CNTT: Cách tạo chứng chỉ bảo mật tự ký (SSL) và triển khai nó cho máy khách

Video: CNTT: Cách tạo chứng chỉ bảo mật tự ký (SSL) và triển khai nó cho máy khách

Video: Cách vào thẳng màn hình Desktop khi khởi động Win 8/8.1 - YouTube 2024, Tháng tư

2024 Tác giả: Geoffrey Carr | [email protected]. Sửa đổi lần cuối: 2024-02-02 12:12

Các nhà phát triển và quản trị viên CNTT, không nghi ngờ gì, cần triển khai một số trang web thông qua HTTPS bằng chứng chỉ SSL. Mặc dù quá trình này khá đơn giản cho một trang web sản xuất, với mục đích phát triển và thử nghiệm, bạn cũng có thể thấy cần phải sử dụng chứng chỉ SSL ở đây.

Là một thay thế cho việc mua và gia hạn chứng chỉ hàng năm, bạn có thể tận dụng khả năng tạo ra chứng chỉ tự ký của Windows Server thuận tiện, dễ dàng và phải đáp ứng các loại nhu cầu này một cách hoàn hảo.

Tạo chứng chỉ tự ký trên IIS

Mặc dù có một số cách để thực hiện nhiệm vụ tạo chứng chỉ tự ký, chúng tôi sẽ sử dụng tiện ích SelfSSL từ Microsoft. Thật không may, điều này không giao hàng với IIS nhưng nó có sẵn miễn phí như một phần của Bộ công cụ tài nguyên IIS 6.0 (liên kết được cung cấp ở cuối bài viết này). Mặc dù tên "IIS 6.0" tiện ích này hoạt động tốt trong IIS 7.

Tất cả những gì cần thiết là trích xuất IIS6RT để có được tiện ích selfssl.exe. Từ đây bạn có thể sao chép nó vào thư mục Windows hoặc đường dẫn mạng / ổ USB để sử dụng trong tương lai trên một máy khác (vì vậy bạn không phải tải xuống và giải nén toàn bộ IIS6RT).

Khi bạn đã có tiện ích SelfSSL tại chỗ, hãy chạy lệnh sau đây (làm Quản trị viên) thay thế các giá trị trong <> khi thích hợp:


selfssl /N:CN= /V:

Ví dụ bên dưới tạo chứng chỉ ký tự đại diện tự ký với “mydomain.com” và đặt nó thành hợp lệ trong 9,999 ngày. Ngoài ra, bằng cách trả lời có cho lời nhắc, chứng chỉ này được tự động cấu hình để liên kết với cổng 443 bên trong Trang Web Mặc định của IIS.

Trong khi tại thời điểm này, chứng chỉ đã sẵn sàng để sử dụng, nó chỉ được lưu trữ trong kho chứng chỉ cá nhân trên máy chủ. Đó là cách thực hành tốt nhất để đặt chứng chỉ này trong thư mục gốc tin cậy.

Vào Start> Run (hoặc Windows Key + R) và nhập "mmc". Bạn có thể nhận được một dấu nhắc UAC, chấp nhận nó và một Bàn điều khiển quản lý trống sẽ mở ra.

Trong giao diện điều khiển, chuyển đến Tệp> Thêm / Xóa phần đính kèm.

Bấm OK để xem kho lưu trữ chứng chỉ cục bộ.

Điều hướng đến Cá nhân> Chứng chỉ và tìm chứng chỉ bạn thiết lập bằng tiện ích SelfSSL. Nhấp chuột phải vào chứng chỉ và chọn Sao chép.

Điều hướng đến Tổ chức phát hành chứng chỉ gốc tin cậy> Chứng chỉ. Nhấp chuột phải vào thư mục Certificates và chọn Paste.

Mục nhập cho chứng chỉ SSL sẽ xuất hiện trong danh sách.

Tại thời điểm này, máy chủ của bạn sẽ không gặp sự cố khi làm việc với chứng chỉ tự ký.

Xuất chứng chỉ

Nếu bạn đang truy cập vào một trang web sử dụng chứng chỉ SSL tự ký trên bất kỳ máy khách nào (nghĩa là bất kỳ máy tính nào không phải là máy chủ), để tránh sự tấn công tiềm tàng của các lỗi chứng chỉ và cảnh báo thì phải cài đặt chứng chỉ tự ký trên mỗi máy khách (mà chúng ta sẽ thảo luận chi tiết bên dưới). Để thực hiện điều này, trước tiên chúng tôi cần xuất chứng chỉ tương ứng để có thể cài đặt trên máy khách.

Bên trong giao diện điều khiển với Certificate Management được tải, điều hướng đến Trusted Root Certification Authorities> Certificates. Xác định vị trí chứng chỉ, nhấp chuột phải và chọn Tất cả tác vụ> Xuất.

Khi được nhắc xuất khóa cá nhân, chọn Có. Nhấn tiếp.

Để các lựa chọn mặc định cho định dạng tệp và bấm Tiếp theo.

Nhập mật khẩu. Điều này sẽ được sử dụng để bảo vệ chứng chỉ và người dùng sẽ không thể nhập nó cục bộ mà không cần nhập mật khẩu này.

Nhập vị trí để xuất tệp chứng chỉ. Nó sẽ ở định dạng PFX.

Xác nhận cài đặt của bạn và nhấp vào Hoàn tất.

Tệp PFX kết quả là những gì sẽ được cài đặt cho các máy khách của bạn để cho họ biết rằng chứng chỉ tự ký của bạn là từ một nguồn đáng tin cậy.

Triển khai cho máy khách

Khi bạn đã tạo chứng chỉ ở phía máy chủ và có mọi thứ hoạt động, bạn có thể nhận thấy rằng khi một máy khách kết nối với URL tương ứng, một cảnh báo chứng chỉ được hiển thị. Điều này xảy ra vì cơ quan cấp chứng chỉ (máy chủ của bạn) không phải là nguồn đáng tin cậy cho chứng chỉ SSL trên máy khách.

Bạn có thể nhấp qua các cảnh báo và truy cập trang web, tuy nhiên bạn có thể nhận được thông báo lặp lại dưới dạng thanh URL được đánh dấu hoặc lặp lại cảnh báo chứng chỉ. Để tránh sự khó chịu này, bạn chỉ cần cài đặt chứng chỉ bảo mật SSL tùy chỉnh trên máy khách.

Tùy thuộc vào trình duyệt bạn sử dụng, quá trình này có thể thay đổi. Cả IE và Chrome đều đọc từ kho lưu trữ Windows Certificate, tuy nhiên Firefox có một phương thức tùy chỉnh để xử lý các chứng chỉ bảo mật.

Lưu ý quan trọng: Bạn nên không bao giờ cài đặt chứng chỉ bảo mật từ một nguồn không xác định. Trong thực tế, bạn chỉ nên cài đặt chứng chỉ cục bộ nếu bạn đã tạo nó. Không có trang web hợp pháp nào yêu cầu bạn thực hiện các bước này.

Internet Explorer & Google Chrome - Cài đặt chứng chỉ cục bộ

Lưu ý: Mặc dù Firefox không sử dụng kho lưu trữ chứng chỉ Windows gốc, đây vẫn là bước được khuyến nghị.

Sao chép chứng chỉ được xuất từ máy chủ (tệp PFX) sang máy khách hoặc đảm bảo nó có sẵn trong đường dẫn mạng.

Mở quản lý kho lưu trữ chứng chỉ cục bộ trên máy khách bằng các bước chính xác giống như trên.Cuối cùng bạn sẽ kết thúc trên một màn hình như hình dưới đây.

Ở bên trái, mở rộng Chứng chỉ> Tổ chức phát hành chứng chỉ gốc đáng tin cậy. Nhấp chuột phải vào thư mục Certificates và chọn All Tasks> Import.

Chọn chứng chỉ đã được sao chép cục bộ vào máy của bạn.

Nhập mật khẩu bảo mật được chỉ định khi chứng chỉ được xuất từ máy chủ.

Cửa hàng “Tổ chức chứng nhận gốc đáng tin cậy” phải được điền sẵn làm đích đến. Nhấn tiếp.

Làm mới khung nhìn của bạn về thư mục Chứng chỉ gốc đáng tin cậy> Chứng chỉ và bạn sẽ thấy chứng chỉ tự ký của máy chủ được liệt kê trong cửa hàng.

Một điều này được thực hiện, bạn sẽ có thể duyệt đến một trang web HTTPS sử dụng các chứng chỉ này và không nhận được cảnh báo hoặc lời nhắc.

Firefox - Cho phép ngoại lệ

Firefox xử lý quá trình này hơi khác một chút vì nó không đọc thông tin chứng chỉ từ cửa hàng Windows. Thay vì cài đặt chứng chỉ (mỗi lần), nó cho phép bạn xác định ngoại lệ cho chứng chỉ SSL trên các trang web cụ thể.

Khi bạn truy cập một trang web có lỗi chứng chỉ, bạn sẽ nhận được cảnh báo giống như bên dưới. Vùng màu xanh lam sẽ đặt tên cho URL tương ứng mà bạn đang cố gắng truy cập. Để tạo một ngoại lệ để bỏ qua cảnh báo này trên URL tương ứng, hãy nhấp vào nút Thêm ngoại lệ.

Trong hộp thoại Thêm bảo mật ngoại lệ, hãy nhấp vào Xác nhận ngoại lệ bảo mật để định cấu hình ngoại lệ này cục bộ.

Lưu ý rằng nếu một trang web cụ thể chuyển hướng đến các tên miền phụ từ bên trong chính nó, bạn có thể nhận được nhiều lời nhắc cảnh báo bảo mật (với URL hơi khác nhau mỗi lần). Thêm ngoại lệ cho các URL đó bằng các bước tương tự như trên.

Phần kết luận

Bạn nên lặp lại thông báo ở trên rằng bạn nên không bao giờ cài đặt chứng chỉ bảo mật từ một nguồn không xác định. Trong thực tế, bạn chỉ nên cài đặt chứng chỉ cục bộ nếu bạn đã tạo nó. Không có trang web hợp pháp nào yêu cầu bạn thực hiện các bước này.