IT Come creare un certificato SSL (Self Signed Security) e distribuirlo sui computer client
Gli sviluppatori e gli amministratori IT hanno, senza dubbio, la necessità di distribuire alcuni siti Web tramite HTTPS utilizzando un certificato SSL. Sebbene questo processo sia abbastanza semplice per un sito di produzione, ai fini dello sviluppo e dei test potresti trovare la necessità di utilizzare un certificato SSL anche qui.
In alternativa all'acquisto e al rinnovo di un certificato annuale, puoi sfruttare la capacità del tuo server Windows di generare un certificato autofirmato che sia comodo, facile e che soddisfi perfettamente questi tipi di esigenze.
Creazione di un certificato autofirmato su IIS
Mentre ci sono diversi modi per realizzare il compito di creare un certificato autofirmato, utilizzeremo l'utilità SelfSSL di Microsoft. Sfortunatamente, questo non viene fornito con IIS ma è liberamente disponibile come parte di IIS 6.0 Resource Toolkit (link fornito in fondo a questo articolo). Nonostante il nome "IIS 6.0" questa utility funziona perfettamente con IIS 7.
Tutto ciò che è necessario è estrarre IIS6RT per ottenere l'utilità selfssl.exe. Da qui è possibile copiarlo nella directory di Windows o in un percorso di rete / unità USB per uso futuro su un'altra macchina (quindi non è necessario scaricare ed estrarre il IIS6RT completo).
Una volta installata l'utilità SelfSSL, eseguire il comando seguente (come amministratore) sostituendo i valori in modo appropriato:
selfssl / N: CN = / V:
L'esempio seguente produce un certificato con caratteri jolly autofirmati contro "mydomain.com" e lo imposta come valido per 9999 giorni. Inoltre, rispondendo si al prompt, questo certificato viene automaticamente configurato per collegarsi alla porta 443 all'interno del sito Web predefinito di IIS.
Mentre a questo punto il certificato è pronto per l'uso, viene memorizzato solo nell'archivio certificati personale sul server. È buona pratica avere anche questo certificato impostato nella root attendibile.
Vai su Start> Esegui (o Tasto Windows + R) e inserisci "mmc". Potresti ricevere un prompt UAC, accettarlo e si aprirà una Console di gestione vuota.
Nella console, vai su File> Aggiungi / Rimuovi snap-in.
Aggiungi certificati dal lato sinistro.
Seleziona l'account del computer.
Seleziona Computer locale.
Fare clic su OK per visualizzare l'archivio dei certificati locali.
Passare a Personale> Certificati e individuare il certificato che è stato configurato utilizzando l'utilità SelfSSL. Fare clic con il tasto destro del mouse sul certificato e selezionare Copia.
Passare a Autorità di certificazione fonti attendibili> Certificati. Fare clic con il tasto destro sulla cartella Certificati e selezionare Incolla.
Una voce per il certificato SSL dovrebbe apparire nell'elenco.
A questo punto, il tuo server non dovrebbe avere problemi a lavorare con il certificato autofirmato.
Esportare il certificato
Se si sta per accedere a un sito che utilizza il certificato SSL autofirmato su qualsiasi macchina client (vale a dire qualsiasi computer che non sia il server), al fine di evitare un potenziale assalto di errori e avvisi del certificato, è necessario installare il certificato autofirmato su ciascuna delle macchine client (di cui parleremo in dettaglio qui sotto). Per fare questo, prima dobbiamo esportare il rispettivo certificato in modo che possa essere installato sui client.
All'interno della console con Gestione certificati caricata, accedere a Autorità di certificazione fonti attendibili> Certificati. Individuare il certificato, fare clic con il tasto destro del mouse e selezionare Tutte le attività> Esporta.
Quando viene richiesto di esportare la chiave privata, selezionare Sì. Fare clic su Avanti.
Lasciare le selezioni predefinite per il formato file e fare clic su Avanti.
Inserisci una password. Questo verrà utilizzato per proteggere il certificato e gli utenti non saranno in grado di importarlo localmente senza inserire questa password.
Immettere un percorso per esportare il file del certificato. Sarà in formato PFX.
Conferma le tue impostazioni e fai clic su Fine.
Il file PFX risultante è ciò che verrà installato sulle macchine client per comunicare loro che il certificato autofirmato proviene da una fonte attendibile.
Distribuzione su macchine client
Una volta creato il certificato sul lato server e tutto funziona, si può notare che quando un computer client si connette al rispettivo URL, viene visualizzato un avviso del certificato. Ciò accade perché l'autorità di certificazione (il tuo server) non è un'origine affidabile per i certificati SSL sul client.
È possibile fare clic sulle avvertenze e accedere al sito, tuttavia è possibile ottenere avvisi ripetuti sotto forma di una barra degli URL evidenziata o di avvertenze di ripetizione del certificato. Per evitare questo fastidio, è sufficiente installare il certificato di sicurezza SSL personalizzato sul computer client.
A seconda del browser che si utilizza, questo processo può variare. IE e Chrome leggono entrambi dall'archivio certificati di Windows, tuttavia Firefox ha un metodo personalizzato per gestire i certificati di sicurezza.
Nota importante: Dovresti mai installa un certificato di sicurezza da un'origine sconosciuta. In pratica, dovresti installare un certificato solo localmente se lo hai generato. Nessun sito Web legittimo richiederebbe di eseguire questi passaggi.
Internet Explorer e Google Chrome: installazione del certificato a livello locale
Nota: anche se Firefox non utilizza l'archivio certificati nativo di Windows, questo è comunque un passaggio consigliato.
Copia il certificato che è stato esportato dal server (il file PFX) sul computer client o assicurati che sia disponibile in un percorso di rete.
Aprire la gestione dell'archivio certificati locale sul computer client utilizzando gli stessi passaggi precedenti. Alla fine finirai su uno schermo come quello qui sotto.
Sul lato sinistro, espandere Certificati> Autorità di certificazione fonti attendibili. Fare clic con il tasto destro sulla cartella Certificati e selezionare Tutte le attività> Importa.
Seleziona il certificato che è stato copiato localmente sul tuo computer.
Immettere la password di sicurezza assegnata quando il certificato è stato esportato dal server.
Il negozio "Autorità di certificazione delle fonti attendibili" deve essere precompilato come destinazione. Fare clic su Avanti.
Rivedere le impostazioni e fare clic su Fine.
Dovresti vedere un messaggio di successo.
Aggiorna la vista della cartella Autorità di certificazione fonti attendibili> Certificati e dovresti vedere il certificato autofirmato del server elencato nello store.
Fatto questo, dovresti essere in grado di navigare su un sito HTTPS che utilizza questi certificati e non ricevere avvisi o prompt.
Firefox - Permette eccezioni
Firefox gestisce questo processo in modo leggermente diverso in quanto non legge le informazioni sul certificato dall'archivio di Windows. Anziché installare certificati (per-se), consente di definire eccezioni per i certificati SSL su determinati siti.
Quando visiti un sito che ha un errore di certificato, riceverai un avvertimento come quello qui sotto. L'area in blu indicherà il rispettivo URL a cui stai tentando di accedere. Per creare un'eccezione per ignorare questo avviso sul rispettivo URL, fare clic sul pulsante Aggiungi eccezione.
Nella finestra di dialogo Aggiungi eccezione di sicurezza, fare clic su Conferma eccezione di sicurezza per configurare localmente questa eccezione.
Tieni presente che se un determinato sito reindirizza i sottodomini da se stesso, potresti ricevere più avvisi di avviso di sicurezza (con l'URL leggermente diverso ogni volta). Aggiungi eccezioni per tali URL utilizzando gli stessi passaggi di cui sopra.
Conclusione
Vale la pena ripetere l'avviso di cui sopra mai installa un certificato di sicurezza da un'origine sconosciuta. In pratica, dovresti installare un certificato solo localmente se lo hai generato. Nessun sito Web legittimo richiederebbe di eseguire questi passaggi.
link
Scarica IIS 6.0 Resource Toolkit (include l'utilità SelfSSL) di Microsoft