IT So erstellen Sie ein selbstsigniertes Sicherheitszertifikat (SSL) und stellen es auf Clientcomputern bereit
Entwickler und IT-Administratoren müssen zweifellos einige Websites über HTTPS mit einem SSL-Zertifikat bereitstellen. Während dieser Prozess für einen Produktionsstandort ziemlich unkompliziert ist, könnte es für die Zwecke der Entwicklung und des Testens auch erforderlich sein, hier ein SSL-Zertifikat zu verwenden.
Als Alternative zum Kauf und zur Erneuerung eines Jahreszertifikats können Sie die Fähigkeit Ihres Windows Servers nutzen, ein selbstsigniertes Zertifikat zu erstellen, das bequem und einfach ist und diese Anforderungen perfekt erfüllen sollte.
Erstellen eines selbstsignierten Zertifikats in IIS
Das Erstellen eines selbstsignierten Zertifikats kann auf verschiedene Arten durchgeführt werden. Wir verwenden jedoch das SelfSSL-Dienstprogramm von Microsoft. Leider wird dies nicht mit IIS geliefert, ist jedoch als Teil des IIS 6.0 Resource Toolkit (Link am Ende dieses Artikels) frei verfügbar. Trotz des Namens "IIS 6.0" funktioniert dieses Dienstprogramm in IIS 7 einwandfrei.
Sie müssen lediglich IIS6RT extrahieren, um das Dienstprogramm selfssl.exe zu erhalten. Von hier aus können Sie es zur späteren Verwendung auf einem anderen Computer in Ihr Windows-Verzeichnis oder einen Netzwerkpfad / USB-Laufwerk kopieren (damit Sie nicht das vollständige IIS6RT herunterladen und extrahieren müssen)..
Wenn Sie das SelfSSL-Dienstprogramm installiert haben, führen Sie den folgenden Befehl (als Administrator) aus, und ersetzen Sie die Werte entsprechend:
selfssl / N: CN = / V:
Das folgende Beispiel erzeugt ein selbstsigniertes Wildcard-Zertifikat für "mydomain.com" und legt fest, dass es 9.999 Tage gültig ist. Durch die Beantwortung der Eingabeaufforderung mit Ja wird dieses Zertifikat außerdem so konfiguriert, dass es an Port 443 in der Standardwebsite von IIS bindet.
Während zu diesem Zeitpunkt das Zertifikat einsatzbereit ist, wird es nur im persönlichen Zertifikatspeicher auf dem Server gespeichert. Es wird empfohlen, dieses Zertifikat auch im vertrauenswürdigen Stamm festzulegen.
Gehen Sie zu Start> Ausführen (oder Windows-Taste + R) und geben Sie "mmc" ein. Sie erhalten möglicherweise eine Aufforderung zur Benutzerkontensteuerung, die Sie akzeptieren, und eine leere Management Console wird geöffnet.
Wechseln Sie in der Konsole zu Datei> Snap-In hinzufügen / entfernen.
Fügen Sie Zertifikate von der linken Seite hinzu.
Wählen Sie Computerkonto.
Wählen Sie Lokaler Computer.
Klicken Sie auf OK, um den lokalen Zertifikatspeicher anzuzeigen.
Navigieren Sie zu Persönlich> Zertifikate und suchen Sie das Zertifikat, das Sie mit dem Dienstprogramm SelfSSL eingerichtet haben. Klicken Sie mit der rechten Maustaste auf das Zertifikat und wählen Sie Kopieren.
Navigieren Sie zu Vertrauenswürdige Stammzertifizierungsstellen> Zertifikate. Klicken Sie mit der rechten Maustaste auf den Ordner Zertifikate und wählen Sie Einfügen.
Ein Eintrag für das SSL-Zertifikat sollte in der Liste angezeigt werden.
Zu diesem Zeitpunkt sollte Ihr Server keine Probleme mit dem selbstsignierten Zertifikat haben.
Zertifikat exportieren
Wenn Sie auf eine Site zugreifen, die das selbstsignierte SSL-Zertifikat auf einem beliebigen Client-Computer (dh auf einem Computer, der nicht der Server ist) verwendet, um potenzielle Angriffe auf Zertifikatfehler und Warnungen zu vermeiden, sollte das selbstsignierte Zertifikat installiert werden auf jedem Client-Rechner (auf den wir weiter unten näher eingehen werden). Dazu müssen wir zunächst das entsprechende Zertifikat exportieren, damit es auf den Clients installiert werden kann.
Navigieren Sie in der Konsole mit geladener Zertifikatsverwaltung zu Vertrauenswürdige Stammzertifizierungsstellen> Zertifikate. Suchen Sie das Zertifikat, klicken Sie mit der rechten Maustaste, und wählen Sie Alle Aufgaben> Exportieren aus.
Wenn Sie aufgefordert werden, den privaten Schlüssel zu exportieren, wählen Sie Ja. Weiter klicken.
Behalten Sie die Standardauswahl für das Dateiformat bei und klicken Sie auf Weiter.
Geben Sie ein Passwort ein. Dies wird zum Schutz des Zertifikats verwendet, und Benutzer können es nicht lokal importieren, ohne dieses Kennwort einzugeben.
Geben Sie einen Speicherort für den Export der Zertifikatsdatei ein. Es wird im PFX-Format vorliegen.
Bestätigen Sie Ihre Einstellungen und klicken Sie auf Fertig stellen.
Die resultierende PFX-Datei wird auf Ihren Client-Computern installiert, um ihnen mitzuteilen, dass Ihr selbst signiertes Zertifikat aus einer vertrauenswürdigen Quelle stammt.
Bereitstellung auf Client-Maschinen
Wenn Sie das Zertifikat auf der Serverseite erstellt haben und alles funktioniert, stellen Sie möglicherweise fest, dass eine Zertifikatswarnung angezeigt wird, wenn ein Client-Computer eine Verbindung mit der entsprechenden URL herstellt. Dies geschieht, weil die Zertifizierungsstelle (Ihr Server) keine vertrauenswürdige Quelle für SSL-Zertifikate auf dem Client ist.
Sie können die Warnungen durchklicken und auf die Website zugreifen. Sie erhalten jedoch möglicherweise wiederholte Benachrichtigungen in Form einer hervorgehobenen URL-Leiste oder wiederholten Zertifikatwarnungen. Um diese Belästigung zu vermeiden, müssen Sie lediglich das benutzerdefinierte SSL-Sicherheitszertifikat auf dem Client-Computer installieren.
Je nach verwendetem Browser kann dieser Vorgang variieren. Sowohl IE als auch Chrome lesen aus dem Windows-Zertifikatsspeicher. Firefox verfügt jedoch über eine benutzerdefinierte Methode zum Umgang mit Sicherheitszertifikaten.
Wichtige Notiz: Du solltest noch nie Installieren Sie ein Sicherheitszertifikat aus einer unbekannten Quelle. In der Praxis sollten Sie ein Zertifikat nur lokal installieren, wenn Sie es generiert haben. Für keine seriöse Website müssen Sie diese Schritte ausführen.
Internet Explorer & Google Chrome - Zertifikat lokal installieren
Hinweis: Obwohl Firefox den systemeigenen Windows-Zertifikatspeicher nicht verwendet, ist dies dennoch ein empfohlener Schritt.
Kopieren Sie das Zertifikat, das vom Server (die PFX-Datei) exportiert wurde, auf den Client-Computer oder stellen Sie sicher, dass es in einem Netzwerkpfad verfügbar ist.
Öffnen Sie die lokale Zertifikatsspeicherverwaltung auf dem Clientcomputer mit den gleichen Schritten wie oben. Sie werden schließlich auf einem Bildschirm wie dem unten stehenden landen.
Erweitern Sie auf der linken Seite Zertifikate> Vertrauenswürdige Stammzertifizierungsstellen. Klicken Sie mit der rechten Maustaste auf den Ordner Zertifikate und wählen Sie Alle Aufgaben> Importieren.
Wählen Sie das Zertifikat aus, das lokal auf Ihren Computer kopiert wurde.
Geben Sie das Sicherheitskennwort ein, das beim Export des Zertifikats vom Server zugewiesen wurde.
Das Geschäft "Vertrauenswürdige Stammzertifizierungsstellen" sollte als Zielort vorbelegt werden. Weiter klicken.
Überprüfen Sie die Einstellungen und klicken Sie auf Fertig stellen.
Sie sollten eine Erfolgsmeldung sehen.
Aktualisieren Sie Ihre Ansicht des Ordners Vertrauenswürdige Stammzertifizierungsstellen> Zertifikate. Das selbstsignierte Zertifikat des Servers sollte im Geschäft aufgeführt sein.
Sobald dies geschehen ist, sollten Sie in der Lage sein, zu einer HTTPS-Site zu navigieren, die diese Zertifikate verwendet, und keine Warnungen oder Aufforderungen erhalten.
Firefox - Ausnahmen zulassen
Firefox behandelt diesen Vorgang etwas anders, da keine Zertifikatsinformationen aus dem Windows Store gelesen werden. Anstatt Zertifikate (per se) zu installieren, können Sie auf bestimmten Sites Ausnahmen für SSL-Zertifikate definieren.
Wenn Sie eine Site besuchen, die einen Zertifikatfehler aufweist, erhalten Sie eine Warnung wie die unten stehende. Der blaue Bereich gibt der jeweiligen URL einen Namen, auf die Sie zugreifen möchten. Klicken Sie auf die Schaltfläche Ausnahme hinzufügen, um eine Ausnahme zu erstellen, um diese Warnung für die entsprechende URL zu umgehen.
Klicken Sie im Dialogfeld Sicherheitsausnahme hinzufügen auf die Option Sicherheitsausnahme bestätigen, um diese Ausnahme lokal zu konfigurieren.
Wenn eine bestimmte Website von ihrem Inneren aus zu Subdomains umgeleitet wird, werden möglicherweise mehrere Sicherheitswarnungen angezeigt (wobei die URL jedes Mal etwas anders ist). Fügen Sie für diese URLs Ausnahmen hinzu, indem Sie die gleichen Schritte wie oben ausführen.
Fazit
Es lohnt sich, die obige Mitteilung zu wiederholen noch nie Installieren Sie ein Sicherheitszertifikat aus einer unbekannten Quelle. In der Praxis sollten Sie ein Zertifikat nur lokal installieren, wenn Sie es generiert haben. Für keine seriöse Website müssen Sie diese Schritte ausführen.
Links
Laden Sie das IIS 6.0 Resource Toolkit (einschließlich des SelfSSL-Dienstprogramms) von Microsoft herunter