โฮมเพจ » ทำอย่างไร » วิธีสร้างใบรับรองความปลอดภัยด้วยตนเอง (SSL) และปรับใช้กับเครื่องไคลเอนต์

    วิธีสร้างใบรับรองความปลอดภัยด้วยตนเอง (SSL) และปรับใช้กับเครื่องไคลเอนต์

    นักพัฒนาและผู้ดูแลระบบไอทีไม่ต้องสงสัยเลยว่าจำเป็นต้องปรับใช้บางเว็บไซต์ผ่าน HTTPS โดยใช้ใบรับรอง SSL ในขณะที่กระบวนการนี้ค่อนข้างตรงไปตรงมาสำหรับไซต์การผลิตเพื่อวัตถุประสงค์ในการพัฒนาและทดสอบคุณอาจพบว่าจำเป็นต้องใช้ใบรับรอง SSL ที่นี่เช่นกัน.

    ในฐานะทางเลือกในการซื้อและต่ออายุใบรับรองรายปีคุณสามารถใช้ประโยชน์จากความสามารถของ Windows Server ในการสร้างใบรับรองที่ลงชื่อด้วยตนเองซึ่งสะดวกสบายง่ายและควรตอบสนองความต้องการประเภทนี้อย่างสมบูรณ์.

    การสร้างใบรับรองที่ลงชื่อด้วยตนเองใน IIS

    ในขณะที่มีหลายวิธีในการทำงานให้สำเร็จในการสร้างใบรับรองที่ลงชื่อด้วยตนเองเราจะใช้ยูทิลิตี้ SelfSSL จาก Microsoft น่าเสียดายที่สิ่งนี้ไม่ได้จัดส่งมาพร้อมกับ IIS แต่สามารถใช้งานได้อย่างอิสระซึ่งเป็นส่วนหนึ่งของ IIS 6.0 Resource Toolkit (ลิงก์ที่ให้ไว้ที่ด้านล่างของบทความนี้) แม้จะมีชื่อ“ IIS 6.0” ยูทิลิตี้นี้ใช้งานได้ดีใน IIS 7.

    สิ่งที่จำเป็นต้องมีก็คือการแตก IIS6RT เพื่อรับยูทิลิตี้ selfssl.exe จากที่นี่คุณสามารถคัดลอกไปยังไดเรกทอรี Windows ของคุณหรือเส้นทางเครือข่าย / ไดรฟ์ USB สำหรับใช้ในอนาคตบนเครื่องอื่น (ดังนั้นคุณไม่ต้องดาวน์โหลดและแตก IIS6RT แบบเต็ม).

    เมื่อคุณมียูทิลิตี้ SelfSSL แล้วให้เรียกใช้คำสั่งต่อไปนี้ (ในฐานะผู้ดูแลระบบ) เพื่อแทนที่ค่าตามความเหมาะสม:

    selfssl / N: CN = / V:

    ตัวอย่างด้านล่างสร้างใบรับรองไวด์การ์ดที่ลงนามด้วยตนเองกับ“ mydomain.com” และตั้งค่าให้ใช้ได้เป็นเวลา 9,999 วัน นอกจากนี้โดยการตอบตกลงกับพรอมต์ใบรับรองนี้จะถูกกำหนดค่าโดยอัตโนมัติเพื่อผูกเข้ากับพอร์ต 443 ภายในเว็บไซต์เริ่มต้นของ IIS.

    ในขณะที่จุดนี้ใบรับรองพร้อมใช้งานจะถูกเก็บไว้ในที่เก็บใบรับรองส่วนบุคคลบนเซิร์ฟเวอร์เท่านั้น เป็นวิธีปฏิบัติที่ดีที่สุดที่จะมีการตั้งค่าใบรับรองนี้ในรูทที่เชื่อถือได้เช่นกัน.

    ไปที่ Start> Run (หรือ Windows Key + R) และป้อน“ mmc” คุณอาจได้รับพรอมต์ UAC ยอมรับมันและคอนโซลการจัดการที่ว่างเปล่าจะเปิดขึ้น.

    ในคอนโซลไปที่ไฟล์> เพิ่ม / ลบสแนปอิน.

    เพิ่มใบรับรองจากด้านซ้าย.

    เลือกบัญชีคอมพิวเตอร์.

    เลือกเครื่องคอมพิวเตอร์.

    คลิกตกลงเพื่อดูที่จัดเก็บใบรับรองท้องถิ่น.

    ไปที่ส่วนบุคคล> ใบรับรองและค้นหาใบรับรองที่คุณตั้งค่าโดยใช้ยูทิลิตี้ SelfSSL คลิกขวาที่ใบรับรองแล้วเลือกคัดลอก.

    นำทางไปยังผู้ให้บริการออกใบรับรองหลักที่เชื่อถือได้> ใบรับรอง คลิกขวาที่โฟลเดอร์ใบรับรองและเลือกวาง.

    รายการสำหรับใบรับรอง SSL ควรปรากฏในรายการ.

    ณ จุดนี้เซิร์ฟเวอร์ของคุณจะไม่มีปัญหาในการทำงานกับใบรับรองที่ลงชื่อด้วยตนเอง.

    ส่งออกใบรับรอง

    หากคุณกำลังจะเข้าถึงเว็บไซต์ที่ใช้ใบรับรอง SSL ที่ลงชื่อด้วยตนเองในเครื่องไคลเอนต์ใด ๆ (เช่นคอมพิวเตอร์ใด ๆ ที่ไม่ใช่เซิร์ฟเวอร์) เพื่อหลีกเลี่ยงการโจมตีที่อาจเกิดขึ้นจากข้อผิดพลาดของใบรับรองและคำเตือนควรติดตั้งใบรับรองที่ลงชื่อด้วยตนเอง ในแต่ละเครื่องลูกค้า (ซึ่งเราจะหารือในรายละเอียดด้านล่าง) ในการทำเช่นนี้เราต้องส่งออกใบรับรองที่เกี่ยวข้องก่อนเพื่อให้สามารถติดตั้งบนไคลเอนต์ได้.

    ภายในคอนโซลที่โหลดการจัดการใบรับรองไว้ให้ไปที่ Trusted Root Certificate Authorities> Certificates ค้นหาใบรับรองคลิกขวาและเลือกงานทั้งหมด> ส่งออก.

    เมื่อได้รับแจ้งให้ส่งออกคีย์ส่วนตัวให้เลือกใช่ คลิกถัดไป.

    ปล่อยให้การเลือกเริ่มต้นสำหรับรูปแบบไฟล์และคลิกถัดไป.

    ใส่รหัสผ่าน สิ่งนี้จะถูกใช้เพื่อปกป้องใบรับรองและผู้ใช้จะไม่สามารถนำเข้าภายในเครื่องโดยไม่ต้องป้อนรหัสผ่านนี้.

    ป้อนที่ตั้งเพื่อส่งออกไฟล์ใบรับรอง มันจะอยู่ในรูปแบบ PFX.

    ยืนยันการตั้งค่าของคุณและคลิกเสร็จสิ้น.

    ไฟล์ PFX ที่ได้คือสิ่งที่จะถูกติดตั้งลงในเครื่องไคลเอนต์ของคุณเพื่อบอกพวกเขาว่าใบรับรองที่ลงชื่อด้วยตนเองของคุณนั้นมาจากแหล่งที่เชื่อถือได้.

    ปรับใช้กับเครื่องไคลเอนต์

    เมื่อคุณสร้างใบรับรองบนฝั่งเซิร์ฟเวอร์และทำให้ทุกอย่างทำงานคุณอาจสังเกตเห็นว่าเมื่อเครื่องไคลเอนต์เชื่อมต่อกับ URL ที่เกี่ยวข้องคำเตือนใบรับรองจะปรากฏขึ้น สิ่งนี้เกิดขึ้นเนื่องจากผู้ออกใบรับรอง (เซิร์ฟเวอร์ของคุณ) ไม่ใช่แหล่งที่เชื่อถือได้สำหรับใบรับรอง SSL ในไคลเอนต์.

    คุณสามารถคลิกผ่านคำเตือนและเข้าถึงไซต์ได้อย่างไรก็ตามคุณอาจได้รับการแจ้งเตือนซ้ำ ๆ ในรูปแบบของแถบ URL ที่เน้นสีหรือการทำซ้ำคำเตือนใบรับรอง เพื่อหลีกเลี่ยงปัญหานี้คุณเพียงแค่ต้องติดตั้งใบรับรองความปลอดภัย SSL ที่กำหนดเองบนเครื่องไคลเอนต์.

    กระบวนการนี้อาจแตกต่างกันไปขึ้นอยู่กับเบราว์เซอร์ที่คุณใช้ ทั้ง IE และ Chrome อ่านจากที่เก็บใบรับรอง Windows อย่างไรก็ตาม Firefox มีวิธีการจัดการใบรับรองความปลอดภัยที่กำหนดเอง.

    โน๊ตสำคัญ: คุณควร ไม่เคย ติดตั้งใบรับรองความปลอดภัยจากแหล่งที่ไม่รู้จัก ในทางปฏิบัติคุณควรติดตั้งใบรับรองในเครื่องเฉพาะเมื่อคุณสร้างขึ้น ไม่มีเว็บไซต์ที่ถูกต้องตามกฎหมายที่จะให้คุณทำตามขั้นตอนเหล่านี้.

    Internet Explorer & Google Chrome - การติดตั้งใบรับรองในเครื่อง

    หมายเหตุ: แม้ว่า Firefox จะไม่ใช้ที่เก็บใบรับรอง Windows ดั้งเดิม แต่นี่ก็เป็นขั้นตอนที่แนะนำ.

    คัดลอกใบรับรองที่ส่งออกจากเซิร์ฟเวอร์ (ไฟล์ PFX) ไปยังเครื่องไคลเอนต์หรือตรวจสอบว่ามีอยู่ในเส้นทางเครือข่าย.

    เปิดการจัดการที่เก็บใบรับรองท้องถิ่นบนเครื่องไคลเอนต์โดยใช้ขั้นตอนเดียวกันกับข้างต้น ในที่สุดคุณจะพบหน้าจอเหมือนด้านล่าง.

    ทางด้านซ้ายให้ขยายใบรับรอง> ผู้ออกใบรับรองหลักที่เชื่อถือได้ คลิกขวาที่โฟลเดอร์ใบรับรองและเลือกงานทั้งหมด> นำเข้า.

    เลือกใบรับรองที่ถูกคัดลอกภายในเครื่องของคุณ.

    ป้อนรหัสผ่านความปลอดภัยที่กำหนดเมื่อใบรับรองถูกส่งออกจากเซิร์ฟเวอร์.

    ร้านค้า“ ผู้ให้บริการออกใบรับรองหลักที่เชื่อถือได้” ควรได้รับการเติมล่วงหน้าเป็นปลายทาง คลิกถัดไป.

    ตรวจสอบการตั้งค่าและคลิกเสร็จสิ้น.

    คุณควรเห็นข้อความแสดงความสำเร็จ.

    รีเฟรชมุมมองของคุณในโฟลเดอร์ผู้ออกใบรับรองหลักที่เชื่อถือได้> ใบรับรองและคุณควรเห็นใบรับรองที่ลงชื่อด้วยตนเองของเซิร์ฟเวอร์ที่แสดงอยู่ในร้าน.

    คุณจะสามารถเรียกดูไซต์ HTTPS ที่ใช้ใบรับรองเหล่านี้ได้และจะไม่ได้รับคำเตือนหรือข้อความแจ้งใด ๆ.

    Firefox - การอนุญาตข้อยกเว้น

    Firefox จัดการกับกระบวนการนี้แตกต่างกันเล็กน้อยเนื่องจากไม่ได้อ่านข้อมูลใบรับรองจากที่เก็บ Windows แทนที่จะติดตั้งใบรับรอง (ต่อรายการ) จะช่วยให้คุณกำหนดข้อยกเว้นสำหรับใบรับรอง SSL ในบางไซต์ได้.

    เมื่อคุณเยี่ยมชมไซต์ที่มีข้อผิดพลาดของใบรับรองคุณจะได้รับคำเตือนเหมือนด้านล่าง พื้นที่สีน้ำเงินจะตั้งชื่อ URL ตามที่คุณพยายามเข้าถึง ในการสร้างข้อยกเว้นเพื่อข้ามคำเตือนนี้ใน URL ที่เกี่ยวข้องคลิกปุ่มเพิ่มข้อยกเว้น.

    ในกล่องโต้ตอบเพิ่มความปลอดภัยยกเว้นคลิกยืนยันความปลอดภัยยกเว้นเพื่อกำหนดค่าข้อยกเว้นนี้ในเครื่อง.

    โปรดทราบว่าหากไซต์ใดไซต์หนึ่งเปลี่ยนเส้นทางไปยังโดเมนย่อยจากภายในตัวเองคุณอาจได้รับการแจ้งเตือนการรักษาความปลอดภัยหลายครั้ง (โดย URL นั้นแตกต่างกันเล็กน้อยในแต่ละครั้ง) เพิ่มข้อยกเว้นสำหรับ URL เหล่านั้นโดยใช้ขั้นตอนเดียวกับด้านบน.

    ข้อสรุป

    เป็นมูลค่าการทำซ้ำการแจ้งเตือนข้างต้นที่คุณควร ไม่เคย ติดตั้งใบรับรองความปลอดภัยจากแหล่งที่ไม่รู้จัก ในทางปฏิบัติคุณควรติดตั้งใบรับรองในเครื่องเฉพาะเมื่อคุณสร้างขึ้น ไม่มีเว็บไซต์ที่ถูกต้องตามกฎหมายที่จะให้คุณทำตามขั้นตอนเหล่านี้.

    การเชื่อมโยง

    ดาวน์โหลด IIS 6.0 Resource Toolkit (รวมถึงยูทิลิตี้ SelfSSL) จาก Microsoft