IT: So erstellen Sie ein selbstsigniertes Sicherheitszertifikat (SSL) und stellen es auf Clientcomputern bereit

Inhaltsverzeichnis:

Video: IT: So erstellen Sie ein selbstsigniertes Sicherheitszertifikat (SSL) und stellen es auf Clientcomputern bereit

Video: IT: So erstellen Sie ein selbstsigniertes Sicherheitszertifikat (SSL) und stellen es auf Clientcomputern bereit
Video: Windows 8.1 Kacheloberfläche bei Start deaktivieren 2024, März
IT: So erstellen Sie ein selbstsigniertes Sicherheitszertifikat (SSL) und stellen es auf Clientcomputern bereit
IT: So erstellen Sie ein selbstsigniertes Sicherheitszertifikat (SSL) und stellen es auf Clientcomputern bereit
Anonim
Entwickler und IT-Administratoren müssen zweifellos einige Websites über HTTPS mit einem SSL-Zertifikat bereitstellen. Während dieser Prozess für einen Produktionsstandort ziemlich unkompliziert ist, kann es für die Zwecke der Entwicklung und des Testens auch erforderlich sein, hier ein SSL-Zertifikat zu verwenden.
Entwickler und IT-Administratoren müssen zweifellos einige Websites über HTTPS mit einem SSL-Zertifikat bereitstellen. Während dieser Prozess für einen Produktionsstandort ziemlich unkompliziert ist, kann es für die Zwecke der Entwicklung und des Testens auch erforderlich sein, hier ein SSL-Zertifikat zu verwenden.

Als Alternative zum Kauf und zur Erneuerung eines Jahreszertifikats können Sie die Fähigkeit Ihres Windows Servers nutzen, ein selbstsigniertes Zertifikat zu erstellen, das bequem und einfach ist und diese Anforderungen perfekt erfüllen sollte.

Erstellen eines selbstsignierten Zertifikats in IIS

Das Erstellen eines selbstsignierten Zertifikats kann auf verschiedene Arten durchgeführt werden. Wir verwenden jedoch das SelfSSL-Dienstprogramm von Microsoft. Leider wird dies nicht mit IIS geliefert, ist jedoch als Teil des IIS 6.0 Resource Toolkit (Link am Ende dieses Artikels) kostenlos verfügbar. Trotz des Namens "IIS 6.0" funktioniert dieses Dienstprogramm in IIS 7 einwandfrei.

Sie müssen lediglich IIS6RT extrahieren, um das Dienstprogramm selfssl.exe zu erhalten. Von hier aus können Sie es für die spätere Verwendung auf einem anderen Computer in Ihr Windows-Verzeichnis oder einen Netzwerkpfad / USB-Laufwerk kopieren (damit Sie nicht das vollständige IIS6RT herunterladen und extrahieren müssen).

Wenn Sie das SelfSSL-Dienstprogramm installiert haben, führen Sie den folgenden Befehl (als Administrator) aus, und ersetzen Sie die Werte in <> entsprechend:

selfssl /N:CN= /V:

Im folgenden Beispiel wird ein selbstsigniertes Wildcard-Zertifikat für "mydomain.com" erstellt und für 9.999 Tage gültig gemacht. Wenn Sie die Aufforderung mit Ja beantworten, wird dieses Zertifikat automatisch so konfiguriert, dass es an Port 443 in der Standardwebsite von IIS bindet.

Während zu diesem Zeitpunkt das Zertifikat einsatzbereit ist, wird es nur im persönlichen Zertifikatspeicher auf dem Server gespeichert. Es wird empfohlen, dieses Zertifikat auch im vertrauenswürdigen Stamm festzulegen.
Während zu diesem Zeitpunkt das Zertifikat einsatzbereit ist, wird es nur im persönlichen Zertifikatspeicher auf dem Server gespeichert. Es wird empfohlen, dieses Zertifikat auch im vertrauenswürdigen Stamm festzulegen.

Gehen Sie zu Start> Ausführen (oder Windows-Taste + R) und geben Sie "mmc" ein. Sie erhalten möglicherweise eine Aufforderung zur Benutzerkontensteuerung, die Sie akzeptieren, und eine leere Management Console wird geöffnet.

Image
Image

Wechseln Sie in der Konsole zu Datei> Snap-In hinzufügen / entfernen.

Fügen Sie Zertifikate von der linken Seite hinzu.
Fügen Sie Zertifikate von der linken Seite hinzu.
Wählen Sie Computerkonto.
Wählen Sie Computerkonto.
Wählen Sie Lokaler Computer aus.
Wählen Sie Lokaler Computer aus.
Klicken Sie auf OK, um den lokalen Zertifikatspeicher anzuzeigen.
Klicken Sie auf OK, um den lokalen Zertifikatspeicher anzuzeigen.
Navigieren Sie zu Personal> Zertifikate und suchen Sie das Zertifikat, das Sie mit dem SelfSSL-Dienstprogramm eingerichtet haben. Klicken Sie mit der rechten Maustaste auf das Zertifikat, und wählen Sie Kopieren aus.
Navigieren Sie zu Personal> Zertifikate und suchen Sie das Zertifikat, das Sie mit dem SelfSSL-Dienstprogramm eingerichtet haben. Klicken Sie mit der rechten Maustaste auf das Zertifikat, und wählen Sie Kopieren aus.
Navigieren Sie zu Vertrauenswürdige Stammzertifizierungsstellen> Zertifikate. Klicken Sie mit der rechten Maustaste auf den Ordner Zertifikate und wählen Sie Einfügen.
Navigieren Sie zu Vertrauenswürdige Stammzertifizierungsstellen> Zertifikate. Klicken Sie mit der rechten Maustaste auf den Ordner Zertifikate und wählen Sie Einfügen.
Ein Eintrag für das SSL-Zertifikat sollte in der Liste angezeigt werden.
Ein Eintrag für das SSL-Zertifikat sollte in der Liste angezeigt werden.
Zu diesem Zeitpunkt sollte Ihr Server keine Probleme mit dem selbstsignierten Zertifikat haben.
Zu diesem Zeitpunkt sollte Ihr Server keine Probleme mit dem selbstsignierten Zertifikat haben.

Zertifikat exportieren

Wenn Sie auf eine Site zugreifen, die das selbstsignierte SSL-Zertifikat auf einem beliebigen Client-Computer (dh auf einem Computer, der nicht der Server ist) verwendet, um mögliche Anzeichen von Zertifikatfehlern und Warnungen zu vermeiden, sollte das selbstsignierte Zertifikat installiert werden auf jedem Client-Rechner (auf den wir weiter unten näher eingehen werden). Dazu müssen wir zunächst das entsprechende Zertifikat exportieren, damit es auf den Clients installiert werden kann.

Navigieren Sie in der Konsole mit geladener Zertifikatsverwaltung zu Vertrauenswürdige Stammzertifizierungsstellen> Zertifikate. Suchen Sie das Zertifikat, klicken Sie mit der rechten Maustaste, und wählen Sie Alle Aufgaben> Exportieren aus.

Wenn Sie aufgefordert werden, den privaten Schlüssel zu exportieren, wählen Sie Ja. Weiter klicken.
Wenn Sie aufgefordert werden, den privaten Schlüssel zu exportieren, wählen Sie Ja. Weiter klicken.
Behalten Sie die Standardauswahl für das Dateiformat bei und klicken Sie auf Weiter.
Behalten Sie die Standardauswahl für das Dateiformat bei und klicken Sie auf Weiter.
Geben Sie ein Passwort ein. Dies wird zum Schutz des Zertifikats verwendet, und Benutzer können es nicht lokal importieren, ohne dieses Kennwort einzugeben.
Geben Sie ein Passwort ein. Dies wird zum Schutz des Zertifikats verwendet, und Benutzer können es nicht lokal importieren, ohne dieses Kennwort einzugeben.
Geben Sie einen Speicherort für den Export der Zertifikatsdatei ein. Es wird im PFX-Format vorliegen.
Geben Sie einen Speicherort für den Export der Zertifikatsdatei ein. Es wird im PFX-Format vorliegen.
Bestätigen Sie Ihre Einstellungen und klicken Sie auf Fertig stellen.
Bestätigen Sie Ihre Einstellungen und klicken Sie auf Fertig stellen.
Die resultierende PFX-Datei wird auf Ihren Client-Computern installiert, um ihnen mitzuteilen, dass Ihr selbst signiertes Zertifikat aus einer vertrauenswürdigen Quelle stammt.
Die resultierende PFX-Datei wird auf Ihren Client-Computern installiert, um ihnen mitzuteilen, dass Ihr selbst signiertes Zertifikat aus einer vertrauenswürdigen Quelle stammt.

Bereitstellung auf Client-Maschinen

Wenn Sie das Zertifikat auf der Serverseite erstellt haben und alles funktioniert, stellen Sie möglicherweise fest, dass eine Zertifikatswarnung angezeigt wird, wenn ein Client-Computer eine Verbindung mit der entsprechenden URL herstellt. Dies geschieht, weil die Zertifizierungsstelle (Ihr Server) keine vertrauenswürdige Quelle für SSL-Zertifikate auf dem Client ist.

Sie können die Warnungen durchklicken und auf die Website zugreifen. Sie erhalten jedoch möglicherweise wiederholte Benachrichtigungen in Form einer hervorgehobenen URL-Leiste oder wiederholten Zertifikatwarnungen. Um diese Belästigung zu vermeiden, müssen Sie lediglich das benutzerdefinierte SSL-Sicherheitszertifikat auf dem Client-Computer installieren.
Sie können die Warnungen durchklicken und auf die Website zugreifen. Sie erhalten jedoch möglicherweise wiederholte Benachrichtigungen in Form einer hervorgehobenen URL-Leiste oder wiederholten Zertifikatwarnungen. Um diese Belästigung zu vermeiden, müssen Sie lediglich das benutzerdefinierte SSL-Sicherheitszertifikat auf dem Client-Computer installieren.

Je nach verwendetem Browser kann dieser Vorgang variieren. Sowohl IE als auch Chrome lesen aus dem Windows-Zertifikatspeicher. Firefox verfügt jedoch über eine benutzerdefinierte Methode zum Umgang mit Sicherheitszertifikaten.

Wichtige Notiz: Du solltest noch nie Installieren Sie ein Sicherheitszertifikat aus einer unbekannten Quelle. In der Praxis sollten Sie ein Zertifikat nur lokal installieren, wenn Sie es generiert haben. Für keine seriöse Website müssen Sie diese Schritte ausführen.

Internet Explorer & Google Chrome - Zertifikat lokal installieren

Hinweis: Obwohl Firefox nicht den systemeigenen Windows-Zertifikatsspeicher verwendet, ist dies dennoch ein empfohlener Schritt.

Kopieren Sie das Zertifikat, das vom Server (die PFX-Datei) exportiert wurde, auf den Client-Computer, oder stellen Sie sicher, dass es in einem Netzwerkpfad verfügbar ist.

Öffnen Sie die lokale Zertifikatsspeicherverwaltung auf dem Clientcomputer mit den gleichen Schritten wie oben.Sie werden schließlich auf einem Bildschirm wie dem unten stehenden landen.

Erweitern Sie auf der linken Seite Zertifikate> Vertrauenswürdige Stammzertifizierungsstellen. Klicken Sie mit der rechten Maustaste auf den Ordner Zertifikate und wählen Sie Alle Aufgaben> Importieren.
Erweitern Sie auf der linken Seite Zertifikate> Vertrauenswürdige Stammzertifizierungsstellen. Klicken Sie mit der rechten Maustaste auf den Ordner Zertifikate und wählen Sie Alle Aufgaben> Importieren.
Wählen Sie das Zertifikat aus, das lokal auf Ihren Computer kopiert wurde.
Wählen Sie das Zertifikat aus, das lokal auf Ihren Computer kopiert wurde.
Geben Sie das Sicherheitskennwort ein, das beim Export des Zertifikats vom Server zugewiesen wurde.
Geben Sie das Sicherheitskennwort ein, das beim Export des Zertifikats vom Server zugewiesen wurde.
Das Geschäft "Vertrauenswürdige Stammzertifizierungsstellen" sollte als Zielort vorbelegt werden. Weiter klicken.
Das Geschäft "Vertrauenswürdige Stammzertifizierungsstellen" sollte als Zielort vorbelegt werden. Weiter klicken.
Überprüfen Sie die Einstellungen und klicken Sie auf Fertig stellen.
Überprüfen Sie die Einstellungen und klicken Sie auf Fertig stellen.
Sie sollten eine Erfolgsmeldung sehen.
Sie sollten eine Erfolgsmeldung sehen.
Aktualisieren Sie Ihre Ansicht des Ordners Vertrauenswürdige Stammzertifizierungsstellen> Zertifikate. Das selbstsignierte Zertifikat des Servers sollte im Geschäft aufgeführt sein.
Aktualisieren Sie Ihre Ansicht des Ordners Vertrauenswürdige Stammzertifizierungsstellen> Zertifikate. Das selbstsignierte Zertifikat des Servers sollte im Geschäft aufgeführt sein.
Sobald dies geschehen ist, sollten Sie in der Lage sein, zu einer HTTPS-Site zu navigieren, die diese Zertifikate verwendet, und keine Warnungen oder Aufforderungen erhalten.
Sobald dies geschehen ist, sollten Sie in der Lage sein, zu einer HTTPS-Site zu navigieren, die diese Zertifikate verwendet, und keine Warnungen oder Aufforderungen erhalten.

Firefox - Ausnahmen zulassen

Firefox behandelt diesen Vorgang etwas anders, da keine Zertifikatsinformationen aus dem Windows Store gelesen werden. Anstatt Zertifikate (per se) zu installieren, können Sie auf bestimmten Sites Ausnahmen für SSL-Zertifikate definieren.

Wenn Sie eine Site besuchen, die einen Zertifikatfehler aufweist, erhalten Sie eine Warnung wie die unten stehende. Der blaue Bereich wird der jeweiligen URL benennen, auf die Sie zugreifen möchten. Klicken Sie auf die Schaltfläche Ausnahme hinzufügen, um eine Ausnahme zu erstellen, um diese Warnung für die entsprechende URL zu umgehen.

Klicken Sie im Dialogfeld Sicherheitsausnahme hinzufügen auf die Option Sicherheitsausnahme bestätigen, um diese Ausnahme lokal zu konfigurieren.
Klicken Sie im Dialogfeld Sicherheitsausnahme hinzufügen auf die Option Sicherheitsausnahme bestätigen, um diese Ausnahme lokal zu konfigurieren.
Wenn eine bestimmte Website von ihrem Inneren aus zu Subdomains umgeleitet wird, werden möglicherweise mehrere Sicherheitswarnungen angezeigt (wobei die URL jedes Mal etwas anders ist). Fügen Sie für diese URLs Ausnahmen hinzu, indem Sie die gleichen Schritte wie oben ausführen.
Wenn eine bestimmte Website von ihrem Inneren aus zu Subdomains umgeleitet wird, werden möglicherweise mehrere Sicherheitswarnungen angezeigt (wobei die URL jedes Mal etwas anders ist). Fügen Sie für diese URLs Ausnahmen hinzu, indem Sie die gleichen Schritte wie oben ausführen.

Fazit

Es lohnt sich, die obige Mitteilung zu wiederholen noch nie Installieren Sie ein Sicherheitszertifikat aus einer unbekannten Quelle. In der Praxis sollten Sie ein Zertifikat nur lokal installieren, wenn Sie es generiert haben. Für keine seriöse Website müssen Sie diese Schritte ausführen.

Links

Laden Sie das IIS 6.0 Resource Toolkit (einschließlich SelfSSL-Dienstprogramm) von Microsoft herunter

Empfohlen: