суббота, 27 ноября 2010 г.

Выпуск собственного SSL-сертификата

SSL сертификат можно купить, а можно самому сделать SSL сертификат бесплатно.
О том, как самим сделать бесплатный SSL сертификат для IIS сервера работающего под управлением Windows 2003 Server рассказано в этой статье.

Сертификаты безопасности используются часто. Например для безопасной работы с корпоративной электронной почтой. При помощи данного сертификата обеспечивается шифрование передаваемых данных между клиентом и сервером. Для получения такого сертификата вам необходимо обратиться к доверенному поставщику сертификатов и попросить его выпустить для вас сертификат. Но подобные услуги не бесплатны. В выпуске сертификата безопасности нет ничего сложного. Вы и сами можете это сделать. Разница лишь в том, что сертификат, который вы выпустите, будет не доверенным. Это означает, что компьютер клиента будет выдавать предупреждение о том, что он не знает поставщика сертификатов, который выпустил сертификат, что собственно логично.
iis-cert-1
Представьте себе, что какой ни будь пользователь с Урала обращается к вашему корпоративному порталу. А ему сообщают, что для шифрования будет использоваться сертификат, который выпустил Вася Пупкин. Ну кто такой этот Вася, и что он там выпустил? Можно ли ему доверять? Не понятно. Другое дело, если все пользователи будут знать этого Васю и полностью ему доверяют. В последнем случае вполне можно использовать сертификат, который он выпустил сам. А в предупреждающем сообщении вы можете просто нажать “Continue to this website (not recommended)”
Чтобы выпустить собственный сертификат безопасности вы можете пойти двумя методами. Развернуть в своей организации полноценный Центр Сертификации (Certification Authority) или воспользоваться утилитой selfssl.exe. Разница этих двух методов состоит в области их применения.
Развернув Центр Сертификации вы можете обеспечить автоматический выпуск сертификатов по запросу пользователей. Следить за выданными сертификатами, а так же отзывать их при необходимости. Если же вам требуется выпустить всего один сертификат, чтобы обеспечить безопасную работу с корпоративным порталом, или с электронной почтой через OWA, то проще будет воспользоваться утилитой selfssl.exe.
Утилита selfssl.exe входит в комплект пакета IIS6 Resource Kit Tools. Данный пакет является бесплатным и доступен для свободного скачивания с сайта Microsoft — http://www.microsoft.com/downloads/details.aspx?familyid=56FC92EE-A71A-4C73-B628-ADE629C89499Загрузив пакет запустите его. После запуска вы увидите окно установки.
iis-cert-2
Выберите метод установки Custom и нажмите Next для продолжения установки.
iis-cert-3
Затем выберите путь для установки или оставьте тот, что уже указан, и нажмите Next
iis-cert-4
Пакет включает в себя много утилит. Нас же интересует только одно. Снимите все флажки кроме одного, как показано на рисунке выше. Затем нажмите Next.
Запустить установленную утилиту можно из меню Пуск, как показано на рисунке.
iis-cert-5
Запустив утилиту вы увидите окно командной строки, в котором, задав необходимые параметры, вы сможете выпустить свой собственный сертификат безопасности.
iis-cert-6
Как видно параметров, которые можно задать, довольно много. Давайте попробуем разобраться с каждым из них:
# /N:CN задает имя вашего сайта например owa.contoso.com.
# /K: задает длину ключа. Значение по умолчанию 1024.
# /V: количество дней до окончания действия сертификата.
# /S: номер сайта в IIS. По умолчанию равен 1.
# /P: номер порта. Стандартом является 443. Это же значение задано по умолчанию.
Например вы решили выпустить сертификат для сайта owa.contoso.com сроком на один год. Нет ничего проще! Наберите следующую команду:
selfssl /N:cn=owa.contoso.com /V:365
И нажмите Ввод.
На вопос “Do you want to replace the SSL settings for site 1 (Y/N)?” нажмите “y”. Если у вас не установлен IIS то вы получите сообщение “Error opening metabase: 0x80040154” – просто игнорируйте его.
Сертификат выпущен. Теперь вы можете делать с ним все, что угодно. Например установить на ваш WEB-сайт. Давайте посмотрим, как это сделать. Для начала вам нужно выгрузить ваш сертификат. Для этого запустите Microsoft Management Console (MMC). Нажмите Пуск->Выполнить…-> наберите mmc и нажмите ввод.
iis-cert-7
Затем нажмите File –> Add/Remove Snap in…
iis-cert-8
В появившемся окне нажмите Add…
iis-cert-9
Затем выберите Certificates и нажмите Add…
iis-cert-10
Выберите Computer account и нажмите Next
iis-cert-11
Теперь нажмите Finish
iis-cert-12
Оснастка добавлена. Нажмите Close, чтобы закрыть диалоговое окно и OK, чтобы перейти к работе с оснасткой.
iis-cert-13
Разверните Crtificates (Local Computer) затем Personal и выберите Certificates. Справа вы увидите ваш сертификат. Щелкните по нему правой кнопкой мыши. Выберите All Tasks, а затем Export.
iis-cert-14
В появившемся диалоговом окне нажмите Next.
iis-cert-15
Если вы хотите использовать сертификат на вашем WEB-сайте, то для этого понадобиться выгрузить приватный ключ. Выберите “Yes, export the private key” и нажмите Next.
iis-cert-16
И еще раз Next.
iis-cert-17
Так как вы выгружаете приватный ключ, то такой сертификат лучше запаролить. Введите пароль или оставьте поле пустым (последнее не рекомендуется). нажмите Next.
iis-cert-18
Введите имя файла, то под которым файл будет храниться на диске.  Например owa.contoso.com и нажмите Next.
iis-cert-19
В следующем окне нажмите Finish.
iis-cert-20
Сертификат выгружен и готов к использованию. Теперь его необходимо установить на вашем WEB-сайте. В следующей статье я покажу как это сделать.
( Источник: http://www.danshin.ms )

Комментариев нет:

Отправить комментарий