Jak utworzyć certyfikat z podpisem własnym dla nazwy domeny na potrzeby programowania?

Mam to subdomain.example.com, czego używam do celów programistycznych. Moja aplikacja internetowa zawiera internetowy interfejs API itp., Który muszę wywołać z systemów zewnętrznych, dlatego nie używam hosta lokalnego.

Teraz muszę przetestować SSL i potrzebuję certyfikatu dla mojej subdomain.example.comdeweloperskiej nazwy domeny.

Próbowałem utworzyć certyfikat z podpisem własnym, jak opisano w http://technet.microsoft.com/en-us/library/cc753127(v=ws.10).aspx , ale ten certyfikat działa tylko dla hosta lokalnego. Czy ten certyfikat może być używany do moich celów, czy też będę musiał utworzyć samodzielnie podpisaną domenę dla mojej subdomeny programistycznej? Jeśli muszę utworzyć certyfikat z podpisem własnym dla mojej subdomeny programistycznej, jakiego narzędzia lub usługi online (bezpłatnej) mogę w tym celu użyć?

Dzięki funkcji certyfikatu z podpisem własnym w usługach IIS nie można ustawić nazwy pospolitej (CN) dla certyfikatu, a zatem nie można utworzyć certyfikatu powiązanego z wybraną przez Ciebie subdomeną.

Jednym ze sposobów obejścia problemu jest użycie makecert.exe, który jest dołączony do zestawu SDK .Net 2.0. Na moim serwerze jest pod adresem:

C:\Program Files\Microsoft.Net\SDK\v2.0 64bit\Bin\makecert.exe

Możesz utworzyć organ podpisujący i przechowywać go w repozytorium certyfikatów LocalMachine w następujący sposób (te polecenia muszą być uruchamiane z konta administratora lub w wierszu poleceń z podwyższonym poziomem uprawnień):

makecert.exe -n "CN=My Company Development Root CA,O=My Company,
 OU=Development,L=Wallkill,S=NY,C=US" -pe -ss Root -sr LocalMachine
 -sky exchange -m 120 -a sha1 -len 2048 -r

Następnie możesz utworzyć certyfikat powiązany z Twoją subdomeną i podpisany przez nowy urząd:

(Pamiętaj, że wartość parametru -in musi być taka sama, jak wartość CN użyta do wygenerowania Twojego uprawnienia powyżej).

makecert.exe -n "CN=subdomain.example.com" -pe -ss My -sr LocalMachine
 -sky exchange -m 120 -in "My Company Development Root CA" -is Root
 -ir LocalMachine -a sha1 -eku 1.3.6.1.5.5.7.3.1

Twój certyfikat powinien następnie pojawić się w Menedżerze usług IIS, aby zostać powiązany z Twoją witryną, jak wyjaśniono w poście Toma Halla.

Wszystkie pochwały za to rozwiązanie dla Mike'a O'Briena za jego doskonały post na blogu pod adresem http://www.mikeobrien.net/blog/creating-self-signed-wildcard

Korzystanie z programu PowerShell

W systemach Windows 8.1 i Windows Server 2012 R2 (Windows PowerShell 4.0) i nowszych można utworzyć certyfikat z podpisem własnym za pomocą nowego polecenia New-SelfSignedCertificatecmdlet:

Przykłady:

New-SelfSignedCertificate -DnsName www.mydomain.com -CertStoreLocation cert:\LocalMachine\My

New-SelfSignedCertificate -DnsName subdomain.mydomain.com -CertStoreLocation cert:\LocalMachine\My

New-SelfSignedCertificate -DnsName *.mydomain.com -CertStoreLocation cert:\LocalMachine\My

Korzystanie z Menedżera usług IIS

1. Uruchom Menedżera usług IIS
2. Na poziomie serwera w obszarze IIS wybierz opcję Certyfikaty serwera
3. Po prawej stronie w obszarze Akcje wybierz opcję Utwórz certyfikat z podpisem własnym
4. Tam, gdzie jest napisane „Określ przyjazną nazwę dla certyfikatu”, wpisz odpowiednią nazwę w celach informacyjnych.
   1. Przykłady: www.domain.comlubsubdomain.domain.com
5. Następnie wybierz swoją witrynę z listy po lewej stronie
6. Po prawej stronie w sekcji Akcje wybierz Wiązania
7. Dodaj nowe powiązanie HTTPS i wybierz właśnie utworzony certyfikat (jeśli Twój certyfikat jest certyfikatem wieloznacznym, musisz podać nazwę hosta)
8. Kliknij OK i przetestuj.

Aby utworzyć nowy certyfikat dla określonej domeny:

Otwórz Powershell ISE jako administrator, uruchom polecenie:

New-SelfSignedCertificate -DnsName *.mydomain.com, localhost -CertStoreLocation cert:\LocalMachine\My

Aby zaufać nowemu certyfikatowi:

• Otwórz mmc.exe
• Przejdź do katalogu głównego konsoli -> Certyfikaty (komputer lokalny) -> Osobiste
• Wybierz utworzony certyfikat, kliknij prawym przyciskiem myszy -> Wszystkie zadania -> Eksportuj i postępuj zgodnie z instrukcjami kreatora eksportu, aby utworzyć plik .pfx
• Idź do Console Root -> Certificates -> Trusted Root Certification Authority i zaimportuj nowy plik .pfx

Aby powiązać certyfikat ze swoją witryną:

• Otwórz Menedżera usług IIS
• Wybierz swoją witrynę i wybierz Edytuj witrynę -> Powiązania w prawym panelu
• Dodaj nowe powiązanie https z poprawną nazwą hosta i nowym certyfikatem

Musiałem przedzierać się przez samopodpisane certyfikaty w systemie Windows, łącząc fragmenty z udzielonych odpowiedzi i dalszych zasobów. Oto moje własne (i mam nadzieję, że kompletne) przejście. Mam nadzieję, że oszczędzi ci to mojej własnej bolesnej krzywej uczenia się. Zawiera również informacje dotyczące powiązanych tematów, które pojawią się prędzej czy później, gdy utworzysz własne certyfikaty.

Utwórz certyfikat z podpisem własnym w systemie Windows 10 i starszych

Nie używaj makecert.exe. Został wycofany przez firmę Microsoft.
Nowoczesny sposób wykorzystuje polecenie Powershell.

Windows 10:

Otwórz Powershell z uprawnieniami administratora:

New-SelfSignedCertificate  -DnsName "*.dev.local", "dev.local", "localhost"  -CertStoreLocation cert:\LocalMachine\My  -FriendlyName "Dev Cert *.dev.local, dev.local, localhost"  -NotAfter (Get-Date).AddYears(15)

Windows 8, Windows Server 2012 R2:

W programie PowerShell w tych systemach parametry -FriendlyName i -NotAfter nie istnieją. Po prostu usuń je z powyższego wiersza poleceń.
Otwórz Powershell z uprawnieniami administratora:

New-SelfSignedCertificate  -DnsName "*.dev.local", "dev.local", "localhost"  -CertStoreLocation cert:\LocalMachine\My

Alternatywą jest użycie metody dla starszej wersji systemu Windows poniżej, która umożliwia wykorzystanie wszystkich funkcji Win 10 do tworzenia certyfikatów ...

Starsze wersje systemu Windows:

Moją rekomendacją dla starszych wersji systemu Windows jest utworzenie certyfikatu na komputerze z systemem Windows 10, wyeksportowanie go do pliku .PFX przy użyciu instancji mmc (zobacz „Zaufaj certyfikatowi” poniżej) i zaimportowanie go do magazynu certyfikatów na komputerze docelowym z stary system operacyjny Windows. Aby zaimportować certyfikat, NIE klikaj go prawym przyciskiem myszy. Chociaż w menu kontekstowym znajduje się pozycja „Importuj certyfikat”, wszystkie moje próby użycia go na Win Server 2008 nie powiodły się. Zamiast tego otwórz inną instancję mmc na komputerze docelowym, przejdź do „Certyfikaty (komputer lokalny) / Osobiste / Certyfikaty” , kliknij prawym przyciskiem myszy w środkowym okienku i wybierz Wszystkie zadania → Importuj.

Uzyskany certyfikat

Oba powyższe polecenia tworzą certyfikat dla domen localhosti *.dev.local.
Wersja dla Win10 dodatkowo ma 15-letni okres eksploatacji i czytelną wyświetlaną nazwę „Dev Cert * .dev.local, dev.local, localhost”.

Aktualizacja: Jeśli podasz wiele wpisów nazwy hosta w parametrze -DnsName(jak pokazano powyżej), pierwszy z tych wpisów stanie się tematem domeny (nazwa zwykła AKA). Pełna lista wszystkich wpisów nazw hostów będzie przechowywana w polu Alternatywna nazwa podmiotu (SAN) certyfikatu. (Dzięki @BenSewards za wskazanie tego).

Po utworzeniu certyfikat będzie natychmiast dostępny we wszystkich powiązaniach HTTPS usług IIS (instrukcje poniżej).

Zaufaj certyfikatowi

Nowy certyfikat nie jest częścią żadnego łańcucha zaufania i dlatego żadna przeglądarka nie uważa go za wiarygodny. Aby to zmienić, skopiujemy certyfikat do magazynu certyfikatów zaufanych głównych urzędów certyfikacji na Twoim komputerze:

Otwórz mmc.exe, Plik → Dodaj / Usuń przystawkę → wybierz „Certyfikaty” w lewej kolumnie → Dodaj → wybierz „Konto komputera” → Dalej → „Komputer lokalny…” → Zakończ → OK

W lewej kolumnie wybierz „Certyfikaty (komputer lokalny) / Osobiste / Certyfikaty”.
Znajdź nowo utworzony certyfikat (w Win 10 może pomóc kolumna „Przyjazna nazwa”).
Wybierz ten certyfikat i naciśnij Ctrl-C, aby skopiować go do schowka.

W lewej kolumnie wybierz „Certyfikaty (komputer lokalny) / Zaufane główne urzędy certyfikacji / Certyfikaty”.
Naciśnij Ctrl-V, aby wkleić certyfikat do tego sklepu.
Certyfikat powinien pojawić się na liście zaufanych głównych urzędów i jest teraz uważany za godny zaufania.

Użyj w usługach IIS

Teraz możesz przejść do Menedżera IIS, wybrać powiązania lokalnej witryny internetowej → Dodaj → https → wprowadź nazwę hosta formularza myname.dev.local(Twój certyfikat jest ważny tylko dla *.dev.local) i wybierz nowy certyfikat → OK.

Dodaj do hostów

Dodaj także nazwę swojego hosta do C: \ Windows \ System32 \ drivers \ etc \ hosts:

127.0.0.1  myname.dev.local

Szczęśliwy

Teraz Chrome i IE powinny traktować certyfikat jako godny zaufania i ładować Twoją witrynę podczas otwierania https://myname.dev.local.

Firefox utrzymuje własny magazyn certyfikatów. Aby dodać tutaj swój certyfikat, musisz otworzyć swoją witrynę w FF i dodać ją do wyjątków, gdy FF ostrzega Cię o certyfikacie.

W przypadku przeglądarki Edge może być potrzebne więcej działań (patrz poniżej).

Przetestuj certyfikat

Aby przetestować swoje certyfikaty, najlepszym wyborem jest Firefox. (Uwierz mi, sam jestem fanem Chrome, ale w tym przypadku FF jest lepszy).

Oto powody:

• Firefox używa własnej pamięci podręcznej SSL, która jest czyszczona po przeładowaniu przez shift. Tak więc wszelkie zmiany w certyfikatach lokalnych witryn internetowych zostaną natychmiast odzwierciedlone w ostrzeżeniach FF, podczas gdy inne przeglądarki mogą wymagać ponownego uruchomienia lub ręcznego wyczyszczenia pamięci podręcznej SSL systemu Windows.
• FF daje również cenne wskazówki, jak sprawdzić ważność twojego certyfikatu: Kliknij Zaawansowane, gdy FF wyświetli ostrzeżenie o certyfikacie. FF pokaże ci krótki blok tekstowy z jednym lub więcej możliwymi ostrzeżeniami w środkowych liniach bloku tekstu:

Certyfikat nie jest zaufany, ponieważ jest podpisany samodzielnie.

To ostrzeżenie jest poprawne! Jak wspomniano powyżej, Firefox nie korzysta z magazynu certyfikatów systemu Windows i będzie ufał temu certyfikatowi tylko wtedy, gdy dodasz do niego wyjątek. Przycisk służący do tego znajduje się tuż pod ostrzeżeniami.

Certyfikat nie jest ważny dla nazwy ...

To ostrzeżenie pokazuje, że zrobiłeś coś złego. Domena (z symbolem wieloznacznym) Twojego certyfikatu nie jest zgodna z domeną Twojej witryny. Problem należy rozwiązać, zmieniając (pod) domenę witryny lub wydając nowy, zgodny certyfikat. W rzeczywistości możesz dodać wyjątek w FF, nawet jeśli certyfikat nie pasuje, ale nigdy nie dostaniesz zielonego symbolu kłódki w Chrome z taką kombinacją.

Firefox może wyświetlać w tym miejscu wiele innych ładnych i zrozumiałych ostrzeżeń dotyczących certyfikatów, takich jak wygasłe certyfikaty, certyfikaty z nieaktualnymi algorytmami podpisywania itp. Nie znalazłem żadnej innej przeglądarki, która dałaby mi taki poziom informacji zwrotnych, aby rozwiązać wszelkie problemy.

Który wzorzec (pod) domeny powinienem wybrać do opracowania?

W powyższym poleceniu New-SelfSignedCertificate użyliśmy domeny wieloznacznej *.dev.local.

Możesz pomyśleć: dlaczego nie użyć *.local?

Prosty powód: jest nielegalna jako domena wieloznaczna.
Certyfikaty z symbolami wieloznacznymi muszą zawierać co najmniej nazwę domeny drugiego poziomu.

Tak więc domeny formularza *.localsą dobre do tworzenia witryn HTTP. Ale nie tak bardzo w przypadku HTTPS, ponieważ byłbyś zmuszony wydać nowy pasujący certyfikat dla każdego nowego projektu, który zaczynasz.

Ważne uwagi dodatkowe:

• Prawidłowe domeny hosta mogą zawierać TYLKO litery od a do z, cyfry, łączniki i kropki. Żadne podkreślenia nie są dozwolone! Niektóre przeglądarki są naprawdę wybredne, jeśli chodzi o ten szczegół i mogą sprawić Ci kłopot, gdy uparcie odmawiają dopasowania Twojej domeny motör_head.dev.localdo wzorca wieloznacznego *.dev.local. Będą zgodne, gdy przełączysz się na motoer-head.dev.local.
• Symbol wieloznaczny w certyfikacie będzie pasował tylko do JEDNEJ etykiety (= sekcji między dwiema kropkami) w domenie, nigdy więcej. *.dev.local mecze, myname.dev.local ale NIE other.myname.dev.local!
• Wielopoziomowe symbole wieloznaczne ( *.*.dev.local) NIE są możliwe w certyfikatach. Więc other.myname.dev.localmoże być pokryte tylko przez symbol wieloznaczny formularza *.myname.dev.local. W rezultacie najlepiej nie używać części domeny czwartego poziomu. Umieść wszystkie swoje odmiany w części trzeciego poziomu. W ten sposób otrzymasz jeden certyfikat dla wszystkich swoich witryn deweloperskich.

Problem z Edge

Tak naprawdę nie chodzi o certyfikaty z podpisem własnym, ale nadal jest to związane z całym procesem:
po wykonaniu powyższych kroków Edge może nie wyświetlać żadnych treści po otwarciu myname.dev.local.
Powodem jest charakterystyczna cecha zarządzania siecią Windows 10 dla nowoczesnych aplikacji, zwana „izolacją sieci”.

Aby rozwiązać ten problem, otwórz wiersz polecenia z uprawnieniami administratora i wprowadź raz następujące polecenie:

CheckNetIsolation LoopbackExempt -a -n=Microsoft.MicrosoftEdge_8wekyb3d8bbwe

Więcej informacji o krawędzi i izolacji sieci można znaleźć tutaj: https://blogs.msdn.microsoft.com/msgulfcommunity/2015/07/01/how-to-debug-localhost-on-microsoft-edge/

Napotkałem ten sam problem, gdy chciałem włączyć SSL do projektu hostowanego na IIS 8. Ostatecznie narzędziem, którego użyłem, było OpenSSL , po wielu dniach walki z poleceniami makecert. Certyfikat jest generowany w Debianie, ale mogłem go bezproblemowo zaimportować do IIS 7 i 8.

Pobierz OpenSSL kompatybilny z twoim systemem operacyjnym i tym plikiem konfiguracyjnym. Ustaw plik konfiguracyjny jako domyślną konfigurację OpenSSL.

Najpierw wygenerujemy klucz prywatny i certyfikat Urzędu Certyfikacji (CA). Ten certyfikat służy do podpisania wniosku o certyfikat (CSR).

Musisz wypełnić wszystkie pola, które są wymagane w tym procesie.

1. openssl req -new -x509 -days 3650 -extensions v3_ca -keyout root-cakey.pem -out root-cacert.pem -newkey rsa:4096

Możesz utworzyć plik konfiguracyjny z domyślnymi ustawieniami w następujący sposób: Teraz wygenerujemy żądanie certyfikatu, czyli plik wysyłany do urzędów certyfikacji.

Nazwa zwykła musi być ustawiona w domenie witryny, na przykład: public.organization.com .

2. openssl req -new -nodes -out server-csr.pem -keyout server-key.pem -newkey rsa:4096

Teraz żądanie certyfikatu jest podpisane wygenerowanym certyfikatem CA.

3. openssl x509 -req -days 365 -CA root-cacert.pem -CAkey root-cakey.pem -CAcreateserial -in server-csr.pem -out server-cert.pem

Wygenerowany certyfikat należy wyeksportować do pliku .pfx, który można zaimportować do usług IIS.

4. openssl pkcs12 -export -out server-cert.pfx -inkey server-key.pem -in server-cert.pem -certfile root-cacert.pem -name "Self Signed Server Certificate"

W tym kroku zaimportujemy certyfikat CA.

5. Na serwerze należy zaimportować certyfikat CA do zaufanych głównych urzędów certyfikacji, ponieważ usługi IIS mogą ufać importowanemu certyfikatowi. Pamiętaj, że certyfikat, który ma zostać zaimportowany do IIS, został podpisany certyfikatem CA.

   • Otwórz wiersz polecenia i wpisz mmc .
   • Kliknij Plik .
   • Wybierz Dodaj / Usuń przystawkę w ... .
   • Kliknij dwukrotnie Certyfikaty .
   • Wybierz Konto komputera i Dalej -> .
   • Wybierz Komputer lokalny i zakończ .
   • Ok .
   • Przejdź do Certyfikaty -> Zaufane główne urzędy certyfikacji -> Certyfikaty , po prostu kliknij Certyfikaty i wybierz Wszystkie zadania -> Importuj ...

• Wybierz Dalej -> Przeglądaj ...
• Musisz wybrać Wszystkie pliki, aby przeglądać lokalizację pliku root-cacert.pem .
• Kliknij Dalej i wybierz Umieść wszystkie certyfikaty w następującym magazynie : Zaufane główne urzędy certyfikacji .
• Kliknij Dalej i Zakończ .

Na tym etapie usługi IIS ufają autentyczności naszego certyfikatu.

6. W naszym ostatnim kroku zaimportujemy certyfikat do IIS i dodamy witrynę wiążącą.

   • Otwórz Menedżera internetowych usług informacyjnych (IIS) lub wpisz inetmgr w wierszu polecenia i przejdź do Certyfikaty serwera .
   • Kliknij Importuj ... .
   • Ustaw ścieżkę do pliku .pfx, hasło i wybierz magazyn certyfikatów na serwerze internetowym .

• Kliknij OK .

• Teraz przejdź do swojej witryny w Menedżerze usług IIS i wybierz opcję Powiązania ... i Dodaj nowe powiązanie.

• Wybierz https jako typ powiązania i powinieneś być w stanie zobaczyć zaimportowany certyfikat.

• Kliknij OK i wszystko gotowe.

Inną opcją jest utworzenie certyfikatu z podpisem własnym, który umożliwia określenie nazwy domeny dla każdej witryny internetowej. Oznacza to, że możesz go używać w wielu nazwach domen.

W Menedżerze usług IIS

1. Kliknij węzeł nazwy komputera
2. Certyfikaty Open Server
3. W panelu Operacje wybierz opcję „Utwórz certyfikat z podpisem własnym”
4. W polu „Określ przyjazną nazwę ...” nazwij ją * Dev (wybierz „Osobiste” z listy typów)
5. Zapisać

Teraz w Twojej witrynie w IIS ...

1. Zarządzaj wiązaniami
2. Utwórz nowe powiązanie dla Https
3. Wybierz z listy swój certyfikat z podpisem własnym
4. Po wybraniu pole nazwy domeny zostanie włączone i będziesz mógł wprowadzić nazwę swojej domeny.

Innym prostym sposobem na wygenerowanie certyfikatu z podpisem własnym jest użycie Jexus Manager,

1. Wybierz węzeł serwera w panelu Połączenia.
2. W środkowym panelu kliknij ikonę Certyfikaty serwera, aby otworzyć stronę zarządzania.
3. W panelu Operacje kliknij opcję „Generuj certyfikat z podpisem własnym…”.

https://www.jexusmanager.com/en/latest/tutorials/self-signed.html