Выпуск собственного SSL-сертификата

Сертификаты безопасности используются часто. Например для безопасной работы с корпоративной электронной почтой. При помощи данного сертификата обеспечивается шифрование передаваемых данных между клиентом и сервером. Для получения такого сертификата вам необходимо обратиться к доверенному поставщику сертификатов и попросить его выпустить для вас сертификат. Но подобные услуги не бесплатны. В выпуске сертификата безопасности нет ничего сложного. Вы и сами можете это сделать. Разница лишь в том, что сертификат, который вы выпустите, будет не доверенным. Это означает, что компьютер клиента будет выдавать предупреждение о том, что он не знает поставщика сертификатов, который выпустил сертификат, что собственно логично.
http://it.icmp.ru/postimages/2/6216/thumb/470698.png
Представьте себе, что какой ни будь пользователь с Урала обращается к вашему корпоративному порталу. А ему сообщают, что для шифрования будет использоваться сертификат, который выпустил Вася Пупкин. Ну кто такой этот Вася, и что он там выпустил? Можно ли ему доверять? Не понятно. Другое дело, если все пользователи будут знать этого Васю и полностью ему доверяют. В последнем случае вполне можно использовать сертификат, который он выпустил сам. А в предупреждающем сообщении вы можете просто нажать “Continue to this website (not recommended)”

Чтобы выпустить собственный сертификат безопасности вы можете пойти двумя методами. Развернуть в своей организации полноценный Центр Сертификации (Certification Authority) или воспользоваться утилитой selfssl.exe. Разница этих двух методов состоит в области их применения.

Развернув Центр Сертификации вы можете обеспечить автоматический выпуск сертификатов по запросу пользователей. Следить за выданными сертификатами, а так же отзывать их при необходимости. Если же вам требуется выпустить всего один сертификат, чтобы обеспечить безопасную работу с корпоративным порталом, или с электронной почтой через OWA, то проще будет воспользоваться утилитой selfssl.exe.

Утилита selfssl.exe входит в комплект пакета IIS6 Resource Kit Tools. Данный пакет является бесплатным и доступен для свободного скачивания с сайта Microsoft или с нашего ресурса. Загрузив пакет запустите его. После запуска вы увидите окно установки.
http://it.icmp.ru/postimages/2/6216/thumb/587036.png

Выберите метод установки Custom и нажмите Next для продолжения установки.
http://it.icmp.ru/postimages/2/6216/thumb/328777.png

Затем выберите путь для установки или оставьте тот, что уже указан, и нажмите Next
http://it.icmp.ru/postimages/2/6216/thumb/469519.png
Пакет включает в себя много утилит. Нас же интересует только одно. Снимите все флажки кроме одного, как показано на рисунке выше. Затем нажмите Next.

Запустить установленную утилиту можно из меню Пуск, как показано на рисунке.
http://it.icmp.ru/postimages/2/6216/thumb/38877.png

Запустив утилиту вы увидите окно командной строки, в котором, задав необходимые параметры, вы сможете выпустить свой собственный сертификат безопасности.
http://it.icmp.ru/postimages/2/6216/thumb/348596.png

Как видно параметров, которые можно задать, довольно много. Давайте попробуем разобраться с каждым из них:
  • /N:CN задает имя вашего сайта например owa.contoso.com.
  • /K: задает длину ключа. Значение по умолчанию 1024.
  • /V: количество дней до окончания действия сертификата.
  • /S: номер сайта в IIS. По умолчанию равен 1.
  • /P: номер порта. Стандартом является 443. Это же значение задано по умолчанию.
Например вы решили выпустить сертификат для сайта owa.contoso.com сроком на один год. Нет ничего проще! Наберите следующую команду:
selfssl /N:cn=owa.contoso.com /V:365
И нажмите Ввод.

На вопpос “Do you want to replace the SSL settings for site 1 (Y/N)?” нажмите “y”. Если у вас не установлен IIS то вы получите сообщение “Error opening metabase: 0x80040154” – просто игнорируйте его.

Сертификат выпущен. Теперь вы можете делать с ним все, что угодно. Например установить на ваш WEB-сайт. Давайте посмотрим, как это сделать. Для начала вам нужно выгрузить ваш сертификат. Для этого запустите Microsoft Management Console (MMC). Нажмите Пуск->Выполнить…-> наберите mmc и нажмите ввод.
http://it.icmp.ru/postimages/2/6216/thumb/515652.png

Затем нажмите File –> Add/Remove Snap in…
http://it.icmp.ru/postimages/2/6216/thumb/224632.png

В появившемся окне нажмите Add…
http://it.icmp.ru/postimages/2/6216/thumb/422133.png

Затем выберите Certificates и нажмите Add…
http://it.icmp.ru/postimages/2/6216/thumb/92944.png

Выберите Computer account и нажмите Next
http://it.icmp.ru/postimages/2/6216/thumb/803037.png

Теперь нажмите Finish
http://it.icmp.ru/postimages/2/6216/thumb/947080.png

Оснастка добавлена. Нажмите Close, чтобы закрыть диалоговое окно и OK, чтобы перейти к работе с оснасткой.
http://it.icmp.ru/postimages/2/6216/thumb/286308.png

Разверните Crtificates (Local Computer) затем Personal и выберите Certificates. Справа вы увидите ваш сертификат. Щелкните по нему правой кнопкой мыши. Выберите All Tasks, а затем Export.
http://it.icmp.ru/postimages/2/6216/thumb/795815.png

В появившемся диалоговом окне нажмите Next.
http://it.icmp.ru/postimages/2/6216/thumb/291153.png

Если вы хотите использовать сертификат на вашем WEB-сайте, то для этого понадобиться выгрузить приватный ключ. Выберите “Yes, export the private key” и нажмите Next.
http://it.icmp.ru/postimages/2/6216/thumb/547323.png

И еще раз Next.
http://it.icmp.ru/postimages/2/6216/thumb/327233.png

Так как вы выгружаете приватный ключ, то такой сертификат лучше запаролить. Введите пароль или оставьте поле пустым (последнее не рекомендуется). нажмите Next.
http://it.icmp.ru/postimages/2/6216/thumb/182954.bmp

Введите имя файла, то под которым файл будет храниться на диске. Например owa.contoso.com и нажмите Next.
http://it.icmp.ru/postimages/2/6216/thumb/347022.png

В следующем окне нажмите Finish.
http://it.icmp.ru/postimages/2/6216/thumb/457240.png

Сертификат выгружен и готов к использованию. Теперь его необходимо установить на вашем WEB-сайте. В следующей статье я покажу как это сделать.
  • 02 ноября 2009, 16:24
  • Ferret
  • просмотров: ~2273
  • рейтинг: ?

Комментарии (1)

Вы - anonymous, войти ?

можно использовать bbcode-теги
[b]жирный текст[/b]
[i]курсив[/i]
[u]underline[/u]
[s]зачеркнутый текст[/s]
[size=20px]размер шрифта[/size]
всякие изменения текста
[left][/left]
[right][/right]
[center][/center]
позиционирование элементов: картинки, текст и т.д
[url][/url]
[email][/email]
внутри тега [url] помещайте ссылки, а внутри [email] адрес электронной почты;
так же [url] можно использовать в виде:
[url=http://example.com]пример[/url],
[url=http://test.ru][img]http://flickr.com/givemeimg.png[/img][/url]
[code][/code]
[quote][/quote]
внутри тега [code] можно помещать программный код (подстветка попытается включиться автоматически); для выделения цитат используйте [quote]
также можно напрямую указать язык [code=cpp]int i;[/code]
[list][/list]
создаем списки, каждый элемент пишется после [*].

Можно указывать маркер - [list=marker].
возможные маркеры 1(decimal), i(lower-roman), I(upper-roman), a(lower-alpha), A(upper-alpha). Примеры:

[list][*]1 элемент[*]2 элемент[*]3 элемент[/list]
[list=1][*]1 элемент[*]2 элемент[*]3 элемент[/list]
[list=A][*]1 элемент[*]2 элемент[*]3 элемент[/list]
[table][/table]
оформляем таблицу, используя внутренние теги [tr] и [td].
[tr] - строка, [td] - поле в строке,
[table=100%] - можно задавать ширину в процентах, по-умолчанию ширина 100%
[td=2] - можно задавать сколько столбцов входит в это поле. Пример:

[table=50%][tr][td]столбец 1[/td][td]столбец 2[/td][/tr][tr][td]значение 1[/td][td]значение 2[/td][/tr][tr][td=2]сразу 2 столбца[/td][/tr][/table]
[img][/img]
тег для вставки фото или картинок, мы любим картинки. Примеры использования:

[img]http://ya.ru/logo.png[/img],
[img=100x100px]http://ya.ru/logo.png[/img]
[img=fullimg.url]thumbimg.url[/img],
Пожалуйста загружайте картинки на наш сайт, либо вставляйте с бекбоновских ресурсов.
[video][/video]
Проигрывает видео, внутрь вставляем ссылки на видео, поддерживается Play.Ykt.Ru(нужно вставить ссылку на страницу с видео) и tv.ykt.ru(нужно вставить ссылку на адрес файла)