IIS 7.5 Tworzenie certyfikatów z podpisem własnym z datą weryfikacji dłuższą niż rok
15
Tworzę samopodpisane certyfikaty SSL w IIS 7.5 do użytku wewnętrznego. Problemem jest to, że chcę je stworzyć, aby działały przez 10 lat, ponieważ jest to tylko środowisko programistyczne.
W IIS 7.5 nie widzę opcji, w której można określić czas ważności certyfikatu. Domyślnie tworzy certyfikaty, które wygasają za 1 rok.
Czy istnieje sposób, aby to zmienić, dzięki czemu są ważne przez 10 lat?
Instalator rozpakowuje narzędzia do folderu i nie koliduje z żadnymi ustawieniami komputera. Opcja instalacji niestandardowej pozwala również wybrać narzędzia, które chcesz zainstalować, i wybrać folder do wyboru.
Otwórz wiersz poleceń Administratora i zmień katalog do miejsca, w którym SelfSSLzostało zainstalowane narzędzie wiersza poleceń.
Aby wygenerować nowy samopodpisany certyfikat SSL, który wygasa za 10 lat, wykonaj następujące czynności:
/n:cn=www.mydomain.com- SSL jest dla www.mydomain.com. cn=(Nazwa zwyczajowa) jest ważne, więc nie przegapcie go.
/v:3650 - liczbę dni ważności certyfikatu, w tym przypadku dziesięciu lat
/s:8 - zainstaluj certyfikat w identyfikatorze strony 8
/k:2048 - użyj długości klucza 2048 bitów.
Niestety nie ma sposobu, aby wydrukować SSL bezpośrednio do pliku, musisz zainstalować go na stronie. Dobra wiadomość jest jednak taka, że certyfikat można eksportować.
Jeśli chcesz, aby ostrzeżenie o braku zaufania do protokołu SSL podczas przeglądania stron korzystających z samopodpisanego protokołu SSL zniknęło, możesz to również naprawić:
Wyeksportuj samopodpisany protokół SSL do .pfxpliku (musisz ustawić hasło, pamiętaj o tym)
Uruchom (z wiersza poleceń lub Start -> Uruchom) mmc certmgr.msc
Przejdź do Trusted Root Certificate Authorities -> Certificatesi kliknij prawym przyciskiem myszy, aby przejść do Import...opcji:
Postępuj zgodnie z instrukcjami kreatora i określ .pfximport, a następnie kliknij przycisk Dalej (potrzebne będzie hasło ustawione w kroku 1):
W następnym kroku kreatora musimy wybrać, którego sklepu użyć. Kliknij Browse...przycisk, który otworzy Select Certificate Storeokno. Musimy zobaczyć fizyczne sklepy, więc upewnij się, że jest zaznaczone Show physical stores:
Rozwiń Trusted Root Certificate Authoritiesi wybierz Local Computerzgodnie z zrzutem ekranu powyżej, a następnie kliknij, OKa następnieNext >
Kliknij Finishprzycisk w ostatnim kroku kreatora, a jeśli wszystko jest w porządku, powinieneś zobaczyć:
Ostrzeżenia i Gotchas:
SelfSSL może wymagać zainstalowania komponentów zgodności zarządzania IIS6. Nie mogę powiedzieć, ponieważ moje własne maszyny mają już zainstalowane i nie mam maszyny wirtualnej przydatnej do przetestowania tej teorii poprzez ich usunięcie.
Wydaj SSL, cn=www.mydomain.coma cn=mydomain.comjeśli nie , możesz dodać SSL do sklepu Zaufane główne urzędy certyfikacji.
Cześć, dziękuję bardzo za twoją pomoc. Zdecydowanie pomógł w tym, co muszę zrobić. Pozdrawiam Jeff
Nie mogę znaleźć działającego łącza do pobrania dla zestawu zasobów IIS6. Czy ktoś wie, gdzie można go znaleźć?
John Bubriski,
@JohnBubriski - grr, MS są naprawdę denerwujące. Jeśli możesz poczekać do piątku, mogę gdzieś przykleić kopię.
Kev
Właściwie jestem teraz dobry, wymyśliłem sposób.
Wyślę
0
O ile rozumiem, problem z IIS 7.x polega na tym, że nie można ustawić nagłówka hosta dla powiązania SSL.
Korzystając z narzędzia wiersza polecenia appcmd, powinieneś być w stanie to zrobić. Witryny mogą używać tego samego certyfikatu, ale będą miały różne nagłówki hosta.
Jeśli uruchomisz następujące 2 polecenia ze swoimi danymi, powinno ono skonfigurować nagłówki hosta.
c:\Windows\System32\inetsrv>appcmd set site /site.name:"local.yourdomain.com" /+bindings.[protocol='https',bindingInformation='*:443:local.yourdomain.com']
c:\Windows\System32\inetsrv>appcmd set site /site.name:"local.dev.yourdomain.com" /+bindings.[protocol='https',bindingInformation='*:443:local.dev.yourdomain.com']
Niestety jest coś innego, co musisz zrobić, aby to zadziałało, ale nie jestem pewien, co dokładnie. Wiem, że zrobiłem kilka resetów IIS i ponownie wybrałem certyfikaty SSL, ale nie jestem pewien kolejności, w jakiej to zrobić. Ale wiem, że nie zrobiłem nic „wymyślnego”, jak użycie innego narzędzia.
John, powinno tak być, dopóki certyfikat jest ładowany na serwer. Może być konieczne wybranie certyfikatu SSL, który będzie używany również dla każdej witryny.
Brent Pabst,
Tak, wydaje mi się, że miałem już samopodpisany certyfikat skonfigurowany dla 2 witryn.
John Bubriski
0
OpenSSL można również wykorzystać do utworzenia certyfikatu z podpisem własnym, jak opisano w odpowiedzi na Przepełnienie stosu:
O ile rozumiem, problem z IIS 7.x polega na tym, że nie można ustawić nagłówka hosta dla powiązania SSL.
Korzystając z narzędzia wiersza polecenia appcmd, powinieneś być w stanie to zrobić. Witryny mogą używać tego samego certyfikatu, ale będą miały różne nagłówki hosta.
Jeśli uruchomisz następujące 2 polecenia ze swoimi danymi, powinno ono skonfigurować nagłówki hosta.
Niestety jest coś innego, co musisz zrobić, aby to zadziałało, ale nie jestem pewien, co dokładnie. Wiem, że zrobiłem kilka resetów IIS i ponownie wybrałem certyfikaty SSL, ale nie jestem pewien kolejności, w jakiej to zrobić. Ale wiem, że nie zrobiłem nic „wymyślnego”, jak użycie innego narzędzia.
źródło
OpenSSL można również wykorzystać do utworzenia certyfikatu z podpisem własnym, jak opisano w odpowiedzi na Przepełnienie stosu:
/programming//a/30517344/537961
źródło