โฮมเพจ » ทำอย่างไร » วิธีสร้างใบรับรองความปลอดภัยด้วยตนเอง (SSL) และปรับใช้กับเครื่องไคลเอนต์

    วิธีสร้างใบรับรองความปลอดภัยด้วยตนเอง (SSL) และปรับใช้กับเครื่องไคลเอนต์

    นักพัฒนาและผู้ดูแลระบบไอทีไม่ต้องสงสัยเลยว่าจำเป็นต้องปรับใช้บางเว็บไซต์ผ่าน HTTPS โดยใช้ใบรับรอง SSL ในขณะที่กระบวนการนี้ค่อนข้างตรงไปตรงมาสำหรับไซต์การผลิตเพื่อวัตถุประสงค์ในการพัฒนาและทดสอบคุณอาจพบว่าจำเป็นต้องใช้ใบรับรอง SSL ที่นี่เช่นกัน.

    ในฐานะทางเลือกในการซื้อและต่ออายุใบรับรองรายปีคุณสามารถใช้ประโยชน์จากความสามารถของ Windows Server ในการสร้างใบรับรองที่ลงชื่อด้วยตนเองซึ่งสะดวกสบายง่ายและควรตอบสนองความต้องการประเภทนี้อย่างสมบูรณ์.

    การสร้างใบรับรองที่ลงชื่อด้วยตนเองใน IIS

    ในขณะที่มีหลายวิธีในการทำงานให้สำเร็จในการสร้างใบรับรองที่ลงชื่อด้วยตนเองเราจะใช้ยูทิลิตี้ SelfSSL จาก Microsoft น่าเสียดายที่สิ่งนี้ไม่ได้จัดส่งมาพร้อมกับ IIS แต่สามารถใช้งานได้อย่างอิสระซึ่งเป็นส่วนหนึ่งของ IIS 6.0 Resource Toolkit (ลิงก์ที่ให้ไว้ที่ด้านล่างของบทความนี้) แม้จะมีชื่อ“ IIS 6.0” ยูทิลิตี้นี้ใช้งานได้ดีใน IIS 7.

    สิ่งที่จำเป็นต้องมีก็คือการแตก IIS6RT เพื่อรับยูทิลิตี้ selfssl.exe จากที่นี่คุณสามารถคัดลอกไปยังไดเรกทอรี Windows ของคุณหรือเส้นทางเครือข่าย / ไดรฟ์ USB สำหรับใช้ในอนาคตบนเครื่องอื่น (ดังนั้นคุณไม่ต้องดาวน์โหลดและแตก IIS6RT แบบเต็ม).

    เมื่อคุณมียูทิลิตี้ SelfSSL แล้วให้เรียกใช้คำสั่งต่อไปนี้ (ในฐานะผู้ดูแลระบบ) เพื่อแทนที่ค่าตามความเหมาะสม:

    selfssl / N: CN = / V:

    ตัวอย่างด้านล่างสร้างใบรับรองไวด์การ์ดที่ลงนามด้วยตนเองกับ“ mydomain.com” และตั้งค่าให้ใช้ได้เป็นเวลา 9,999 วัน นอกจากนี้โดยการตอบตกลงกับพรอมต์ใบรับรองนี้จะถูกกำหนดค่าโดยอัตโนมัติเพื่อผูกเข้ากับพอร์ต 443 ภายในเว็บไซต์เริ่มต้นของ IIS.

    ในขณะที่จุดนี้ใบรับรองพร้อมใช้งานจะถูกเก็บไว้ในที่เก็บใบรับรองส่วนบุคคลบนเซิร์ฟเวอร์เท่านั้น เป็นวิธีปฏิบัติที่ดีที่สุดที่จะมีการตั้งค่าใบรับรองนี้ในรูทที่เชื่อถือได้เช่นกัน.

    ไปที่ Start> Run (หรือ Windows Key + R) และป้อน“ mmc” คุณอาจได้รับพรอมต์ UAC ยอมรับมันและคอนโซลการจัดการที่ว่างเปล่าจะเปิดขึ้น.

    ในคอนโซลไปที่ไฟล์> เพิ่ม / ลบสแนปอิน.

    เพิ่มใบรับรองจากด้านซ้าย.

    เลือกบัญชีคอมพิวเตอร์.

    เลือกเครื่องคอมพิวเตอร์.

    คลิกตกลงเพื่อดูที่จัดเก็บใบรับรองท้องถิ่น.

    ไปที่ส่วนบุคคล> ใบรับรองและค้นหาใบรับรองที่คุณตั้งค่าโดยใช้ยูทิลิตี้ SelfSSL คลิกขวาที่ใบรับรองแล้วเลือกคัดลอก.

    นำทางไปยังผู้ให้บริการออกใบรับรองหลักที่เชื่อถือได้> ใบรับรอง คลิกขวาที่โฟลเดอร์ใบรับรองและเลือกวาง.

    รายการสำหรับใบรับรอง SSL ควรปรากฏในรายการ.

    ณ จุดนี้เซิร์ฟเวอร์ของคุณจะไม่มีปัญหาในการทำงานกับใบรับรองที่ลงชื่อด้วยตนเอง.

    ส่งออกใบรับรอง

    หากคุณกำลังจะเข้าถึงเว็บไซต์ที่ใช้ใบรับรอง SSL ที่ลงชื่อด้วยตนเองในเครื่องไคลเอนต์ใด ๆ (เช่นคอมพิวเตอร์ใด ๆ ที่ไม่ใช่เซิร์ฟเวอร์) เพื่อหลีกเลี่ยงการโจมตีที่อาจเกิดขึ้นจากข้อผิดพลาดของใบรับรองและคำเตือนควรติดตั้งใบรับรองที่ลงชื่อด้วยตนเอง ในแต่ละเครื่องลูกค้า (ซึ่งเราจะหารือในรายละเอียดด้านล่าง) ในการทำเช่นนี้เราต้องส่งออกใบรับรองที่เกี่ยวข้องก่อนเพื่อให้สามารถติดตั้งบนไคลเอนต์ได้.

    ภายในคอนโซลที่โหลดการจัดการใบรับรองไว้ให้ไปที่ Trusted Root Certificate Authorities> Certificates ค้นหาใบรับรองคลิกขวาและเลือกงานทั้งหมด> ส่งออก.

    เมื่อได้รับแจ้งให้ส่งออกคีย์ส่วนตัวให้เลือกใช่ คลิกถัดไป.

    ปล่อยให้การเลือกเริ่มต้นสำหรับรูปแบบไฟล์และคลิกถัดไป.

    ใส่รหัสผ่าน สิ่งนี้จะถูกใช้เพื่อปกป้องใบรับรองและผู้ใช้จะไม่สามารถนำเข้าภายในเครื่องโดยไม่ต้องป้อนรหัสผ่านนี้.

    ป้อนที่ตั้งเพื่อส่งออกไฟล์ใบรับรอง มันจะอยู่ในรูปแบบ PFX.

    ยืนยันการตั้งค่าของคุณและคลิกเสร็จสิ้น.

    ไฟล์ PFX ที่ได้คือสิ่งที่จะถูกติดตั้งลงในเครื่องไคลเอนต์ของคุณเพื่อบอกพวกเขาว่าใบรับรองที่ลงชื่อด้วยตนเองของคุณนั้นมาจากแหล่งที่เชื่อถือได้.

    ปรับใช้กับเครื่องไคลเอนต์

    เมื่อคุณสร้างใบรับรองบนฝั่งเซิร์ฟเวอร์และทำให้ทุกอย่างทำงานคุณอาจสังเกตเห็นว่าเมื่อเครื่องไคลเอนต์เชื่อมต่อกับ URL ที่เกี่ยวข้องคำเตือนใบรับรองจะปรากฏขึ้น สิ่งนี้เกิดขึ้นเนื่องจากผู้ออกใบรับรอง (เซิร์ฟเวอร์ของคุณ) ไม่ใช่แหล่งที่เชื่อถือได้สำหรับใบรับรอง SSL ในไคลเอนต์.

    คุณสามารถคลิกผ่านคำเตือนและเข้าถึงไซต์ได้อย่างไรก็ตามคุณอาจได้รับการแจ้งเตือนซ้ำ ๆ ในรูปแบบของแถบ URL ที่เน้นสีหรือการทำซ้ำคำเตือนใบรับรอง เพื่อหลีกเลี่ยงปัญหานี้คุณเพียงแค่ต้องติดตั้งใบรับรองความปลอดภัย SSL ที่กำหนดเองบนเครื่องไคลเอนต์.

    กระบวนการนี้อาจแตกต่างกันไปขึ้นอยู่กับเบราว์เซอร์ที่คุณใช้ ทั้ง IE และ Chrome อ่านจากที่เก็บใบรับรอง Windows อย่างไรก็ตาม Firefox มีวิธีการจัดการใบรับรองความปลอดภัยที่กำหนดเอง.

    โน๊ตสำคัญ: คุณควร ไม่เคย ติดตั้งใบรับรองความปลอดภัยจากแหล่งที่ไม่รู้จัก ในทางปฏิบัติคุณควรติดตั้งใบรับรองในเครื่องเฉพาะเมื่อคุณสร้างขึ้น ไม่มีเว็บไซต์ที่ถูกต้องตามกฎหมายที่จะให้คุณทำตามขั้นตอนเหล่านี้.

    Internet Explorer & Google Chrome - การติดตั้งใบรับรองในเครื่อง

    หมายเหตุ: แม้ว่า Firefox จะไม่ใช้ที่เก็บใบรับรอง Windows ดั้งเดิม แต่นี่ก็เป็นขั้นตอนที่แนะนำ.

    คัดลอกใบรับรองที่ส่งออกจากเซิร์ฟเวอร์ (ไฟล์ PFX) ไปยังเครื่องไคลเอนต์หรือตรวจสอบว่ามีอยู่ในเส้นทางเครือข่าย.

    เปิดการจัดการที่เก็บใบรับรองท้องถิ่นบนเครื่องไคลเอนต์โดยใช้ขั้นตอนเดียวกันกับข้างต้น ในที่สุดคุณจะพบหน้าจอเหมือนด้านล่าง.

    ทางด้านซ้ายให้ขยายใบรับรอง> ผู้ออกใบรับรองหลักที่เชื่อถือได้ คลิกขวาที่โฟลเดอร์ใบรับรองและเลือกงานทั้งหมด> นำเข้า.

    เลือกใบรับรองที่ถูกคัดลอกภายในเครื่องของคุณ.

    ป้อนรหัสผ่านความปลอดภัยที่กำหนดเมื่อใบรับรองถูกส่งออกจากเซิร์ฟเวอร์.

    ร้านค้า“ ผู้ให้บริการออกใบรับรองหลักที่เชื่อถือได้” ควรได้รับการเติมล่วงหน้าเป็นปลายทาง คลิกถัดไป.

    ตรวจสอบการตั้งค่าและคลิกเสร็จสิ้น.

    คุณควรเห็นข้อความแสดงความสำเร็จ.

    รีเฟรชมุมมองของคุณในโฟลเดอร์ผู้ออกใบรับรองหลักที่เชื่อถือได้> ใบรับรองและคุณควรเห็นใบรับรองที่ลงชื่อด้วยตนเองของเซิร์ฟเวอร์ที่แสดงอยู่ในร้าน.

    คุณจะสามารถเรียกดูไซต์ HTTPS ที่ใช้ใบรับรองเหล่านี้ได้และจะไม่ได้รับคำเตือนหรือข้อความแจ้งใด ๆ.

    Firefox - การอนุญาตข้อยกเว้น

    Firefox จัดการกับกระบวนการนี้แตกต่างกันเล็กน้อยเนื่องจากไม่ได้อ่านข้อมูลใบรับรองจากที่เก็บ Windows แทนที่จะติดตั้งใบรับรอง (ต่อรายการ) จะช่วยให้คุณกำหนดข้อยกเว้นสำหรับใบรับรอง SSL ในบางไซต์ได้.

    เมื่อคุณเยี่ยมชมไซต์ที่มีข้อผิดพลาดของใบรับรองคุณจะได้รับคำเตือนเหมือนด้านล่าง พื้นที่สีน้ำเงินจะตั้งชื่อ URL ตามที่คุณพยายามเข้าถึง ในการสร้างข้อยกเว้นเพื่อข้ามคำเตือนนี้ใน URL ที่เกี่ยวข้องคลิกปุ่มเพิ่มข้อยกเว้น.

    ในกล่องโต้ตอบเพิ่มความปลอดภัยยกเว้นคลิกยืนยันความปลอดภัยยกเว้นเพื่อกำหนดค่าข้อยกเว้นนี้ในเครื่อง.

    โปรดทราบว่าหากไซต์ใดไซต์หนึ่งเปลี่ยนเส้นทางไปยังโดเมนย่อยจากภายในตัวเองคุณอาจได้รับการแจ้งเตือนการรักษาความปลอดภัยหลายครั้ง (โดย URL นั้นแตกต่างกันเล็กน้อยในแต่ละครั้ง) เพิ่มข้อยกเว้นสำหรับ URL เหล่านั้นโดยใช้ขั้นตอนเดียวกับด้านบน.

    ข้อสรุป

    เป็นมูลค่าการทำซ้ำการแจ้งเตือนข้างต้นที่คุณควร ไม่เคย ติดตั้งใบรับรองความปลอดภัยจากแหล่งที่ไม่รู้จัก ในทางปฏิบัติคุณควรติดตั้งใบรับรองในเครื่องเฉพาะเมื่อคุณสร้างขึ้น ไม่มีเว็บไซต์ที่ถูกต้องตามกฎหมายที่จะให้คุณทำตามขั้นตอนเหล่านี้.

    การเชื่อมโยง

    ดาวน์โหลด IIS 6.0 Resource Toolkit (รวมถึงยูทิลิตี้ SelfSSL) จาก Microsoft

    วิธีติดตั้ง Active Directory บน Windows Server 2008 R2
    วิธีติดตั้งและจัดการ Active Directory บน Server 2008 R2 Core
    IT Geek Monitor อุปกรณ์เครือข่ายพร้อม SNMP (Simple Network Management Protocol)
    บทความต่อไป
    วิธีสร้างเครื่องเสมือนใน Hyper-V บน Windows Server 2008
    บทความก่อนหน้า
    วิธีการติดตั้งแอปพลิเคชันอย่างถูกต้องบนเซิร์ฟเวอร์เดสก์ท็อประยะไกล