วิธีสร้างใบรับรองความปลอดภัยด้วยตนเอง (SSL) และปรับใช้กับเครื่องไคลเอนต์
นักพัฒนาและผู้ดูแลระบบไอทีไม่ต้องสงสัยเลยว่าจำเป็นต้องปรับใช้บางเว็บไซต์ผ่าน HTTPS โดยใช้ใบรับรอง SSL ในขณะที่กระบวนการนี้ค่อนข้างตรงไปตรงมาสำหรับไซต์การผลิตเพื่อวัตถุประสงค์ในการพัฒนาและทดสอบคุณอาจพบว่าจำเป็นต้องใช้ใบรับรอง SSL ที่นี่เช่นกัน.
ในฐานะทางเลือกในการซื้อและต่ออายุใบรับรองรายปีคุณสามารถใช้ประโยชน์จากความสามารถของ Windows Server ในการสร้างใบรับรองที่ลงชื่อด้วยตนเองซึ่งสะดวกสบายง่ายและควรตอบสนองความต้องการประเภทนี้อย่างสมบูรณ์.
การสร้างใบรับรองที่ลงชื่อด้วยตนเองใน IIS
ในขณะที่มีหลายวิธีในการทำงานให้สำเร็จในการสร้างใบรับรองที่ลงชื่อด้วยตนเองเราจะใช้ยูทิลิตี้ SelfSSL จาก Microsoft น่าเสียดายที่สิ่งนี้ไม่ได้จัดส่งมาพร้อมกับ IIS แต่สามารถใช้งานได้อย่างอิสระซึ่งเป็นส่วนหนึ่งของ IIS 6.0 Resource Toolkit (ลิงก์ที่ให้ไว้ที่ด้านล่างของบทความนี้) แม้จะมีชื่อ“ IIS 6.0” ยูทิลิตี้นี้ใช้งานได้ดีใน IIS 7.
สิ่งที่จำเป็นต้องมีก็คือการแตก IIS6RT เพื่อรับยูทิลิตี้ selfssl.exe จากที่นี่คุณสามารถคัดลอกไปยังไดเรกทอรี Windows ของคุณหรือเส้นทางเครือข่าย / ไดรฟ์ USB สำหรับใช้ในอนาคตบนเครื่องอื่น (ดังนั้นคุณไม่ต้องดาวน์โหลดและแตก IIS6RT แบบเต็ม).
เมื่อคุณมียูทิลิตี้ SelfSSL แล้วให้เรียกใช้คำสั่งต่อไปนี้ (ในฐานะผู้ดูแลระบบ) เพื่อแทนที่ค่าตามความเหมาะสม:
selfssl / N: CN = / V:
ตัวอย่างด้านล่างสร้างใบรับรองไวด์การ์ดที่ลงนามด้วยตนเองกับ“ mydomain.com” และตั้งค่าให้ใช้ได้เป็นเวลา 9,999 วัน นอกจากนี้โดยการตอบตกลงกับพรอมต์ใบรับรองนี้จะถูกกำหนดค่าโดยอัตโนมัติเพื่อผูกเข้ากับพอร์ต 443 ภายในเว็บไซต์เริ่มต้นของ IIS.
ในขณะที่จุดนี้ใบรับรองพร้อมใช้งานจะถูกเก็บไว้ในที่เก็บใบรับรองส่วนบุคคลบนเซิร์ฟเวอร์เท่านั้น เป็นวิธีปฏิบัติที่ดีที่สุดที่จะมีการตั้งค่าใบรับรองนี้ในรูทที่เชื่อถือได้เช่นกัน.
ไปที่ Start> Run (หรือ Windows Key + R) และป้อน“ mmc” คุณอาจได้รับพรอมต์ UAC ยอมรับมันและคอนโซลการจัดการที่ว่างเปล่าจะเปิดขึ้น.
ในคอนโซลไปที่ไฟล์> เพิ่ม / ลบสแนปอิน.
เพิ่มใบรับรองจากด้านซ้าย.
เลือกบัญชีคอมพิวเตอร์.
เลือกเครื่องคอมพิวเตอร์.
คลิกตกลงเพื่อดูที่จัดเก็บใบรับรองท้องถิ่น.
ไปที่ส่วนบุคคล> ใบรับรองและค้นหาใบรับรองที่คุณตั้งค่าโดยใช้ยูทิลิตี้ SelfSSL คลิกขวาที่ใบรับรองแล้วเลือกคัดลอก.
นำทางไปยังผู้ให้บริการออกใบรับรองหลักที่เชื่อถือได้> ใบรับรอง คลิกขวาที่โฟลเดอร์ใบรับรองและเลือกวาง.
รายการสำหรับใบรับรอง SSL ควรปรากฏในรายการ.
ณ จุดนี้เซิร์ฟเวอร์ของคุณจะไม่มีปัญหาในการทำงานกับใบรับรองที่ลงชื่อด้วยตนเอง.
ส่งออกใบรับรอง
หากคุณกำลังจะเข้าถึงเว็บไซต์ที่ใช้ใบรับรอง SSL ที่ลงชื่อด้วยตนเองในเครื่องไคลเอนต์ใด ๆ (เช่นคอมพิวเตอร์ใด ๆ ที่ไม่ใช่เซิร์ฟเวอร์) เพื่อหลีกเลี่ยงการโจมตีที่อาจเกิดขึ้นจากข้อผิดพลาดของใบรับรองและคำเตือนควรติดตั้งใบรับรองที่ลงชื่อด้วยตนเอง ในแต่ละเครื่องลูกค้า (ซึ่งเราจะหารือในรายละเอียดด้านล่าง) ในการทำเช่นนี้เราต้องส่งออกใบรับรองที่เกี่ยวข้องก่อนเพื่อให้สามารถติดตั้งบนไคลเอนต์ได้.
ภายในคอนโซลที่โหลดการจัดการใบรับรองไว้ให้ไปที่ Trusted Root Certificate Authorities> Certificates ค้นหาใบรับรองคลิกขวาและเลือกงานทั้งหมด> ส่งออก.
เมื่อได้รับแจ้งให้ส่งออกคีย์ส่วนตัวให้เลือกใช่ คลิกถัดไป.
ปล่อยให้การเลือกเริ่มต้นสำหรับรูปแบบไฟล์และคลิกถัดไป.
ใส่รหัสผ่าน สิ่งนี้จะถูกใช้เพื่อปกป้องใบรับรองและผู้ใช้จะไม่สามารถนำเข้าภายในเครื่องโดยไม่ต้องป้อนรหัสผ่านนี้.
ป้อนที่ตั้งเพื่อส่งออกไฟล์ใบรับรอง มันจะอยู่ในรูปแบบ PFX.
ยืนยันการตั้งค่าของคุณและคลิกเสร็จสิ้น.
ไฟล์ PFX ที่ได้คือสิ่งที่จะถูกติดตั้งลงในเครื่องไคลเอนต์ของคุณเพื่อบอกพวกเขาว่าใบรับรองที่ลงชื่อด้วยตนเองของคุณนั้นมาจากแหล่งที่เชื่อถือได้.
ปรับใช้กับเครื่องไคลเอนต์
เมื่อคุณสร้างใบรับรองบนฝั่งเซิร์ฟเวอร์และทำให้ทุกอย่างทำงานคุณอาจสังเกตเห็นว่าเมื่อเครื่องไคลเอนต์เชื่อมต่อกับ URL ที่เกี่ยวข้องคำเตือนใบรับรองจะปรากฏขึ้น สิ่งนี้เกิดขึ้นเนื่องจากผู้ออกใบรับรอง (เซิร์ฟเวอร์ของคุณ) ไม่ใช่แหล่งที่เชื่อถือได้สำหรับใบรับรอง SSL ในไคลเอนต์.
คุณสามารถคลิกผ่านคำเตือนและเข้าถึงไซต์ได้อย่างไรก็ตามคุณอาจได้รับการแจ้งเตือนซ้ำ ๆ ในรูปแบบของแถบ URL ที่เน้นสีหรือการทำซ้ำคำเตือนใบรับรอง เพื่อหลีกเลี่ยงปัญหานี้คุณเพียงแค่ต้องติดตั้งใบรับรองความปลอดภัย SSL ที่กำหนดเองบนเครื่องไคลเอนต์.
กระบวนการนี้อาจแตกต่างกันไปขึ้นอยู่กับเบราว์เซอร์ที่คุณใช้ ทั้ง IE และ Chrome อ่านจากที่เก็บใบรับรอง Windows อย่างไรก็ตาม Firefox มีวิธีการจัดการใบรับรองความปลอดภัยที่กำหนดเอง.
โน๊ตสำคัญ: คุณควร ไม่เคย ติดตั้งใบรับรองความปลอดภัยจากแหล่งที่ไม่รู้จัก ในทางปฏิบัติคุณควรติดตั้งใบรับรองในเครื่องเฉพาะเมื่อคุณสร้างขึ้น ไม่มีเว็บไซต์ที่ถูกต้องตามกฎหมายที่จะให้คุณทำตามขั้นตอนเหล่านี้.
Internet Explorer & Google Chrome - การติดตั้งใบรับรองในเครื่อง
หมายเหตุ: แม้ว่า Firefox จะไม่ใช้ที่เก็บใบรับรอง Windows ดั้งเดิม แต่นี่ก็เป็นขั้นตอนที่แนะนำ.
คัดลอกใบรับรองที่ส่งออกจากเซิร์ฟเวอร์ (ไฟล์ PFX) ไปยังเครื่องไคลเอนต์หรือตรวจสอบว่ามีอยู่ในเส้นทางเครือข่าย.
เปิดการจัดการที่เก็บใบรับรองท้องถิ่นบนเครื่องไคลเอนต์โดยใช้ขั้นตอนเดียวกันกับข้างต้น ในที่สุดคุณจะพบหน้าจอเหมือนด้านล่าง.
ทางด้านซ้ายให้ขยายใบรับรอง> ผู้ออกใบรับรองหลักที่เชื่อถือได้ คลิกขวาที่โฟลเดอร์ใบรับรองและเลือกงานทั้งหมด> นำเข้า.
เลือกใบรับรองที่ถูกคัดลอกภายในเครื่องของคุณ.
ป้อนรหัสผ่านความปลอดภัยที่กำหนดเมื่อใบรับรองถูกส่งออกจากเซิร์ฟเวอร์.
ร้านค้า“ ผู้ให้บริการออกใบรับรองหลักที่เชื่อถือได้” ควรได้รับการเติมล่วงหน้าเป็นปลายทาง คลิกถัดไป.
ตรวจสอบการตั้งค่าและคลิกเสร็จสิ้น.
คุณควรเห็นข้อความแสดงความสำเร็จ.
รีเฟรชมุมมองของคุณในโฟลเดอร์ผู้ออกใบรับรองหลักที่เชื่อถือได้> ใบรับรองและคุณควรเห็นใบรับรองที่ลงชื่อด้วยตนเองของเซิร์ฟเวอร์ที่แสดงอยู่ในร้าน.
คุณจะสามารถเรียกดูไซต์ HTTPS ที่ใช้ใบรับรองเหล่านี้ได้และจะไม่ได้รับคำเตือนหรือข้อความแจ้งใด ๆ.
Firefox - การอนุญาตข้อยกเว้น
Firefox จัดการกับกระบวนการนี้แตกต่างกันเล็กน้อยเนื่องจากไม่ได้อ่านข้อมูลใบรับรองจากที่เก็บ Windows แทนที่จะติดตั้งใบรับรอง (ต่อรายการ) จะช่วยให้คุณกำหนดข้อยกเว้นสำหรับใบรับรอง SSL ในบางไซต์ได้.
เมื่อคุณเยี่ยมชมไซต์ที่มีข้อผิดพลาดของใบรับรองคุณจะได้รับคำเตือนเหมือนด้านล่าง พื้นที่สีน้ำเงินจะตั้งชื่อ URL ตามที่คุณพยายามเข้าถึง ในการสร้างข้อยกเว้นเพื่อข้ามคำเตือนนี้ใน URL ที่เกี่ยวข้องคลิกปุ่มเพิ่มข้อยกเว้น.
ในกล่องโต้ตอบเพิ่มความปลอดภัยยกเว้นคลิกยืนยันความปลอดภัยยกเว้นเพื่อกำหนดค่าข้อยกเว้นนี้ในเครื่อง.
โปรดทราบว่าหากไซต์ใดไซต์หนึ่งเปลี่ยนเส้นทางไปยังโดเมนย่อยจากภายในตัวเองคุณอาจได้รับการแจ้งเตือนการรักษาความปลอดภัยหลายครั้ง (โดย URL นั้นแตกต่างกันเล็กน้อยในแต่ละครั้ง) เพิ่มข้อยกเว้นสำหรับ URL เหล่านั้นโดยใช้ขั้นตอนเดียวกับด้านบน.
ข้อสรุป
เป็นมูลค่าการทำซ้ำการแจ้งเตือนข้างต้นที่คุณควร ไม่เคย ติดตั้งใบรับรองความปลอดภัยจากแหล่งที่ไม่รู้จัก ในทางปฏิบัติคุณควรติดตั้งใบรับรองในเครื่องเฉพาะเมื่อคุณสร้างขึ้น ไม่มีเว็บไซต์ที่ถูกต้องตามกฎหมายที่จะให้คุณทำตามขั้นตอนเหล่านี้.
การเชื่อมโยง
ดาวน์โหลด IIS 6.0 Resource Toolkit (รวมถึงยูทิลิตี้ SelfSSL) จาก Microsoft