毫無疑問,開發人員和IT管理員需要使用SSL證書透過HTTPS部署一些網站。雖然這個過程對於生產站點來說非常簡單,但是出於開發和測試的目的,您可能會發現這裡也需要使用SSL證書。
作為購買和續訂年度證書的替代方法,您可以利用Windows伺服器生成自簽名證書的能力,該證書方便、簡單,並且應該完全滿足這些型別的需要。
雖然有幾種方法可以完成建立自簽名證書的任務,但我們將使用來自Microsoft的SelfSSL實用程式。不幸的是,它沒有隨IIS一起提供,但是它可以作為iis6.0資源工具包的一部分免費提供(本文底部提供了連結)。儘管名稱為“iis6.0”,但該實用程式在iis7中執行良好。
所需的只是提取IIS6RT以獲取selfssl.exe實用程式。從這裡您可以將它複製到您的Windows目錄或網路路徑/USB驅動器,以便將來在另一臺機器上使用(因此您不必下載並提取完整的IIS6RT)。
安裝好SelfSSL實用程式後,以管理員身份執行以下命令,並根據需要替換<>中的值:
selfssl /N:CN=<your.domain.com> /V:<number of valid days>
下面的示例針對“”生成自簽名萬用字元證書mydomain.com“並將其設定為有效期為9999天。此外,透過對提示回答yes,此證書將自動配置為繫結到IIS預設網站內的埠443。
雖然此時證書可以使用,但它只儲存在伺服器上的個人證書儲存中。最好的做法是在受信任的根目錄中也設定此證書。
進入開始>執行(或Windows鍵+R)並輸入“mmc”。您可能會收到一個UAC提示,接受它並開啟一個空的管理控制檯。
在控制檯中,轉到“檔案”>“新增/刪除管理單元”。
從左側新增證書。
選擇計算機帳戶。
選擇本地計算機。
單擊“確定”檢視本地證書儲存。
導航到“個人”>“證書”,並找到使用SelfSSL實用程式設定的證書。右鍵單擊證書並選擇“複製”。
導航到受信任的根證書頒發機構>證書。右鍵單擊證書資料夾並選擇貼上。
SSL證書的條目應出現在列表中。
此時,伺服器在使用自簽名證書時應該沒有問題。
如果您要訪問的站點在任何客戶機(即不是伺服器的任何計算機)上使用自簽名SSL證書,為了避免證書錯誤和警告的潛在衝擊,應在每個客戶機上安裝自簽名證書(我們將在下面詳細討論)。為此,我們首先需要匯出相應的證書,以便將其安裝到客戶機上。
在已載入證書管理的控制檯內,導航到Trusted Root Certification Authorities>Certificates。找到證書,右鍵單擊並選擇“所有任務”>“匯出”。
當提示匯出私鑰時,選擇“是”。單擊“下一步”。
保留檔案格式的預設選擇,然後單擊“下一步”。
輸入密碼。這將用於保護證書,如果不輸入此密碼,使用者將無法在本地匯入證書。
輸入匯出證書檔案的位置。它將是PFX格式。
確認設定並單擊“完成”。
生成的PFX檔案將安裝到您的客戶機上,告訴他們您的自簽名證書來自可信的來源。
一旦在伺服器端建立了證書並使所有內容正常工作,您可能會注意到,當客戶機連線到相應的URL時,會顯示一個證書警告。這是因為證書頒發機構(您的伺服器)不是客戶端上SSL證書的可信源。
您可以單擊警告並訪問該站點,但是您可能會收到以突出顯示的URL欄或重複證書警告形式出現的重複通知。為了避免這種麻煩,您只需在客戶機上安裝自定義SSL安全證書。
根據您使用的瀏覽器,此過程可能會有所不同。IE和Chrome都從Windows證書儲存讀取,但是Firefox有一個處理安全證書的自定義方法。
重要提示:永遠不要安裝來自未知源的安全證書。實際上,只有在生成證書時才應該在本地安裝證書。沒有合法的網站會要求你執行這些步驟。
注意:即使Firefox不使用本機Windows證書儲存,這仍然是一個建議的步驟。
將從伺服器(PFX檔案)匯出的證書複製到客戶端計算機或確保它在網路路徑中可用。
使用與上面完全相同的步驟開啟客戶端計算機上的本地證書儲存管理。你最終會出現在下面的螢幕上。
在左側,展開Certificates>Trusted Root Certification Authorities。右鍵單擊證書資料夾並選擇所有任務>匯入。
選擇本地複製到計算機的證書。
輸入從伺服器匯出證書時分配的安全密碼。
儲存“受信任的根證書頒發機構”應作為目標預先填充。單擊“下一步”。
檢視設定並單擊“完成”。
你應該看到一條成功的資訊。
重新整理“受信任的根證書頒發機構”>“證書”資料夾的檢視,您將看到儲存中列出了伺服器的自簽名證書。
完成後,您應該能夠瀏覽到使用這些證書的HTTPS站點,並且不會收到任何警告或提示。
Firefox處理這個過程有點不同,因為它不從Windows應用商店讀取證書資訊。它允許您為特定站點上的SSL證書定義異常,而不是安裝證書(本身)。
當您訪問一個有證書錯誤的站點時,您將得到如下警告。藍**域將命名您嘗試訪問的相應URL。要建立異常以繞過相應URL上的此警告,請單擊“新增異常”按鈕。
在“新增安全異常”對話方塊中,單擊“確認安全異常”以在本地配置此異常。
請注意,如果某個特定站點從其自身重定向到子域,您可能會收到多個安全警告提示(每次的URL略有不同)。使用與上面相同的步驟為這些url新增異常。
值得重複上面的注意事項,即永遠不要安裝來自未知源的安全證書。實際上,只有在生成證書時才應該在本地安裝證書。沒有合法的網站會要求你執行這些步驟。
從Microsoft下載IIS 6.0資源工具包(包括SelfSSL實用工具)
...用非對稱加密和對稱加密。首先,使用非對稱金鑰加密,建立一個對稱會話金鑰,然後將其用於加密流量。非對稱金鑰加密還用於對伺服器進行身份驗證的數字證書。然後,使用各種雜湊技術的訊息認證程式碼來提供完整性(識...
...元限制相反)。看看我們最近對乳齒象的觀察,看看它是如何工作的。 ...
... 你能做什麼?有一些提示要記住如何發現“邪惡雙胞胎”公共Wi-Fi。如果您看到兩個名稱相似的網路連線,請保持懷疑。如果他們要去相關的商店或餐館,和那裡的工作人員談談。同樣,如果你在工作,...
...HTTP/2中新特性的基礎和實驗分支。當時,我們研究了SPDY如何改進瀏覽。此後,起草、批准併發布了第2版標準。 ...
... 大多數描述如何安裝SSL證書的指南都會告訴您必須有一個專用的IP。這意味著購買更昂貴的專用託管計劃。 ...
...問的人會認為你更值得信任。現在,大多數使用者都知道如何檢查安全連線,因此安裝SSL證書表明您認真對待他們的隱私。 ...
...在位址列中,您將看到“HTTPS”——“S”表示我們有一個安全套接字層(SSL)證書,這意味著您的連線是安全的。你應該看到一個在任何網站,要求個人資料,特別是支付資訊。事實上,這些天,你應該到處都能看到。 ...