Я створюю самопідписані сертифікати SSL в IIS 7.5 для внутрішнього використання. Проблема у мене полягає в тому, що я хочу створити їх так, щоб вони тривали 10 років, оскільки це лише середовище розробників.
Я не бачу опції в IIS 7.5, де можна вказати час дії сертифіката. За замовчуванням він створює сертифікати, термін дії яких закінчується через 1 рік.
Чи є спосіб я це змінити, щоб це створило їх, щоб вони діяли 10 років?
Відповіді:
Це можна зробити за допомогою SelfSSL.exeінструменту, який постачається з комплектом ресурсів IIS6. Ви можете отримати ресурсний комплект звідси:
http://www.microsoft.com/download/uk/details.aspx?displaylang=en&id=17275
Інсталятор просто розпаковує інструменти в папку і не заважає жодним із налаштувань вашої машини. Спеціальна опція встановлення також дозволяє вибрати, які інструменти ви хочете встановити, і в папку за власним вибором.
Відкрийте командний рядок адміністратора та змініть каталог, куди SelfSSLбуло встановлено інструмент командного рядка.
Щоб створити новий самопідписаний сертифікат SSL, який закінчиться через 10 років, виконайте наступне:
selfssl /n:cn=www.mydomain.com / v: 3650 / s: 8 / k: 2048
Це створить ssl де:
/n:cn=www.mydomain.com- SSL призначений для www.mydomain.com. Важливе значення cn=(загальна назва), тому не пропустіть його.
/v:3650 - кількість днів дії сертифіката, в цьому випадку десять років
/s:8 - встановити сертифікат в ідентифікатор сайту 8
/k:2048 - використовувати довжину ключа 2048 біт.
На жаль, немає можливості вивести SSL безпосередньо у файл, вам доведеться встановити його на сайт. Хороша новина, однак, що сертифікат експортується.
Якщо ви хочете, щоб попередження про те, що SSL не довіряється, під час перегляду сайтів, використовуючи власноруч підписаний SSL, вимкніть це, ви також можете це виправити:
.pfxфайл (вам потрібно встановити пароль, переконайтеся, що ви його пам’ятаєте)mmc certmgr.mscПерейдіть до Trusted Root Certificate Authorities -> Certificatesта клацніть правою кнопкою миші, щоб перейти до Import...параметра:
Виконайте майстра та вкажіть .pfxімпорт, а потім натисніть кнопку Далі (вам знадобиться пароль, встановлений у кроці 1):
На наступному кроці майстра нам потрібно вибрати, який магазин використовувати. Натисніть Browse...кнопку, яка відкриє Select Certificate Storeвікно. Нам потрібно побачити фізичні магазини, тому переконайтеся, що в них є галочка Show physical stores:
Розгорніть Trusted Root Certificate Authoritiesі виберіть Local Computerвідповідно до знімка екрана, а потім клацніть OKі потімNext >
Натисніть Finishкнопку на останньому кроці майстра, і якщо все добре, ви повинні побачити:
Печери та готчі:
SelfSSL може знадобитися встановленим компонентам сумісності управління IIS6. Я не можу сказати, тому що в моїх власних машинах вже встановлено це і не було зручно VM для перевірки цієї теорії, видаливши їх.
Видайте SSL до, cn=www.mydomain.comа не, cn=mydomain.comякщо ви хочете додати SSL до магазину довірених кореневих сертифікатів.
Наскільки я розумію, проблема IIS 7.x полягає в тому, що ви не можете встановити заголовок хоста для прив'язки SSL.
Використовуючи утиліту командного рядка appcmd, ви повинні це зробити. Сайти можуть використовувати один і той же сертифікат, але вони матимуть різні заголовки хостів.
Якщо ви виконаєте наступні 2 команди зі своїми даними, вони повинні налаштувати заголовки хоста.
c:\Windows\System32\inetsrv>appcmd set site /site.name:"local.yourdomain.com" /+bindings.[protocol='https',bindingInformation='*:443:local.yourdomain.com']
c:\Windows\System32\inetsrv>appcmd set site /site.name:"local.dev.yourdomain.com" /+bindings.[protocol='https',bindingInformation='*:443:local.dev.yourdomain.com']
На жаль, є ще щось, що потрібно зробити для того, щоб це працювало, але я не впевнений, що саме. Я знаю, що я зробив декілька скидів IIS, і я переібрав серти SSL, але я не впевнений у тому, у якому порядку це робити. Але я знаю, що я не робив нічого "фантазійного", як використовувати інший інструмент.
OpenSSL також може бути використаний для створення сертифіката, який підписався самостійно, як описано у цій відповіді на переповнення стека: