Tworzę samopodpisane certyfikaty SSL w IIS 7.5 do użytku wewnętrznego. Problemem jest to, że chcę je stworzyć, aby działały przez 10 lat, ponieważ jest to tylko środowisko programistyczne.
W IIS 7.5 nie widzę opcji, w której można określić czas ważności certyfikatu. Domyślnie tworzy certyfikaty, które wygasają za 1 rok.
Czy istnieje sposób, aby to zmienić, dzięki czemu są ważne przez 10 lat?
Odpowiedzi:
Możesz to zrobić za pomocą SelfSSL.exenarzędzia dostarczonego z zestawem IIS6 Resource Kit. Zestaw zasobów można uzyskać stąd:
http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=17275
Instalator rozpakowuje narzędzia do folderu i nie koliduje z żadnymi ustawieniami komputera. Opcja instalacji niestandardowej pozwala również wybrać narzędzia, które chcesz zainstalować, i wybrać folder do wyboru.
Otwórz wiersz poleceń Administratora i zmień katalog do miejsca, w którym SelfSSLzostało zainstalowane narzędzie wiersza poleceń.
Aby wygenerować nowy samopodpisany certyfikat SSL, który wygasa za 10 lat, wykonaj następujące czynności:
selfssl /n:cn=www.mydomain.com / v: 3650 / s: 8 / k: 2048
To wygeneruje ssl, gdzie:
/n:cn=www.mydomain.com- SSL jest dla www.mydomain.com. cn=(Nazwa zwyczajowa) jest ważne, więc nie przegapcie go.
/v:3650 - liczbę dni ważności certyfikatu, w tym przypadku dziesięciu lat
/s:8 - zainstaluj certyfikat w identyfikatorze strony 8
/k:2048 - użyj długości klucza 2048 bitów.
Niestety nie ma sposobu, aby wydrukować SSL bezpośrednio do pliku, musisz zainstalować go na stronie. Dobra wiadomość jest jednak taka, że certyfikat można eksportować.
Jeśli chcesz, aby ostrzeżenie o braku zaufania do protokołu SSL podczas przeglądania stron korzystających z samopodpisanego protokołu SSL zniknęło, możesz to również naprawić:
.pfxpliku (musisz ustawić hasło, pamiętaj o tym)mmc certmgr.mscPrzejdź do Trusted Root Certificate Authorities -> Certificatesi kliknij prawym przyciskiem myszy, aby przejść do Import...opcji:
Postępuj zgodnie z instrukcjami kreatora i określ .pfximport, a następnie kliknij przycisk Dalej (potrzebne będzie hasło ustawione w kroku 1):
W następnym kroku kreatora musimy wybrać, którego sklepu użyć. Kliknij Browse...przycisk, który otworzy Select Certificate Storeokno. Musimy zobaczyć fizyczne sklepy, więc upewnij się, że jest zaznaczone Show physical stores:
Rozwiń Trusted Root Certificate Authoritiesi wybierz Local Computerzgodnie z zrzutem ekranu powyżej, a następnie kliknij, OKa następnieNext >
Kliknij Finishprzycisk w ostatnim kroku kreatora, a jeśli wszystko jest w porządku, powinieneś zobaczyć:
Ostrzeżenia i Gotchas:
SelfSSL może wymagać zainstalowania komponentów zgodności zarządzania IIS6. Nie mogę powiedzieć, ponieważ moje własne maszyny mają już zainstalowane i nie mam maszyny wirtualnej przydatnej do przetestowania tej teorii poprzez ich usunięcie.
Wydaj SSL, cn=www.mydomain.coma cn=mydomain.comjeśli nie , możesz dodać SSL do sklepu Zaufane główne urzędy certyfikacji.
O ile rozumiem, problem z IIS 7.x polega na tym, że nie można ustawić nagłówka hosta dla powiązania SSL.
Korzystając z narzędzia wiersza polecenia appcmd, powinieneś być w stanie to zrobić. Witryny mogą używać tego samego certyfikatu, ale będą miały różne nagłówki hosta.
Jeśli uruchomisz następujące 2 polecenia ze swoimi danymi, powinno ono skonfigurować nagłówki hosta.
c:\Windows\System32\inetsrv>appcmd set site /site.name:"local.yourdomain.com" /+bindings.[protocol='https',bindingInformation='*:443:local.yourdomain.com']
c:\Windows\System32\inetsrv>appcmd set site /site.name:"local.dev.yourdomain.com" /+bindings.[protocol='https',bindingInformation='*:443:local.dev.yourdomain.com']
Niestety jest coś innego, co musisz zrobić, aby to zadziałało, ale nie jestem pewien, co dokładnie. Wiem, że zrobiłem kilka resetów IIS i ponownie wybrałem certyfikaty SSL, ale nie jestem pewien kolejności, w jakiej to zrobić. Ale wiem, że nie zrobiłem nic „wymyślnego”, jak użycie innego narzędzia.
OpenSSL można również wykorzystać do utworzenia certyfikatu z podpisem własnym, jak opisano w odpowiedzi na Przepełnienie stosu: