Az iS rendszer ssl beállítása és generálása, a rendszergazda megjegyzései
- Gyökérigazolás (tanúsító hatóság vagy CA). Mindent aláírunk.
- Domain (szerver) tanúsítvány. Az IIS ellenőrzi az ügyfeleket. Ezzel szemben az ügyfelek képesek lesznek ellenőrizni a kiszolgáló hitelességét.
- Az ügyfél (k) bizonyítvány (ok)
A munkához külön mappa szükséges, például c: \ iis. Ebben a könyvtárban létre kell hozni egy fájlt a soros mellékállomás nélkül, és be kell írni a 01. Itt is létre kell hozni egy üres index.txt fájlt. A konfigurációtól függően az OpenSSL megkérheti, hogy hozzon létre további mappákat ezen a mappán belül. Az én esetemben ez volt az új könyvek mappája. Továbbá az OpenSSL.cfg-ben meg kell változtatnod a [CA_default] dir-t a c: / iis-re
1) Hozzon létre egy gyökért önaláírt tanúsítványt:
openssl req -új -x509 -newkey RSA: 2048 -days 1000 kijelentkezés c: \ iis \ ca.crt -keyout c: \ iis \ ca.key
- -új eszköz, hogy új lekérdezést szeretnénk létrehozni
- -x509, hogy azonnal egy önaláírt tanúsítványt akarunk
- -newkey rsa: 2048 Hagyja, és akkor a kulcs hozzánk generáljon 2048 bit hosszúságot. az rsa helyett:<кол-во бит>, Egyébként megadhatja a dsa:<файл с параметрами> vagy ec:<файл с параметрами>
- -1000 nap - a tanúsítvány 1000 nap múlva lejár
- -ki és a -keyout megadja, hol tárolja a tanúsítványt és a privát kulcsot
Az iis mappában egy sor egyszerű kérdés után ca.crt tanúsítvány jelenik meg, és a privát kulcs kb
Most, annak érdekében, hogy az IIS felismerhesse a gyökértanúsítvány által aláírt tanúsítványokat, telepítenie kell a gyökértanúsítványt a számítógép megbízható tanúsító hatósági tárolójában:
- Futó mmc
- Adja hozzá a beépülő modul tanúsítványait, és adja meg, hogy kezeli a számítógép fiókjának tanúsítványait. különben semmi sem fog történni.
- Megnyitjuk a "megbízható gyökérigazolási központokat", és importáljuk a CA-t ott:
Kész! Megkezdheti a munkát a szerverrel.
2) Az IIS kezelőkonzolban menjen a Kiszolgálói tanúsítványok menübe, kattintson a jobb gombbal a menüre, és kattintson az Új tanúsítványkérelem létrehozása parancsra. Mentse a c: \ iis-be server.csr-ként
Most aláírjuk a szervertanúsítvány kérését a root tanúsítvánnyal:
openssl ca -days 1000 -policy policy_anything -keyfile c: \ iis \ ca.key -cert c: \ iis \ ca.crt -in c: \ iis \ server.csr kijelentkezés c: \ iis \ server.cer
-policy policy_anything azt jelenti, hogy a tanúsítvány kap minden lehetséges alkalmazási irányelvet. A legegyszerűbb lehetőség. Azt hiszem, a többi paraméterre nincs szükség magyarázatra. A legfontosabb dolog az, hogy ne keverjük össze, hogy melyik fájlt adjuk meg.
Ezután lesz egy server.cer kiszolgáló tanúsítvány c: \ iis-ben. amelyet be kell telepíteni az IIS-be.
Ehhez ismét a "szervertanúsítványokra" kell lépnünk, válasszuk a "Kérelem tanúsítvány telepítése" c: \ iis \ server.cer parancsot.
Minden, van egy tanúsítvány a szerverről.
Most létre kell hoznunk egy új https-öskötést a csomóponthoz tartozó kötésekben, és ki kell választanunk a szervertanúsítványunkat a listából:
Ezután be kell állítania a csomópont SSL beállításaiban a következő opciókat:
3) Hozzon létre egy kérelmet ügyfél-tanúsítványra
openssl req -new -newkey rsa: 2048 -nap 1000 -keyout c: \ iis \ kliens.key-out c: \ iis \ kliens.csr
Itt nem adtuk meg a -x509 értéket, ezért közös kérelmet kaptunk a tanúsítványhoz és az ügyfél privát kulcsához.
A kérelmet aláírjuk:
openssl ca -days 1000 -policy policy_anything -keyfile c: \ iis \ ca.key -cert c: \ iis \ ca.crt -in c: \ iis \ client.csr kijelentkezés c: \ IIS \ client.crt
Itt is minden világos, ezért kapjuk meg a kliens tanúsítványt client.crt
Most, hogy a kliens tanúsítványt a Windows tanúsítványraktárba importáljuk a kulcsgal együtt, a crt + kulcsot át kell alakítani .pfx konténerré:
OpenSSL pkcs12 -export -inkey c: \ iis \ client.key -in c: \ iis \ client.crt kijelentkezés c: \ iis \ client.pfx
Hurrá! Megkapta a client.pfx parancsot. duplán kattintva hívhatja a párbeszédablakot a tanúsítványok importálásához, és ténylegesen telepítheti a személyes tárolóban történteket.
Más tanúsítványt is létrehozhat más adatokkal és importálhatja is. Akkor, amikor a szerverre lépsz, fel kell kérni, hogy válasszon közülük bármelyiket:
Ez minden)
Az utolsó lépés az aspx oldal kódolása (elmentése Default.aspx-ként), amellyel mindent ellenőrizhet: Az ügyfélről szóló tanúsítvány információit jeleníti meg:
<%@ Page Language="C#"%>
<%@ Import Namespace="System.Security.Cryptography" %>