IIS 7.5 Creazione di certificati autofirmati con data di convalida superiore a un anno

15

Sto creando certificati SSL autofirmati in IIS 7.5 per uso interno. Il problema che ho è che voglio crearli in modo che durino per 10 anni in quanto è solo un ambiente di sviluppo.

Non riesco a vedere un'opzione in IIS 7.5 in cui è possibile specificare un orario per cui il certificato è valido. Per impostazione predefinita crea certificati che scadono tra 1 anno.

C'è un modo in cui posso cambiare questo in modo che li crei in modo che siano validi per 10 anni?

iis-7.5  ssl-certificate  certificate 
user1153199
fonte

Risposte:

13

È possibile farlo utilizzando lo SelfSSL.exestrumento fornito con IIS6 Resource Kit. È possibile ottenere il kit di risorse da qui:

http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=17275

Il programma di installazione decomprime semplicemente gli strumenti in una cartella e non interferisce con nessuna delle impostazioni della macchina. L'opzione di installazione personalizzata consente inoltre di selezionare gli strumenti che si desidera installare e in una cartella di propria scelta.

Aprire una riga di comando dell'amministratore e modificare la directory in cui è SelfSSLstato installato lo strumento della riga di comando.

Per generare un nuovo certificato SSL autofirmato che scade tra 10 anni, eseguire quanto segue:

selfssl /n:cn=www.mydomain.com / v: 3650 / s: 8 / k: 2048

Questo genererà un ssl dove:

  • /n:cn=www.mydomain.com- SSL è per www.mydomain.com. Il cn=(nome comune) è importante, quindi non perderlo.

  • /v:3650 - numero di giorni per cui il certificato è valido, in questo caso dieci anni

  • /s:8 - installa il certificato nell'ID sito 8

  • /k:2048 - Utilizzare una lunghezza chiave di 2048 bit.

Sfortunatamente non c'è modo di emettere SSL direttamente su un file, è necessario installarlo in un sito. La buona notizia tuttavia è che il certificato è esportabile.

Se vuoi che l'avvertimento sul SSL non sia attendibile quando navighi su siti che usano il tuo SSL autofirmato per andare via, puoi risolvere anche questo:

  1. Esporta SSL autofirmato in un .pfxfile (devi impostare una password, assicurati di ricordarla)
  2. Avvia (dalla riga di comando o Start -> Esegui) mmc certmgr.msc

  3. Cerca Trusted Root Certificate Authorities -> Certificatese fai clic con il tasto destro per accedere Import...all'opzione:

    inserisci qui la descrizione dell'immagine

  4. Seguire la procedura guidata e specificare l' .pfximportazione, quindi fare clic su Avanti (sarà necessaria la password impostata nel passaggio 1):

    inserisci qui la descrizione dell'immagine

  5. Nel passaggio successivo della procedura guidata è necessario scegliere quale negozio utilizzare. Fai clic sul Browse...pulsante che aprirà la Select Certificate Storefinestra. Dobbiamo vedere i negozi fisici, quindi assicurati che sia presente un segno di spunta Show physical stores:

    inserisci qui la descrizione dell'immagine

    Espandi Trusted Root Certificate Authoritiese scegli Local Computercome per la schermata qui sopra, quindi fai clic su OKe quindiNext >

  6. Fai clic sul Finishpulsante nel passaggio finale della procedura guidata e, se tutto va bene, dovresti vedere:

    inserisci qui la descrizione dell'immagine

Avvertenze e Gotcha:

  • SelfSSL potrebbe richiedere l'installazione dei componenti di compatibilità di gestione IIS6. Non posso dirlo perché le mie macchine lo hanno già installato e non hanno una VM a portata di mano per testare questa teoria rimuovendole.

  • Emettere SSL cn=www.mydomain.come non cn=mydomain.comse si desidera poter aggiungere SSL all'archivio delle autorità di certificazione radice attendibili.

kev
fonte
Ciao, grazie mille per il tuo aiuto. Sicuramente ha aiutato quello che devo fare. Saluti Jeff
Non riesco a trovare un collegamento per il download funzionante per il Resource Kit IIS6. Qualcuno sa dove può essere trovato?
John Bubriski,
@JohnBubriski - grr, MS sono davvero fastidiosi. Se puoi aspettare fino a venerdì, posso incollarne una copia da qualche parte.
Kev
In realtà, ora sto bene, ho trovato un modo.
Invierò
0

Per quanto ho capito, il problema con IIS 7.x è che non è possibile impostare l'intestazione host per l'associazione SSL.

Utilizzando l'utilità della riga di comando appcmd dovresti essere in grado di farlo. I siti possono utilizzare lo stesso certificato ma avranno intestazioni host diverse.

Se si eseguono i seguenti 2 comandi con i propri dati, è necessario configurare le intestazioni host.

c:\Windows\System32\inetsrv>appcmd set site /site.name:"local.yourdomain.com" /+bindings.[protocol='https',bindingInformation='*:443:local.yourdomain.com']

c:\Windows\System32\inetsrv>appcmd set site /site.name:"local.dev.yourdomain.com" /+bindings.[protocol='https',bindingInformation='*:443:local.dev.yourdomain.com']

Sfortunatamente, c'è qualcos'altro che devi fare per farlo funzionare, ma non sono sicuro di cosa. So di aver effettuato alcuni ripristini IIS e di aver nuovamente selezionato i certificati SSL, ma non sono sicuro dell'ordine con cui farlo. Ma so che non ho fatto nulla di "fantasioso" come usare un altro strumento.

John Bubriski
fonte
John, dovrebbe essere così fintanto che il certificato è caricato sul server. Potrebbe essere necessario selezionare il certificato SSL da utilizzare anche per ciascun sito.
Brent Pabst,
Sì, credo di aver già configurato un certificato autofirmato per i 2 siti.
John Bubriski,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.