Коли слід використовувати на IIS самоподпісанний сертифікат
Сертифікат SSL необхідний не тільки для поширення відкритих ключів: якщо він буде підписаний довіреною третьої сторони, він перевіряє справжність сервера, так що клієнти знають, що вони не віддають інформацію (зашифровану чи ні), не тій людині. Так що ж таке самоподпісанний сертифікат? Це сертифікат, який підписаний самостійно, а не довіреною третьою стороною. Хіба це не погано? У більшості випадків, так. Ви майже ніколи не захочете використовувати самоподпісанний сертифікат на публічному IIS-сервері, який вимагає з'єднання анонімних відвідувачів з вашим сайтом, тому що вони можуть легко стати жертвою атаки «людина в середині». Однак, самоподпісанного сертифікати мають своє місце:
- Самоподпісанного сертифікати можуть бути використані на сервері розробки IIS. Нема необхідності витрачати додаткові гроші на покупку довіреної сертифікату, коли ви тільки розробляєте і тестируете додатки.
- Самоподпісанного сертифікати можуть бути використані в інтрамережі. Коли клієнти повинні тільки пройти через локальну интрасеть, щоб дістатися до сервера, практично немає шансів на атаку «людина в середині».
- Самоподпісанного сертифікати можуть бути використані на особистих сайтах з малою кількістю відвідувачів. Якщо у вас є невеликий персональний сайт, через який проходить нечутлива інформація, існує дуже мало стимулів для кого-то атакувати з'єднання.
Створіть ваш самоподпісанний сертифікат
1. Натисніть на меню «Пуск», перейдіть до Administrative Tools і натисніть на Internet Information Services (IIS) Manager.
2. Натисніть на ім'я сервера в колонці підключень зліва. Двічі клацніть на сертифікатах сервера.
3. У стовпці Дії праворуч, натисніть на посилання Створити самоподпісанний сертифікат ...
4. Введіть відповідне ім'я і натисніть ОК.
5. Тепер у вас є самоподпісанний сертифікат терміном на 1 рік. Далі слід пов'язати його до вашого IIS сервера.
Прив'язка самоподпісанного сертифіката
1. У колонці підключень зліва, розширте каталог сайтів та натисніть на сайт, з яким ви хочете зв'язати сертифікат. Натисніть на зв'язування в правій колонці.
2. Натисніть на кнопку Додати.
3. Змініть тип на https та обравши сертифікат, який ви тільки що встановили, після - натисніть ОК.
4. Тепер ви побачите зв'язку з портом 443 в списку. Натисніть Закрити.
Сформуйте самоподпісанний сертифікат з коректним ім'ям
Цей крок необхідний тільки якщо ви хочете позбутися від попереджувального повідомлення, що назва самоподпісанного сертифіката не збігається з ім'ям хоста сайту. Для того, щоб вирішити цю проблему, ми повинні створити самоподпісанний сертифікат, використовуючи той же метод, який використовується для створення самоподпісанного сертифіката в IIS 6.0 (з SelfSSL, а не через IIS).
1. Скачайте Internet Information Services (IIS) 6.0 Resource Kit Tools і встановіть SelfSSL 1,0 (якщо ви робите вибіркову установку, ви можете зняти всі, за винятком SelfSSL). Після установки, зайдіть в меню Пуск, перейдіть до IIS ресурсів, далі до SelfSSL, і запустити SelfSSL.
2. Вставте в наступну команду заміну site1.mydomain.com на ім'я хоста вашого сайту IIS. Якщо ви отримуєте erorr «Помилка при відкритті метабази: 0 × 80040154", просто ігноруйте її. Ми будемо вручну прив'язувати сертифікат до сайту.
SelfSSL / N: CN = site1.mydomain.com / V 1000
3. Після завершення роботи команди, ви будете мати самоподпісанний сертифікат IIS з правильним ім'ям, зазначеним в розділі Сертифікати сервера IIS. Тепер дотримуйтесь інструкцій вище, щоб зв'язати сертифікат з вашим IIS сайтом.
