Connect with us

Wie man

So erstellen Sie ein selbstsigniertes Sicherheitszertifikat (SSL) und stellen es auf Clientcomputern bereit

So erstellen Sie ein selbstsigniertes Sicherheitszertifikat (SSL) und stellen es auf Clientcomputern bereit

Entwickler und IT-Administratoren müssen zweifellos einige Websites über HTTPS mit einem SSL-Zertifikat bereitstellen. Während dieser Prozess für eine Produktions-Site ziemlich einfach ist, können Sie zu Entwicklungs- und Testzwecken auch hier die Notwendigkeit feststellen, ein SSL-Zertifikat zu verwenden.

Als Alternative zum Kauf und zur Verlängerung eines Jahreszertifikats können Sie die Fähigkeit Ihres Windows Servers nutzen, ein selbstsigniertes Zertifikat zu generieren, das bequem und einfach ist und diese Art von Anforderungen perfekt erfüllen sollte.

Erstellen eines selbstsignierten Zertifikats auf IIS

Es gibt zwar mehrere Möglichkeiten zum Erstellen eines selbstsignierten Zertifikats, wir verwenden jedoch das SelfSSL-Dienstprogramm von Microsoft. Leider wird dies nicht mit IIS geliefert, ist aber als Teil des IIS 6.0 Resource Toolkits frei verfügbar (Link am Ende dieses Artikels). Trotz des Namens „IIS 6.0“ funktioniert dieses Dienstprogramm in IIS 7 einwandfrei.

Sie müssen lediglich IIS6RT extrahieren, um das Dienstprogramm selfssl.exe zu erhalten. Von hier aus können Sie es in Ihr Windows-Verzeichnis oder einen Netzwerkpfad/USB-Laufwerk kopieren, um es später auf einem anderen Computer zu verwenden (damit Sie nicht das vollständige IIS6RT herunterladen und extrahieren müssen).

Sobald Sie das SelfSSL-Dienstprogramm installiert haben, führen Sie den folgenden Befehl (als Administrator) aus und ersetzen Sie die Werte in <> entsprechend:

selfssl /N:CN= /V:

Das folgende Beispiel erzeugt ein selbstsigniertes Wildcard-Zertifikat für „mydomain.com“ und legt es auf eine Gültigkeit von 9.999 Tagen fest. Wenn Sie die Eingabeaufforderung mit Ja beantworten, wird dieses Zertifikat außerdem automatisch so konfiguriert, dass es an Port 443 innerhalb der Standardwebsite von IIS gebunden wird.

Das Zertifikat ist zu diesem Zeitpunkt zwar einsatzbereit, wird jedoch nur im persönlichen Zertifikatspeicher auf dem Server gespeichert. Es ist eine bewährte Methode, dieses Zertifikat auch im vertrauenswürdigen Stammverzeichnis festzulegen.

Gehen Sie zu Start > Ausführen (oder Windows-Taste + R) und geben Sie „mmc“ ein. Möglicherweise erhalten Sie eine UAC-Eingabeaufforderung, akzeptieren Sie diese und eine leere Managementkonsole wird geöffnet.

Gehen Sie in der Konsole zu Datei > Snap-In hinzufügen/entfernen.

Zertifikate von der linken Seite hinzufügen.

Wählen Sie Computerkonto aus.

Wählen Sie Lokaler Computer.

Klicken Sie auf OK, um den lokalen Zertifikatspeicher anzuzeigen.

Navigieren Sie zu Persönlich > Zertifikate und suchen Sie das Zertifikat, das Sie mit dem SelfSSL-Dienstprogramm eingerichtet haben. Klicken Sie mit der rechten Maustaste auf das Zertifikat und wählen Sie Kopieren.

Navigieren Sie zu Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate. Klicken Sie mit der rechten Maustaste auf den Ordner Zertifikate und wählen Sie Einfügen.

In der Liste sollte ein Eintrag für das SSL-Zertifikat erscheinen.

Zu diesem Zeitpunkt sollte Ihr Server keine Probleme haben, mit dem selbstsignierten Zertifikat zu arbeiten.

Exportieren des Zertifikats

Wenn Sie auf einem Client-Rechner (dh jedem Computer, der nicht der Server ist) auf eine Site zugreifen, die das selbstsignierte SSL-Zertifikat verwendet, sollte das selbstsignierte Zertifikat installiert werden, um einen möglichen Ansturm von Zertifikatsfehlern und Warnungen zu vermeiden auf jedem der Client-Rechner (auf die wir weiter unten ausführlich eingehen werden). Dazu müssen wir zunächst das jeweilige Zertifikat exportieren, damit es auf den Clients installiert werden kann.

Navigieren Sie in der Konsole mit geladener Zertifikatsverwaltung zu Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate. Suchen Sie das Zertifikat, klicken Sie mit der rechten Maustaste und wählen Sie Alle Aufgaben > Exportieren.

Wenn Sie aufgefordert werden, den privaten Schlüssel zu exportieren, wählen Sie Ja. Weiter klicken.

Behalten Sie die Standardauswahl für das Dateiformat bei und klicken Sie auf Weiter.

Geben Sie ein Passwort ein. Dies wird zum Schutz des Zertifikats verwendet und Benutzer können es ohne Eingabe dieses Kennworts nicht lokal importieren.

Geben Sie einen Speicherort ein, um die Zertifikatsdatei zu exportieren. Es wird im PFX-Format sein.

Bestätigen Sie Ihre Einstellungen und klicken Sie auf Fertig stellen.

Die resultierende PFX-Datei wird auf Ihren Client-Computern installiert, um ihnen mitzuteilen, dass Ihr selbstsigniertes Zertifikat von einer vertrauenswürdigen Quelle stammt.

Bereitstellen auf Clientcomputern

Sobald Sie das Zertifikat auf der Serverseite erstellt haben und alles funktioniert, werden Sie möglicherweise feststellen, dass beim Verbinden eines Client-Rechners mit der entsprechenden URL eine Zertifikatswarnung angezeigt wird. Dies liegt daran, dass die Zertifizierungsstelle (Ihr Server) keine vertrauenswürdige Quelle für SSL-Zertifikate auf dem Client ist.

Sie können sich durch die Warnungen klicken und auf die Site zugreifen, erhalten jedoch möglicherweise wiederholte Benachrichtigungen in Form einer hervorgehobenen URL-Leiste oder wiederholten Zertifikatswarnungen. Um dieses Ärgernis zu vermeiden, müssen Sie lediglich das benutzerdefinierte SSL-Sicherheitszertifikat auf dem Client-Rechner installieren.

Je nach verwendetem Browser kann dieser Vorgang variieren. IE und Chrome lesen beide aus dem Windows-Zertifikatspeicher, Firefox verfügt jedoch über eine benutzerdefinierte Methode zum Umgang mit Sicherheitszertifikaten.

Wichtiger Hinweis: Sie sollten ein Sicherheitszertifikat von einer unbekannten Quelle installieren. In der Praxis sollten Sie ein Zertifikat nur dann lokal installieren, wenn Sie es generiert haben. Keine legitime Website würde von Ihnen verlangen, diese Schritte auszuführen.

Internet Explorer & Google Chrome – Zertifikat lokal installieren

Kopieren Sie das vom Server exportierte Zertifikat (die PFX-Datei) auf den Client-Rechner oder stellen Sie sicher, dass es in einem Netzwerkpfad verfügbar ist.

Öffnen Sie die Verwaltung des lokalen Zertifikatspeichers auf dem Client-Computer, indem Sie genau die gleichen Schritte wie oben ausführen. Sie werden schließlich auf einem Bildschirm wie dem folgenden landen.

Erweitern Sie auf der linken Seite Zertifikate > Vertrauenswürdige Stammzertifizierungsstellen. Klicken Sie mit der rechten Maustaste auf den Ordner Zertifikate und wählen Sie Alle Aufgaben > Importieren.

Wählen Sie das Zertifikat aus, das lokal auf Ihren Rechner kopiert wurde.

Geben Sie das beim Exportieren des Zertifikats vom Server zugewiesene Sicherheitskennwort ein.

Als Ziel sollte der Store „Trusted Root Certification Authorities“ vorausgefüllt sein. Weiter klicken.

Überprüfen Sie die Einstellungen und klicken Sie auf Fertig stellen.

Sie sollten eine Erfolgsmeldung sehen.

Aktualisieren Sie Ihre Ansicht des Ordners Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate, und das selbstsignierte Zertifikat des Servers sollte im Speicher aufgeführt sein.

Sobald dies getan ist, sollten Sie in der Lage sein, zu einer HTTPS-Site zu navigieren, die diese Zertifikate verwendet, und Sie erhalten keine Warnungen oder Aufforderungen.

Firefox – Ausnahmen zulassen

Firefox handhabt diesen Vorgang etwas anders, da er keine Zertifikatsinformationen aus dem Windows Store liest. Anstatt Zertifikate (per-se) zu installieren, können Sie Ausnahmen für SSL-Zertifikate auf bestimmten Sites definieren.

Wenn Sie eine Site besuchen, die einen Zertifikatsfehler aufweist, erhalten Sie eine Warnung wie die folgende. Der blaue Bereich benennt die jeweilige URL, auf die Sie zugreifen möchten. Um eine Ausnahme zu erstellen, um diese Warnung für die jeweilige URL zu umgehen, klicken Sie auf die Schaltfläche Ausnahme hinzufügen.

Klicken Sie im Dialogfeld Sicherheitsausnahme hinzufügen auf Sicherheitsausnahme bestätigen, um diese Ausnahme lokal zu konfigurieren.

Beachten Sie, dass Sie, wenn eine bestimmte Site von sich selbst auf Subdomains umleitet, möglicherweise mehrere Sicherheitswarnungen erhalten (wobei die URL jedes Mal leicht unterschiedlich ist). Fügen Sie Ausnahmen für diese URLs hinzu, indem Sie die gleichen Schritte wie oben ausführen.

Abschluss

Es lohnt sich, den obigen Hinweis zu wiederholen, dass Sie ein Sicherheitszertifikat von einer unbekannten Quelle installieren sollten. In der Praxis sollten Sie ein Zertifikat nur dann lokal installieren, wenn Sie es generiert haben. Keine legitime Website würde von Ihnen verlangen, diese Schritte auszuführen.

Links

Laden Sie das IIS 6.0 Resource Toolkit (einschließlich SelfSSL-Dienstprogramm) von Microsoft herunter

Continue Reading
Click to comment

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Tendencia