Là một thay thế cho việc mua và gia hạn chứng chỉ hàng năm, bạn có thể tận dụng khả năng tạo ra chứng chỉ tự ký của Windows Server thuận tiện, dễ dàng và phải đáp ứng các loại nhu cầu này một cách hoàn hảo.
Tạo chứng chỉ tự ký trên IIS
Mặc dù có một số cách để thực hiện nhiệm vụ tạo chứng chỉ tự ký, chúng tôi sẽ sử dụng tiện ích SelfSSL từ Microsoft. Thật không may, điều này không giao hàng với IIS nhưng nó có sẵn miễn phí như một phần của Bộ công cụ tài nguyên IIS 6.0 (liên kết được cung cấp ở cuối bài viết này). Mặc dù tên "IIS 6.0" tiện ích này hoạt động tốt trong IIS 7.
Tất cả những gì cần thiết là trích xuất IIS6RT để có được tiện ích selfssl.exe. Từ đây bạn có thể sao chép nó vào thư mục Windows hoặc đường dẫn mạng / ổ USB để sử dụng trong tương lai trên một máy khác (vì vậy bạn không phải tải xuống và giải nén toàn bộ IIS6RT).
Khi bạn đã có tiện ích SelfSSL tại chỗ, hãy chạy lệnh sau đây (làm Quản trị viên) thay thế các giá trị trong <> khi thích hợp:
selfssl /N:CN= /V:
Ví dụ bên dưới tạo chứng chỉ ký tự đại diện tự ký với “mydomain.com” và đặt nó thành hợp lệ trong 9,999 ngày. Ngoài ra, bằng cách trả lời có cho lời nhắc, chứng chỉ này được tự động cấu hình để liên kết với cổng 443 bên trong Trang Web Mặc định của IIS.
Vào Start> Run (hoặc Windows Key + R) và nhập "mmc". Bạn có thể nhận được một dấu nhắc UAC, chấp nhận nó và một Bàn điều khiển quản lý trống sẽ mở ra.
Trong giao diện điều khiển, chuyển đến Tệp> Thêm / Xóa phần đính kèm.
Xuất chứng chỉ
Nếu bạn đang truy cập vào một trang web sử dụng chứng chỉ SSL tự ký trên bất kỳ máy khách nào (nghĩa là bất kỳ máy tính nào không phải là máy chủ), để tránh sự tấn công tiềm tàng của các lỗi chứng chỉ và cảnh báo thì phải cài đặt chứng chỉ tự ký trên mỗi máy khách (mà chúng ta sẽ thảo luận chi tiết bên dưới). Để thực hiện điều này, trước tiên chúng tôi cần xuất chứng chỉ tương ứng để có thể cài đặt trên máy khách.
Bên trong giao diện điều khiển với Certificate Management được tải, điều hướng đến Trusted Root Certification Authorities> Certificates. Xác định vị trí chứng chỉ, nhấp chuột phải và chọn Tất cả tác vụ> Xuất.
Triển khai cho máy khách
Khi bạn đã tạo chứng chỉ ở phía máy chủ và có mọi thứ hoạt động, bạn có thể nhận thấy rằng khi một máy khách kết nối với URL tương ứng, một cảnh báo chứng chỉ được hiển thị. Điều này xảy ra vì cơ quan cấp chứng chỉ (máy chủ của bạn) không phải là nguồn đáng tin cậy cho chứng chỉ SSL trên máy khách.
Tùy thuộc vào trình duyệt bạn sử dụng, quá trình này có thể thay đổi. Cả IE và Chrome đều đọc từ kho lưu trữ Windows Certificate, tuy nhiên Firefox có một phương thức tùy chỉnh để xử lý các chứng chỉ bảo mật.
Lưu ý quan trọng: Bạn nên không bao giờ cài đặt chứng chỉ bảo mật từ một nguồn không xác định. Trong thực tế, bạn chỉ nên cài đặt chứng chỉ cục bộ nếu bạn đã tạo nó. Không có trang web hợp pháp nào yêu cầu bạn thực hiện các bước này.
Internet Explorer & Google Chrome - Cài đặt chứng chỉ cục bộ
Lưu ý: Mặc dù Firefox không sử dụng kho lưu trữ chứng chỉ Windows gốc, đây vẫn là bước được khuyến nghị.
Sao chép chứng chỉ được xuất từ máy chủ (tệp PFX) sang máy khách hoặc đảm bảo nó có sẵn trong đường dẫn mạng.
Mở quản lý kho lưu trữ chứng chỉ cục bộ trên máy khách bằng các bước chính xác giống như trên.Cuối cùng bạn sẽ kết thúc trên một màn hình như hình dưới đây.
Firefox - Cho phép ngoại lệ
Firefox xử lý quá trình này hơi khác một chút vì nó không đọc thông tin chứng chỉ từ cửa hàng Windows. Thay vì cài đặt chứng chỉ (mỗi lần), nó cho phép bạn xác định ngoại lệ cho chứng chỉ SSL trên các trang web cụ thể.
Khi bạn truy cập một trang web có lỗi chứng chỉ, bạn sẽ nhận được cảnh báo giống như bên dưới. Vùng màu xanh lam sẽ đặt tên cho URL tương ứng mà bạn đang cố gắng truy cập. Để tạo một ngoại lệ để bỏ qua cảnh báo này trên URL tương ứng, hãy nhấp vào nút Thêm ngoại lệ.
Phần kết luận
Bạn nên lặp lại thông báo ở trên rằng bạn nên không bao giờ cài đặt chứng chỉ bảo mật từ một nguồn không xác định. Trong thực tế, bạn chỉ nên cài đặt chứng chỉ cục bộ nếu bạn đã tạo nó. Không có trang web hợp pháp nào yêu cầu bạn thực hiện các bước này.
Liên kết
Tải xuống bộ công cụ tài nguyên IIS 6.0 (bao gồm tiện ích SelfSSL) từ Microsoft