Как создать самоподписанный сертификат на IIS 7

SSL является важной частью обеспечения безопасности вашего IIS 7.0 сайта, и ее гораздо легче обеспечить, чем в предыдущих версиях IIS. SSL сертификаты позволяют шифрованить весь трафик, которым обмениваются с вашего IIS сайта , предотвращая других от просмотра конфиденциальной информации. Он использует криптографию с открытым ключом для установления защищенного соединения. Это означает, что все зашифрованные с помощью открытого ключа (сертификат SSL) данные могут быть расшифрованы только при помощи закрытого ключа и наоборот.

Когда следует использовать на IIS самоподписанный сертификат

Никогда не используйте самоподписанный сертификат для сайтов электронной коммерции, или любых других, которые передают ценные личные данные, такие как номера кредитных карт, номера социального страхования и т.д.

Сертификат SSL необходим не только для распространения открытых ключей: если он будет подписан доверенной третьей стороны, он проверяет подлинность сервера, так что клиенты знают, что они не отдают информацию (зашифрованную или нет), не тому человеку. Так что же такое самоподписанный сертификат? Это сертификат, который подписан самостоятельно, а не доверенной третьей стороной. Разве это не плохо? В большинстве случаев, да. Вы почти никогда не захотите использовать самоподписанный сертификат на публичном IIS-сервере, который требует соединения анонимных посетителей с вашим сайтом, потому что они могут легко стать жертвой атаки «человек в середине». Однако, самоподписанные сертификаты имеют свое место:

  • Самоподписанные сертификаты могут быть использованы на сервере разработки IIS. Нету необходимости тратить дополнительные деньги на покупку доверенного сертификата, когда вы только разрабатываете и тестируете приложения.
  • Самоподписанные сертификаты могут быть использованы в интрасети. Когда клиенты должны только пройти через локальную интрасеть, чтобы добраться до сервера, практически нету шансов на атаку «человек в середине».
  • Самоподписанные сертификаты могут быть использованы на личных сайтах с малым количеством посетителей. Если у вас есть небольшой персональный сайт, через который проходит нечувствительная информация, существует очень мало стимулов для кого-то атаковать соединение.

Просто имейте в виду, что посетители будут видеть предупреждение в своих браузерах (как на картинке ниже) при подключении к сайту на Apache, который использует самоподписанный сертификат, пока он не будет постоянно храниться в хранилище сертификатов. Вы никогда не должны использовать самоподписанный сертификат для подписания сайта электронной коммерции, или любой сайт, который передает ценные личные данные, такие как данные кредитных карт, номера социального страхования и т.д.

Создайте ваш самоподписанный сертификат

1. Нажмите на меню «Пуск», перейдите к Administrative Tools и нажмите на Internet Information Services (IIS) Manager.

2. Нажмите на имя сервера в колонке подключений слева. Дважды щелкните на сертификатах сервера.

3. В столбце Действия справа, нажмите на ссылку Создать самоподписанный сертификат…

4. Введите подходящее имя и нажмите ОК.

5. Теперь у вас есть самоподписанный сертификат сроком на 1 год. Далее требуется привязать его к вашему IIS серверу.

Привязка самоподписанного сертификата

1. В колонке подключений слева, раскройте папку сайтов и нажмите на сайт, с которым вы хотите связать сертификат. Нажмите на связывание в правой колонке.

2. Нажмите на кнопку Добавить.

3. Измените тип на https и далее выберите сертификат, который вы только что установили, после – нажмите ОК.

4. Теперь вы увидете связку с портом 443 в списке. Нажмите Закрыть.

5. Теперь давайте проверим самоподписанный сертификат IIS перейдя на сайт с HTTPS в нашем браузере (например, HTTPS: / / site1.mydomain.com). Когда вы это делаете, вы должны увидеть следующее предупреждение о том, что «Сертификат безопасности этого сайта был издан для отличного от данного адреса сайта» (ошибка несовпадение имени).

Это отображается потому что IIS всегда использует имя сервера (в данном случае WIN-PABODPHV6W3) как общее имя, когда он создает самоподписанный сертификат. Как правило, оно не соответствует имени хоста, который вы используете для входа на сайт в вашем браузере (site1.mydomain.com). Для многих ситуаций, когда IIS использует самоподписанные сертификаты, это не проблема. Просто нажмайте кнопку «Продолжить открытие этого веб-сайта» каждый раз. Однако, если вы хотите полностью избавиться от сообщения об ошибке, вы должны следовать следующим двум шагам ниже.

Сформируйте самоподписанный сертификат с корректным именем

Этот шаг необходим только если вы хотите избавиться от предупреждающего сообщения, что название самоподписанного сертификата не совпадает с именем хоста сайта. Для того, чтобы решить эту проблему, мы должны создать самоподписанный сертификат, используя тот же метод, который используется для создания самоподписанного сертификата в IIS 6.0 (с SelfSSL, а не через IIS).

1. Скачайте Internet Information Services (IIS) 6.0 Resource Kit Tools и установите SelfSSL 1,0 (если вы делаете выборочную установку, вы можете снять все, за исключением SelfSSL). После установки, зайдите в меню Пуск, перейдите к IIS ресурсам, далее к SelfSSL, и запустить SelfSSL.

2. Вставьте в следующую команду замену site1.mydomain.com на имя хоста вашего сайта IIS. Если вы получаете erorr «Ошибка при открытии метабазы: 0×80040154″, просто игнорируйте ее. Мы будем вручную привязывать сертификат к сайту.
SelfSSL / N: CN = site1.mydomain.com / V: 1000

3. После завершения работы команды, вы будете иметь самоподписанный сертификат IIS с правильным именем, указанным в разделе Сертификаты сервера IIS. Теперь следуйте инструкциям выше, чтобы связать сертификат с вашим IIS сайтом.

Источник: http://www.sslshopper.com

Комментарии запрещены.