemming worden gebruikt. Klik volgende.

    Controleer de instellingen en klik op Voltooien.

    U zou een succesbericht moeten zien.

    Vernieuw uw weergave van de map Vertrouwde basiscertificeringsinstanties> Certificaten en u zou het zelfondertekende certificaat van de server in de winkel moeten zien.

    Als dit is gebeurd, moet u naar een HTTPS-site kunnen bladeren die deze certificaten gebruikt en geen waarschuwingen of aanwijzingen ontvangt.

    Firefox - Uitzonderingen toestaan

    Firefox behandelt dit proces een beetje anders, omdat het certificaatinformatie van de Windows Store niet leest. In plaats van certificaten (per se) te installeren, kunt u uitzonderingen voor SSL-certificaten op bepaalde sites definiëren.

    Wanneer u een site bezoekt met een certificaatfout, ontvangt u een waarschuwing zoals hieronder. Het blauwe gebied geeft de respectieve URL aan die u probeert te openen. Als u een uitzondering wilt maken om deze waarschuwing op de betreffende URL te omzeilen, klikt u op de knop Uitzondering toevoegen.

    Klik in het dialoogvenster Beveiligingsuitzondering toevoegen op Beveiligingsuitzondering bevestigen om deze uitzondering lokaal te configureren.

    Merk op dat als een bepaalde site doorverwijst naar subdomeinen vanuit zichzelf, u mogelijk meerdere beveiligingswaarschuwingsprompts krijgt (waarbij de URL telkens een beetje anders is). Voeg uitzonderingen toe voor die URL's met dezelfde stappen als hierboven.

    Conclusie

    Het is de moeite waard om de bovenstaande opmerking te herhalen, die u zou moeten doen nooit installeer een beveiligingscertificaat van een onbekende bron. In de praktijk zou u een certificaat alleen lokaal moeten installeren als u het hebt gegenereerd. Geen enkele legitieme website vereist dat u deze stappen uitvoert.

    Links

    Download IIS 6.0 Resource Toolkit (inclusief SelfSSL-hulpprogramma) van Microsoft