If-Koubou

TI: Cara Membuat Sertifikat Self Signed Security (SSL) dan Menerapkannya ke Mesin Klien

TI: Cara Membuat Sertifikat Self Signed Security (SSL) dan Menerapkannya ke Mesin Klien (Bagaimana caranya)

Pengembang dan administrator TI memiliki, tidak diragukan lagi, perlunya menyebarkan beberapa situs web melalui HTTPS menggunakan sertifikat SSL. Meskipun proses ini cukup mudah untuk situs produksi, untuk keperluan pengembangan dan pengujian Anda mungkin menemukan kebutuhan untuk menggunakan sertifikat SSL di sini juga.

Sebagai alternatif untuk membeli dan memperbarui sertifikat tahunan, Anda dapat memanfaatkan kemampuan Server Windows Anda untuk menghasilkan sertifikat yang ditandatangani sendiri yang nyaman, mudah, dan harus memenuhi jenis kebutuhan ini dengan sempurna.

Membuat Sertifikat yang Ditandatangani Sendiri di IIS

Meskipun ada beberapa cara untuk menyelesaikan tugas membuat sertifikat yang ditandatangani sendiri, kami akan menggunakan utilitas SelfSSL dari Microsoft. Sayangnya, ini tidak dikirim dengan IIS tetapi tersedia secara gratis sebagai bagian dari IIS 6.0 Resource Toolkit (tautan yang disediakan di bagian bawah artikel ini). Meskipun nama "IIS 6.0" utilitas ini bekerja dengan baik di IIS 7.

Semua yang diperlukan adalah mengekstrak IIS6RT untuk mendapatkan utilitas selfssl.exe. Dari sini Anda dapat menyalinnya ke direktori Windows atau jalur jaringan / drive USB untuk digunakan nanti di komputer lain (jadi Anda tidak perlu mengunduh dan mengekstrak IIS6RT lengkap).

Setelah Anda memiliki utilitas SelfSSL di tempat, jalankan perintah berikut (sebagai Administrator) menggantikan nilai dalam yang sesuai:

selfssl / N: CN = / V:

Contoh di bawah ini menghasilkan sertifikat wildcard yang ditandatangani sendiri terhadap "mydomain.com" dan menyetelnya menjadi valid selama 9.999 hari. Selain itu, dengan menjawab ya ke prompt, sertifikat ini secara otomatis dikonfigurasi untuk mengikat ke port 443 di dalam Situs Web Standar IIS.

Saat ini sertifikat siap digunakan, sertifikat hanya disimpan di toko sertifikat pribadi di server. Ini adalah praktik terbaik untuk juga memiliki sertifikat ini ditetapkan di akar tepercaya juga.

Pergi ke Start> Run (atau Windows Key + R) dan masukkan "mmc". Anda mungkin menerima prompt UAC, menerimanya, dan Konsol Manajemen kosong akan terbuka.

Di konsol, buka File> Tambah / Hapus Snap-in.

Tambahkan Sertifikat dari sisi kiri.

Pilih Akun komputer.

Pilih Komputer lokal.

Klik OK untuk melihat toko Sertifikat Lokal.

Arahkan ke Pribadi> Sertifikat dan temukan sertifikat yang Anda atur menggunakan utilitas SelfSSL. Klik kanan sertifikat dan pilih Salin.

Arahkan ke Otoritas Sertifikasi Root Tepercaya> Sertifikat. Klik kanan pada folder Sertifikat dan pilih Tempel.

Entri untuk sertifikat SSL akan muncul dalam daftar.

Pada titik ini, server Anda seharusnya tidak memiliki masalah bekerja dengan sertifikat yang ditandatangani sendiri.

Mengekspor Sertifikat

Jika Anda akan mengakses situs yang menggunakan sertifikat SSL yang ditandatangani sendiri pada setiap mesin klien (yaitu komputer apa pun yang bukan server), untuk menghindari potensi gempuran kesalahan sertifikat dan peringatan, sertifikat yang ditandatangani sendiri harus dipasang pada masing-masing mesin klien (yang akan kita diskusikan secara rinci di bawah). Untuk melakukan ini, kita harus terlebih dahulu mengekspor sertifikat masing-masing sehingga dapat diinstal pada klien.

Di dalam konsol dengan Manajemen Sertifikat dimuat, arahkan ke Otoritas Sertifikasi Akar Tepercaya> Sertifikat. Cari sertifikat, klik kanan, dan pilih Semua Tugas> Ekspor.

Saat diminta untuk mengekspor kunci privat, pilih Ya. Klik Berikutnya.

Biarkan pilihan default untuk format file dan klik Next.

Masukan kata sandi. Ini akan digunakan untuk melindungi sertifikat dan pengguna tidak akan dapat mengimpornya secara lokal tanpa memasukkan kata sandi ini.

Masukkan lokasi untuk mengekspor file sertifikat. Ini akan berada dalam format PFX.

Konfirmasikan pengaturan Anda dan klik Selesai.

File PFX yang dihasilkan adalah apa yang akan diinstal ke mesin klien Anda untuk memberi tahu mereka bahwa sertifikat yang ditandatangani sendiri berasal dari sumber tepercaya.

Menyebarkan ke Mesin Klien

Setelah Anda membuat sertifikat di sisi server dan memiliki semuanya berfungsi, Anda mungkin memperhatikan bahwa ketika mesin klien terhubung ke URL masing-masing, peringatan sertifikat akan ditampilkan. Ini terjadi karena otoritas sertifikat (server Anda) bukan sumber tepercaya untuk sertifikat SSL pada klien.

Anda dapat mengeklik peringatan dan mengakses situs, namun Anda mungkin mendapatkan pemberitahuan berulang dalam bentuk bilah URL yang disorot atau mengulangi peringatan sertifikat. Untuk menghindari gangguan ini, Anda hanya perlu menginstal sertifikat keamanan SSL khusus pada mesin klien.

Tergantung pada browser yang Anda gunakan, proses ini dapat bervariasi. IE dan Chrome keduanya membaca dari toko Sertifikat Windows, namun Firefox memiliki metode khusus dalam menangani sertifikat keamanan.

Catatan penting: Kamu harus tak pernah memasang sertifikat keamanan dari sumber yang tidak dikenal. Dalam praktiknya, Anda sebaiknya hanya memasang sertifikat secara lokal jika Anda membuatnya. Tidak ada situs web yang sah yang mengharuskan Anda melakukan langkah-langkah ini.

Internet Explorer & Google Chrome - Memasang Sertifikat Secara Lokal

Catatan: Meskipun Firefox tidak menggunakan penyimpanan sertifikat Windows asli, ini masih merupakan langkah yang disarankan.

Salin sertifikat yang diekspor dari server (file PFX) ke mesin klien atau pastikan itu tersedia di jalur jaringan.

Buka manajemen toko sertifikat lokal pada mesin klien menggunakan langkah yang sama persis seperti di atas. Anda akhirnya akan berakhir di layar seperti yang di bawah ini.

Di sebelah kiri, perluas Sertifikat> Otoritas Sertifikasi Root Terpercaya. Klik kanan pada folder Sertifikat dan pilih Semua Tugas> Impor.

Pilih sertifikat yang disalin secara lokal ke mesin Anda.

Masukkan kata sandi keamanan yang diberikan saat sertifikat diekspor dari server.

Toko "Otoritas Sertifikasi Root Terpercaya" harus diisi sebagai tujuan. Klik Berikutnya.

Tinjau pengaturan dan klik Selesai.

Anda harus melihat pesan sukses.

Segarkan pandangan Anda tentang Otoritas Sertifikasi Akar Terpercaya> Folder sertifikat dan Anda harus melihat sertifikat yang ditandatangani sendiri oleh server yang tercantum di toko.

Satu ini dilakukan, Anda harus dapat menelusuri ke situs HTTPS yang menggunakan sertifikat ini dan tidak menerima peringatan atau petunjuk.

Firefox - Memungkinkan Pengecualian

Firefox menangani proses ini sedikit berbeda karena tidak membaca informasi sertifikat dari toko Windows. Daripada menginstal sertifikat (per-se), ini memungkinkan Anda untuk menentukan pengecualian untuk sertifikat SSL pada situs tertentu.

Saat Anda mengunjungi situs yang memiliki kesalahan sertifikat, Anda akan mendapatkan peringatan seperti di bawah ini. Area berwarna biru akan menamai URL yang Anda coba akses. Untuk membuat pengecualian untuk memintas peringatan ini di URL masing-masing, klik tombol Tambahkan Pengecualian.

Di dialog Tambah Pengecualian Keamanan, klik Konfirmasi Pengecualian Keamanan untuk mengkonfigurasi pengecualian ini secara lokal.

Perhatikan bahwa jika situs tertentu mengalihkan ke subdomain dari dalam dirinya sendiri, Anda mungkin mendapatkan beberapa petunjuk peringatan keamanan (dengan URL yang sedikit berbeda setiap kali). Tambahkan pengecualian untuk URL tersebut menggunakan langkah yang sama seperti di atas.

Kesimpulan

Perlu mengulangi pemberitahuan di atas bahwa Anda harus tak pernah memasang sertifikat keamanan dari sumber yang tidak dikenal. Dalam praktiknya, Anda sebaiknya hanya memasang sertifikat secara lokal jika Anda membuatnya. Tidak ada situs web yang sah yang mengharuskan Anda melakukan langkah-langkah ini.

Tautan

Unduh IIS 6.0 Resource Toolkit (termasuk utilitas SelfSSL) dari Microsoft