Tôi đang tạo chứng chỉ SSL tự ký trong IIS 7.5 để sử dụng nội bộ. Vấn đề tôi có là tôi muốn tạo ra chúng để chúng tồn tại trong 10 năm vì nó chỉ là một môi trường dev.
Tôi không thể thấy tùy chọn trong IIS 7.5 nơi bạn có thể chỉ định thời gian chứng chỉ hợp lệ. Theo mặc định, nó tạo ra các chứng chỉ hết hạn sau 1 năm.
Có cách nào tôi có thể thay đổi điều này để nó tạo ra chúng để chúng có giá trị trong 10 năm không?
Câu trả lời:
Bạn có thể làm điều này bằng cách sử dụng SelfSSL.execông cụ đi kèm với Bộ tài nguyên IIS6. Bạn có thể lấy bộ tài nguyên từ đây:
http://www.microsoft.com/doad/en/details.aspx?displaylang=en&id=17275
Trình cài đặt chỉ giải nén các công cụ vào một thư mục và không can thiệp vào bất kỳ cài đặt máy nào của bạn. Tùy chọn cài đặt tùy chỉnh cũng cho phép bạn chọn công cụ nào bạn muốn cài đặt và vào một thư mục bạn chọn.
Mở một dòng lệnh Administrator và thay đổi thư mục đến nơi bạn SelfSSLđã cài đặt công cụ dòng lệnh.
Để tạo chứng chỉ SSL tự ký mới hết hạn sau 10 năm, hãy thực hiện như sau:
selfssl /n:cn=www.mydomain.com / v: 3650 / s: 8 / k: 2048
Điều này sẽ tạo ra một ssl trong đó:
/n:cn=www.mydomain.com- SSL là dành cho www.mydomain.com. Các cn=(common name) là rất quan trọng vì vậy đừng bỏ lỡ nó ra.
/v:3650 - số ngày chứng chỉ có giá trị trong trường hợp này là mười năm
/s:8 - cài đặt chứng chỉ trong id trang web 8
/k:2048 - sử dụng độ dài 2048 bit.
Thật không may, không có cách nào để xuất SSL trực tiếp vào một tệp, bạn phải cài đặt nó vào một trang web. Tuy nhiên, tin tốt là chứng chỉ có thể xuất khẩu được.
Nếu bạn muốn cảnh báo về việc SSL không được tin cậy khi duyệt đến các trang web sử dụng SSL tự ký của bạn sẽ biến mất thì bạn cũng có thể khắc phục điều đó:
.pfxtệp (bạn cần đặt mật khẩu, đảm bảo bạn nhớ nó)mmc certmgr.mscDuyệt đến Trusted Root Certificate Authorities -> Certificatesvà nhấp chuột phải để đến Import...tùy chọn:
Làm theo trình hướng dẫn và chỉ định .pfxnhập sau đó nhấp vào tiếp theo (bạn sẽ cần mật khẩu bạn đã đặt ở bước 1):
Ở bước hướng dẫn tiếp theo, chúng ta cần chọn cửa hàng nào sẽ sử dụng. Nhấn vào Browse...nút sẽ mở Select Certificate Storecửa sổ. Chúng tôi cần phải xem các cửa hàng thực tế để đảm bảo có một đánh dấu vào Show physical stores:
Mở rộng Trusted Root Certificate Authoritiesvà chọn Local Computertheo chụp màn hình ở trên, sau đó nhấp OKvà sau đóNext >
Nhấp vào Finishnút trên bước hướng dẫn cuối cùng và nếu tất cả đều tốt, bạn sẽ thấy:
Hãy cẩn thận và Gotchas:
SelfSSL có thể cần các thành phần Tương thích Quản lý IIS6 được cài đặt. Tôi không thể biết vì các máy của riêng tôi đã được cài đặt và không có VM để kiểm tra lý thuyết này bằng cách loại bỏ chúng.
Cấp SSL cn=www.mydomain.comvà không cn=mydomain.comnếu bạn muốn có thể thêm SSL vào cửa hàng ủy quyền chứng chỉ gốc đáng tin cậy.
Theo tôi hiểu, vấn đề với IIS 7.x là bạn không thể đặt tiêu đề máy chủ cho liên kết SSL.
Sử dụng tiện ích dòng lệnh appcmd, bạn sẽ có thể làm điều này. Các trang web có thể sử dụng cùng một chứng chỉ nhưng sẽ có các tiêu đề máy chủ khác nhau.
Nếu bạn chạy 2 lệnh sau với dữ liệu của mình, nó sẽ cấu hình các tiêu đề máy chủ.
c:\Windows\System32\inetsrv>appcmd set site /site.name:"local.yourdomain.com" /+bindings.[protocol='https',bindingInformation='*:443:local.yourdomain.com']
c:\Windows\System32\inetsrv>appcmd set site /site.name:"local.dev.yourdomain.com" /+bindings.[protocol='https',bindingInformation='*:443:local.dev.yourdomain.com']
Thật không may, có một số thứ khác bạn cần làm để làm cho nó hoạt động, nhưng tôi không chắc chính xác là gì. Tôi biết tôi đã thực hiện một số cài đặt lại IIS và tôi đã chọn lại các chứng chỉ SSL, nhưng tôi không chắc chắn về thứ tự thực hiện điều đó. Nhưng tôi biết rằng tôi đã không làm bất cứ điều gì 'ưa thích' như sử dụng một công cụ khác.
OpenSSL cũng có thể được sử dụng để tạo chứng chỉ tự ký như được mô tả trong câu trả lời Stack Overflow này: