Trang chủ » làm thế nào để » CNTT Cách tạo Chứng chỉ bảo mật tự ký (SSL) và triển khai nó cho máy khách

    CNTT Cách tạo Chứng chỉ bảo mật tự ký (SSL) và triển khai nó cho máy khách

    Không còn nghi ngờ gì nữa, các nhà phát triển và quản trị viên CNTT cần triển khai một số trang web thông qua HTTPS bằng chứng chỉ SSL. Mặc dù quá trình này khá đơn giản đối với một trang web sản xuất, nhưng với mục đích phát triển và thử nghiệm, bạn cũng có thể thấy cần phải sử dụng chứng chỉ SSL ở đây.

    Thay thế cho việc mua và gia hạn chứng chỉ hàng năm, bạn có thể tận dụng khả năng của Windows Server để tạo chứng chỉ tự ký thuận tiện, dễ dàng và đáp ứng hoàn hảo các loại nhu cầu này.

    Tạo chứng chỉ tự ký trên IIS

    Mặc dù có một số cách để hoàn thành nhiệm vụ tạo chứng chỉ tự ký, chúng tôi sẽ sử dụng tiện ích SelfSSL từ Microsoft. Thật không may, điều này không được cung cấp với IIS nhưng nó có sẵn miễn phí như một phần của Bộ công cụ tài nguyên IIS 6.0 (liên kết được cung cấp ở cuối bài viết này). Mặc dù tên là IIS IIS 6.0, tiện ích này chỉ hoạt động tốt trong IIS 7.

    Tất cả những gì được yêu cầu là trích xuất IIS6RT để có được tiện ích selfssl.exe. Từ đây, bạn có thể sao chép nó vào thư mục Windows của bạn hoặc đường dẫn mạng / ổ USB để sử dụng trong tương lai trên một máy khác (vì vậy bạn không phải tải xuống và giải nén IIS6RT đầy đủ).

    Khi bạn đã có tiện ích SelfSSL, hãy chạy lệnh sau (với tư cách Quản trị viên) thay thế các giá trị cho phù hợp:

    selfssl / N: CN = / V:

    Ví dụ dưới đây tạo ra một chứng chỉ ký tự đại diện tự ký chống lại My mydomain.com và đặt nó có hiệu lực trong 9,999 ngày. Ngoài ra, bằng cách trả lời có cho lời nhắc, chứng chỉ này được tự động cấu hình để liên kết với cổng 443 bên trong Trang web mặc định của IIS.

    Mặc dù tại thời điểm này, chứng chỉ đã sẵn sàng để sử dụng, nhưng nó chỉ được lưu trữ trong kho chứng chỉ cá nhân trên máy chủ. Đó là một cách thực hành tốt nhất để cũng có chứng chỉ này được đặt trong thư mục gốc đáng tin cậy.

    Đi đến Bắt đầu> Chạy (hoặc Windows Key + R) và nhập vào mm mmc. Bạn có thể nhận được lời nhắc UAC, chấp nhận nó và Bảng điều khiển quản lý trống sẽ mở.

    Trong bảng điều khiển, đi đến Tệp> Thêm / Xóa Snap-in.

    Thêm chứng chỉ từ phía bên trái.

    Chọn tài khoản máy tính.

    Chọn máy tính cục bộ.

    Nhấn OK để xem cửa hàng Chứng chỉ cục bộ.

    Điều hướng đến Cá nhân> Chứng chỉ và định vị chứng chỉ bạn thiết lập bằng tiện ích SelfSSL. Nhấp chuột phải vào chứng chỉ và chọn Sao chép.

    Điều hướng đến Cơ quan chứng nhận gốc đáng tin cậy> Chứng chỉ. Nhấp chuột phải vào thư mục Chứng chỉ và chọn Dán.

    Một mục nhập cho chứng chỉ SSL sẽ xuất hiện trong danh sách.

    Tại thời điểm này, máy chủ của bạn sẽ không gặp vấn đề gì khi làm việc với chứng chỉ tự ký.

    Xuất chứng chỉ

    Nếu bạn đang truy cập một trang web sử dụng chứng chỉ SSL tự ký trên bất kỳ máy khách nào (tức là bất kỳ máy tính nào không phải là máy chủ), để tránh sự cố có thể xảy ra lỗi chứng chỉ và cảnh báo chứng chỉ tự ký phải được cài đặt trên mỗi máy khách (mà chúng ta sẽ thảo luận chi tiết bên dưới). Để làm điều này, trước tiên chúng ta cần xuất chứng chỉ tương ứng để có thể cài đặt nó trên máy khách.

    Bên trong bảng điều khiển có Quản lý chứng chỉ được tải, điều hướng đến Cơ quan chứng nhận gốc đáng tin cậy> Chứng chỉ. Xác định vị trí chứng chỉ, nhấp chuột phải và chọn Tất cả tác vụ> Xuất.

    Khi được nhắc xuất khóa riêng, chọn Có. Nhấn tiếp.

    Để lại các lựa chọn mặc định cho định dạng tệp và nhấp vào Tiếp theo.

    Nhập mật khẩu. Điều này sẽ được sử dụng để bảo vệ chứng chỉ và người dùng sẽ không thể nhập nó cục bộ mà không nhập mật khẩu này.

    Nhập một vị trí để xuất tệp chứng chỉ. Nó sẽ ở định dạng PFX.

    Xác nhận cài đặt của bạn và nhấp vào Kết thúc.

    Tệp PFX kết quả là những gì sẽ được cài đặt cho các máy khách của bạn để cho họ biết rằng chứng chỉ tự ký của bạn là từ một nguồn đáng tin cậy.

    Triển khai đến máy khách

    Khi bạn đã tạo chứng chỉ ở phía máy chủ và mọi thứ hoạt động, bạn có thể nhận thấy rằng khi máy khách kết nối với URL tương ứng, cảnh báo chứng chỉ sẽ được hiển thị. Điều này xảy ra vì cơ quan cấp chứng chỉ (máy chủ của bạn) không phải là nguồn đáng tin cậy cho chứng chỉ SSL trên máy khách.

    Bạn có thể nhấp qua các cảnh báo và truy cập trang web, tuy nhiên bạn có thể nhận được các thông báo lặp lại dưới dạng thanh URL được tô sáng hoặc lặp lại cảnh báo chứng chỉ. Để tránh phiền toái này, bạn chỉ cần cài đặt chứng chỉ bảo mật SSL tùy chỉnh trên máy khách.

    Tùy thuộc vào trình duyệt bạn sử dụng, quá trình này có thể khác nhau. Cả IE và Chrome đều đọc từ kho Chứng chỉ Windows, tuy nhiên Firefox có một phương pháp tùy chỉnh để xử lý chứng chỉ bảo mật.

    Lưu ý quan trọng: Bạn nên không bao giờ cài đặt chứng chỉ bảo mật từ một nguồn không xác định. Trong thực tế, bạn chỉ nên cài đặt một chứng chỉ cục bộ nếu bạn tạo nó. Không có trang web hợp pháp sẽ yêu cầu bạn thực hiện các bước này.

    Internet Explorer & Google Chrome - Cài đặt chứng chỉ cục bộ

    Lưu ý: Mặc dù Firefox không sử dụng kho chứng chỉ Windows gốc, đây vẫn là bước được khuyến nghị.

    Sao chép chứng chỉ đã được xuất từ ​​máy chủ (tệp PFX) sang máy khách hoặc đảm bảo rằng nó có sẵn trong đường dẫn mạng.

    Mở quản lý cửa hàng chứng chỉ cục bộ trên máy khách bằng các bước chính xác như trên. Cuối cùng, bạn sẽ kết thúc trên một màn hình như bên dưới.

    Ở phía bên trái, mở rộng Chứng chỉ> Cơ quan chứng nhận gốc đáng tin cậy. Nhấp chuột phải vào thư mục Chứng chỉ và chọn Tất cả Tác vụ> Nhập.

    Chọn chứng chỉ được sao chép cục bộ vào máy của bạn.

    Nhập mật khẩu bảo mật được chỉ định khi chứng chỉ được xuất từ ​​máy chủ.

    Cửa hàng Chứng nhận quyền sở hữu chứng chỉ tin cậy nên được đặt trước làm điểm đến. Nhấn tiếp.

    Xem lại cài đặt và nhấp vào Kết thúc.

    Bạn sẽ thấy một thông điệp thành công.

    Làm mới giao diện của bạn về thư mục Chứng chỉ gốc đáng tin cậy> Chứng chỉ và bạn sẽ thấy chứng chỉ tự ký của máy chủ được liệt kê trong cửa hàng.

    Một điều này đã được thực hiện, bạn sẽ có thể duyệt đến trang web HTTPS sử dụng các chứng chỉ này và không nhận được cảnh báo hoặc lời nhắc nào.

    Firefox - Cho phép ngoại lệ

    Firefox xử lý quá trình này một chút khác biệt vì nó không đọc thông tin chứng chỉ từ cửa hàng Windows. Thay vì cài đặt chứng chỉ (per-se), nó cho phép bạn xác định ngoại lệ cho chứng chỉ SSL trên các trang web cụ thể.

    Khi bạn truy cập một trang web có lỗi chứng chỉ, bạn sẽ nhận được một cảnh báo như bên dưới. Vùng màu xanh lam sẽ đặt tên URL tương ứng mà bạn đang cố truy cập. Để tạo một ngoại lệ để bỏ qua cảnh báo này trên URL tương ứng, nhấp vào nút Thêm ngoại lệ.

    Trong hộp thoại Thêm ngoại lệ bảo mật, bấm vào Xác nhận ngoại lệ bảo mật để định cấu hình ngoại lệ này cục bộ.

    Lưu ý rằng nếu một trang web cụ thể chuyển hướng đến các tên miền phụ từ bên trong chính nó, bạn có thể nhận được nhiều lời nhắc cảnh báo bảo mật (với URL mỗi lần hơi khác nhau). Thêm ngoại lệ cho các URL đó bằng các bước tương tự như trên.

    Phần kết luận

    Cần nhắc lại thông báo ở trên rằng bạn nên không bao giờ cài đặt chứng chỉ bảo mật từ một nguồn không xác định. Trong thực tế, bạn chỉ nên cài đặt một chứng chỉ cục bộ nếu bạn tạo nó. Không có trang web hợp pháp sẽ yêu cầu bạn thực hiện các bước này.

    Liên kết

    Tải xuống Bộ công cụ tài nguyên IIS 6.0 (bao gồm tiện ích SelfSSL) từ Microsoft