Emiterea propriu-ssl certificat
Certificatele de securitate sunt utilizate în mod frecvent. De exemplu, pentru funcționarea în siguranță a corporative de e-mail. Cu acest certificat oferă criptarea datelor transferate între client și server. Pentru a obține un astfel de certificat, trebuie să contactați un CA de încredere și să-l ceară să emită un certificat pentru tine. Dar aceste servicii nu sunt gratuite. Odată cu eliberarea certificatului de securitate nu este mare lucru. Te poți face.
Singura diferență este că certificatul pe care îl eliberați nu va fi de încredere. Acest lucru înseamnă că computerul client va emite un avertisment că el nu cunoaște furnizorul de certificat care a eliberat certificatul care logica propriu-zis.
Imaginați-vă că ceea ce poate fi un utilizator cu Urali accesarea portalului companiei. Și el a raportat că, pentru a cripta certificatul va fi utilizat, care a lansat Vasya Pupkin. Ei bine, cine e John, și că a eliberat? Pot să am încredere în el? Nu este clar. Un alt lucru, în cazul în care toți utilizatorii să știe acest lucru Vasya și pe deplin încredere în el. În acest ultim caz, este posibil să se utilizeze un certificat pe care el însuși eliberat. În mesajul de avertizare, puteți pur și simplu faceți clic pe „Deplasare la acest site (nu este recomandat)“
Pentru a elibera propriul certificat de securitate, puteți merge două moduri. Extinde organizația o certificare cuprinzătoare (Autoritatea de Certificare) Centrul, sau de a folosi selfssl.exe de utilitate. Diferența dintre aceste două metode constă în aplicarea lor.
Desfasurandu Centrul de certificare vă puteți asigura eliberarea automată a certificatelor, la cererea utilizatorilor. Țineți evidența certificatelor eliberate, precum și să le revoce, dacă este necesar. Dacă trebuie să emită un singur certificat pentru a asigura funcționarea în condiții de siguranță a portalului corporativ, sau e-mail prin intermediul OWA, va fi mai ușor de utilizat selfssl.exe de utilitate.
Selectați metoda de instalare particularizată și faceți clic pe Următorul pentru a continua instalarea.
Apoi selectați calea de instalare sau să accepte cel care este deja specificat, și faceți clic pe Următorul
Pachetul include mai multe instrumente. Suntem interesati de un singur lucru. Debifați toate casetele cu excepția uneia, așa cum este arătat mai sus. Apoi, faceți clic pe Următorul.
Porniți utilitarul poate fi instalat din meniul Start din Windows, așa cum se arată în figură.
Rulați utilitarul, veți vedea o fereastră de prompt de comandă în care, stabilind parametrii necesari, va fi capabil să emită propriul certificatul său de securitate.
După cum puteți vedea parametrii care pot fi setate, destul de mult. Să încercăm să se ocupe de fiecare dintre ele:
Pe vopos "Doriți să înlocuiți setările SSL pentru site-ul 1 (Y / N)?" Apăsați "y". Dacă nu ați instalat IIS, atunci veți primi un mesaj de „Eroare la deschiderea metabază: 0x80040154“ - trebuie doar să-l ignore.
Certificatul a fost eliberat. Acum poți să faci cu el ce vrei. De exemplu, pentru a instala pe WEB-site. Să vedem cum se face. Pentru a începe, trebuie să descărcați certificatul. Pentru a face acest lucru, executați Microsoft Management Console (MMC). Faceți clic pe Start-> Run ... -> tastați mmc, și apăsați Enter.
Apoi faceți clic pe File -> Add / Remove Snap în ...
În fereastra care apare, faceți clic pe Add ...
Apoi, selectați Certificate și faceți clic pe Add ...
Selectați contul de pe computer și faceți clic pe Următorul
Acum, faceți clic pe Finish
Fișierele atașate adăugate. Faceți clic pe Închidere. pentru a închide caseta de dialog, și OK, pentru a merge la serviciu cu accesorii.
Expand Crtificates (Local Computer) Certificate personale și apoi selectați. La dreapta, veți vedea certificatul. Faceți clic pe butonul din dreapta al mouse-ului. Selectați toate sarcinile. și apoi Export.
În caseta de dialog care rezultă, faceți clic pe Următorul.
Dacă doriți să utilizați certificatul pe site-ul dvs., pentru aceasta este nevoie pentru a încărca cheia privată. Selectați „Da, exportă cheia privată“ și faceți clic pe Următorul.
Deci, cum vă încărcați o cheie privată, un certificat de înregistrare mai bună recuperare. Introduceți parola sau lăsați câmpul necompletat (acest lucru nu este recomandat). faceți clic pe Următorul.
Tastați un nume de fișier, sub care fișierul va fi stocat pe disc. De exemplu, owa.contoso.com și faceți clic pe Următorul.
În fereastra următoare, faceți clic pe Finish.
Certificatul este descărcat și gata de utilizare. Acum, acesta trebuie să fie instalat pe WEB-site. În următorul articol, voi arăta cum să o facă.
Desigur, puteți face acest lucru, dar apoi skomprometirute întregul sistem de securitate bazat pe certificate de securitate și chei publice.
cheie Prvatny pe client nu are nevoie, deoarece este necesar pentru certificatul de criptare, precum și pentru descifrarea destul de (cheia publică) publică.
În general, cheia publică - o fereastră pe mormânt, unde puteți vedea și de a identifica corpul capului, iar tasta Privetnoye - cheia întregului capac sicriu, care poate fi deschis pentru a înlocui corpul prin salvarea cap.
Ei bine, întrebarea nu este despre client. Judecând după textul, suntem implicați în certificatul de export pentru instalarea ulterioară pe un alt server Web (de exemplu, pentru SSL). În acest caz, nu exportă cheia privată, și anume, dacă am înțeles corect, este exportat doar cheia publică, care nu va fi utilizat pe un server web
Stimați colegi, sunteți amândoi dreptate. Pentru a instala un alt server web este nevoie de cheia privată. Se pare că povestea va avea un pic de atingere în sus. 🙂
Dennis, vă mulțumesc pentru feedback. Sasha Stankevich mi-a dat o prelegere privind siguranța. Acum am scrie un articol despre cazurile în care nu ltschshe utilizează certificate auto-semnate, și de ce.
Și am de gând să scrie despre cât de ușor este de a emite astfel de certificate în IIS 7.
Întreaga esența articolului este redus la câteva linii
> Selfssl.exe utilitate inclus IIS6 Resource pachet Kit Tools.
...
> După cum puteți vedea parametrii care pot fi setate, destul de mult. Să încercăm să se ocupe de fiecare dintre ele:
/ N: CN este numele site-ului dvs., cum ar fi owa.contoso.com.
/ K: specifică lungimea cheii. Valoarea implicită este 1024.
/ V: numărul de zile înainte de a certificatului este finalizată.
/ S: site-ul de cameră în IIS. Valoarea implicită este 1.
/ P: numărul portului. Standard este 443. Această valoare este setată în mod implicit.
Restul - apă. De ce acest lucru ar trebui să fie - o mulțime de scrisori și de utilizare puțin - nu este clar.
> Dennis, mulțumesc pentru pont. Sasha Stankevich mi-a dat o prelegere privind siguranța. Acum am scrie un articol despre cazurile în care nu ltschshe utilizează certificate auto-semnate, și de ce.
dar, în aproape toate cazurile care nu folosesc luchsche.
Ei bine, în opinia mea, mai bine decât lucruri mai universale, cum ar fi aceeași makecert. 🙂
Voi posta câteva săptămâni de muncă replicare (60 p. A4), există o adevărată explozie a creierului. Și unii oameni spun FIII ... ceva mai multe personaje complexe.
> Ideal atunci când vine ziua 3 post-nivel de 100,200 și 300. Dar acest lucru nu este realizabil.
sugestie constructiva: introduceți o etichetă pentru fiecare articol la nivelul de complexitate. Este posibil să aibă ms, este posibil un alt sistem.
> Și ce scop prisleduet?
Pe „Despre“ element „Ce vrem să obținem?“.))
> Vom crea o platformă în cazul în care profesioniștii pot comunica și de a învăța lucruri noi. Un administratorii novice pot înțelege
Cu toate acestea, statya în care trei linii substanțiale, apă și o grămadă de imagini ca presa „NEXT“ pentru a instala programul este prea mult chiar și pentru începători.
Și articolul dumneavoastră colectiv va arăta cu nerăbdare 🙂
Ce vrei un certificat SSL pe un site web? Să presupunem, pe site-ul trebuie să introduceți unele informații personale, iar acestea pot fi interceptate prin Internet (man-in-the-middle). Ok, toți utilizatorii vor trebui să aibă pentru a instala certificatul auto semnat (partea deschisă) într-un container Trusted Root CAs. După cum știți, sunt certificate rădăcină final punctul de încredere și punerea în aplicare actuală a motorului certificat înlănțuirii nu poate verifica dacă certificatul rădăcină pentru revizuire. Ce înseamnă? Acest lucru înseamnă că, în cazul în care cheia privată a fost în nici un fel compromisă, atunci nu va fi capabil să-l retragă. 2 motive pentru care:
1) nu există nici o interfață care ne-ar permite să facă acest lucru;
2) este un certificat rădăcină și nu pot fi verificate pentru o revizuire.
Prin urmare, în cazul în care cheia privată este compromisă, va trebui să se schimbe certificatul pentru site-ul Web, și clienții pentru a reinstala un nou certificat în container de încredere CA. În cazul în care înlocuirea certificatului de pe site-ul Web nu cauzează probleme, certificatul de înlocuire pe client - aceasta va fi o problemă foarte mare.
Consultați legitimitatea existenței unui astfel de articol doar să-l aibă nivel de 100 - nu este bun. Orice nivel ar trebui să învețe doar conceptele potrivite. Un nivel de complexitate arată doar publicul țintă pentru care materialul scris. Eu nu pretind că adevăr cea mai înaltă instanță, doar a arătat argumentele lor cu privire la această problemă.
ps selfssl privi o imagine și a atras imediat întrebarea: de ce există o cheie port? La urma urmei, în porturile subiect certificat utilizate de servicii care nu sunt enumerate.
> Faceți clic pe Start-> Run ... -> tastați mmc, și apăsați Enter.
și imaginile de vedere. Nu Start -> Run ...
> Introduceți parola sau lăsați câmpul necompletat (acest lucru nu este recomandat)
nu se poate exporta certificatul PKCS12 parola fără a începe cu Windows Vista, deci este gol vă lăsați nu se poate. O astfel de uratenie este posibilă numai în sistemele de la Vista.
Ei bine, erorile din textul multe erori gramaticale și de punctuație. Aici Misa trebuie să lucreze cu gramatica.
„Cărțile nevoi diferite, diferite cărți sunt importante“
Uneori, dar ceea ce este cu adevărat acolo - destul de des :) nevoie este pas pas cu minim. Când aveți nevoie pentru a face ieri, și de timp, și de studiu și săpat în nuanțe acolo. Acesta nu este nici bun, nici rău, așa că doar mânca. Obiectiv. Acesta este motivul pentru care în articol și va apărea la nivel de resurse 100 și la nivel 300. Noi credem că este corect și util.
În ceea ce privește introducerea unor dificultăți de evaluare a articolelor - cred că, dacă decidem - că va fi legat de MS-evaluare, ca fiind cele mai bine cunoscute și ușor de înțeles pentru mulți.
Alex, din nou, nu mă deranjează articolele 100 nivel, dar numai pe cele bune.
> Singurul lucru pe care îl văd acum problema reală - din motive obiective, nu putem Zarqa fiecare chestiune în cauză, astfel că a fost admini interesante și novice ... și oameni care doresc să înțeleagă doskanalno tehnologie.
Nu sunt sigur ce este posibil, la toate 🙂
[Offtopic]
Da, și aici, din nou, mai mulți creatori de resurse adunate - săptămâna trecută (poate mai mult) că ceva se întâmplă cu găzduirea - site-ul incetineste periodic în jos sau nu răspunde deloc.
MaximillianGreat, despre găzduirea și frâne, munca se face.
„Frânele“ ale site-ului există mai multe explicații: boli periodice și gazdă, și de a crește „greutatea“ de cititori. Lucrul în acest sens, așa cum sa arătat de către Ilya, suntem
Stimați colegi, Buna ziua!
Vă mulțumim pentru feedback. Nu am stabilit un obiectiv pentru a scrie un manual de pe PKI. Acest lucru explică concizia. Doar nu am de gând să explice acest lucru este bun sau rău pentru a produce certificate auto-semnate. Tocmai am scris cum să o fac. Este ca achiziționarea unui automobil Lada. Oricine cumpără și să înțeleagă că nu este cea mai bună opțiune, există și alte modalități, mai fiabile pentru a livra corpul dumneavoastră prețioase de la punctul A la punctul B, dar circumstanțele nu permit de a face altfel. Iar argumentele stimat coleg Vadimsa Podānsa Pun pariu dacă nu, atunci cel puțin să fie discutate. 😉 Sper să-ți văd pe platforma.
P.S.
Am un sentiment că am început să înțeleg de ce Bob a fost atât de fericit vacanța. )))
Cred că am inclus doar critici constructive.
> Doar nu am de gând să explice acest lucru este bun sau rău pentru a produce certificate auto-semnate.
De aceea, oamenii îl vor folosi oricând și oriunde, este atât de ușor!
> Dar circumstanțele nu permit de a face altfel
În cazul în care circumstanțele nu permit utilizarea infrastructurii PKI normale (mai ales din cauza aeriene de software și licențe, în cele mai multe cazuri, deloc), aceasta înseamnă că PKI nu au nevoie în acest moment. Nu este necesar pentru persoanele care nu sunt acceptate priuchivat și soluții neînsoțiți.
Coleg, cred că vorbești despre oameni, nu despre legume zhivih. 🙂 Ei bine, ce te face să crezi că, dacă va exista o descriere a unor utilități, toate graba imediat să-l folosească, și nu este complet, inclusiv creierul? Dacă ei doresc să fie, ei nu doresc să nu. Nu-ți face griji coleg. Nu sunteți responsabil pentru întreaga omenire. Această funcție este atribuită o putere mai mare. 🙂
Înțeleg că ești un profesionist de securitate? Este minunat! Dacă scrie un articol care a spus lumii natura satanică a certificatului, numele pe care este imposibil de spus, eu sunt sigur că, munca ta a fost atribuit un loc de onoare printre manuscrisele bandei.
> Ei bine, ce te face să crezi că, dacă va exista o descriere a unor utilități, toate graba imediat să-l folosească, și nu este complet, inclusiv creierul?
Pentru că este poporul. Ei bine, natura lor, astfel, face totul mai ușor și fără golovnyaka inutile. În toate. Prin urmare, acestea ar trebui să anexeze eroarea. 🙂
> Am înțeles că sunteți un profesionist de securitate?
De fapt, pe PowerShell.
> Dacă scrie un articol care a spus lumii natura satanică a certificatului, numele pe care este imposibil de spus, eu sunt sigur că, munca ta a fost atribuit un loc de onoare printre manuscrisele bandei.
Eu fac acest lucru în blog-ul meu fac în mod regulat.
IMHO ... nu merită, astfel încât într-adevăr doar încearcă să se distanțeze de CA ... există setări pentru cinci minute ... (colegii nu dezvolta o tema ...)
Articolul ar trebui să fie numit. „Și aici este un alt mod de a crea un certificat SSL“ ... Cred că ar fi mai puțin critica :)) Multumesc pentru articol ...
Disputa asupra a ceea ce nu este
> Pentru că e oameni. Ei bine, natura lor, astfel, face totul mai ușor și fără golovnyaka inutile. În toate. Prin urmare, acestea ar trebui să anexați eroare
Apropo despre imaginile. Atunci când o mulțime de ei - e bine. Oamenii sunt mai capabili de a absorbi informații vizuale. variantă Ala că cineva a găsit un articol pe Google / Yandex știind că hotit, dar au nevoie de instrucțiuni deja un fel de pas-cu-pas
Af71
Um ... ca asta ... dar despre cele mai bune practici / Ghidul de securitate, ne-am uitat?
Despre imagini - Da. Se observă în mod corespunzător.
rebzya ... fără supărare, într-adevăr un litigiu născut ...