Dahili kullanım için IIS 7.5'te kendinden imzalı SSL sertifikaları oluşturuyorum. Sahip olduğum sorun, onları sadece bir geliştirme ortamı olduğu için 10 yıl sürecek şekilde oluşturmak istiyorum.
IIS 7.5'te, sertifikanın geçerli olduğu zamanı belirtebileceğiniz bir seçenek göremiyorum. Varsayılan olarak, 1 yıl içinde süresi dolan sertifikalar oluşturur.
Bunu değiştirebilmem için bir yol var mı?
Yanıtlar:
Bunu SelfSSL.exe, IIS6 Kaynak Seti ile birlikte gelen aracı kullanarak yapabilirsiniz . Kaynak kitini buradan alabilirsiniz:
http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=17275
Yükleyici, araçları sadece bir klasöre çıkartır ve makine ayarlarınızın hiçbirine müdahale etmez. Özel yükleme seçeneği ayrıca hangi araçları yüklemek istediğinizi ve kendi seçtiğiniz bir klasöre seçmenize olanak tanır.
Bir Yönetici komut satırı açın ve dizini SelfSSLkomut satırı aracının yüklendiği yere değiştirin .
10 yıl sonra süresi dolan yeni bir kendinden imzalı SSL sertifikası oluşturmak için aşağıdakileri yürütün:
selfssl /n:cn=www.alanadim.com.tr / v: 3650 / s: 8 / k: 2048
Bu, aşağıdaki durumlarda bir SSL oluşturur:
/n:cn=www.mydomain.com- SSL içindir www.mydomain.com. cn=(Yaygın ismi) üzerinde bu yüzden kaçırmamak önemlidir.
/v:3650 - sertifikanın geçerli olduğu gün sayısı, bu durumda on yıl
/s:8 - sertifikayı site kimliğine yükleyin 8
/k:2048 - 2048 bitlik anahtar uzunluğunu kullanın.
Ne yazık ki, SSL'yi doğrudan bir dosyaya vermenin bir yolu yoktur, bir siteye yüklemeniz gerekir. İyi haber ise sertifikanın ihraç edilebilir olmasıdır.
Kendinden imzalı SSL'nizi kullanan sitelere göz atarken SSL'nin uyarılmamasını istiyorsanız, bunu da düzeltebilirsiniz:
.pfxdosyaya dışa aktarın (bir şifre ayarlamanız gerekir, hatırladığınızdan emin olun)mmc certmgr.mscSeçeneğe Trusted Root Certificate Authorities -> Certificatesulaşmak için göz atın ve sağ tıklayın Import...:
Sihirbazı takip edin ve .pfxiçe aktarılacak dosyayı belirtin, ardından İleri'yi tıklayın (1. adımda belirlediğiniz şifreye ihtiyacınız olacak):
Bir sonraki sihirbaz adımında hangi mağazanın kullanılacağını seçmemiz gerekiyor. Pencereyi Browse...açacak düğmeyi tıklayın Select Certificate Store. Fiziksel mağazaları görmemiz gerekiyor, bu yüzden bir onay işareti olduğundan emin olun Show physical stores:
Genişletin Trusted Root Certificate Authoritiesve Local Computeryukarıdaki ekran görüntüsüne göre seçin OKve tıklayın ve ardındanNext >
FinishSon sihirbaz adımındaki düğmeye tıklayın ve her şey yolundaysa şunu görmelisiniz:
Uyarılar ve Gotchas:
SelfSSL'nin IIS6 Yönetim Uyumluluğu bileşenlerinin yüklü olması gerekebilir . Söyleyemem çünkü kendi makinelerimde bu zaten yüklü ve bu teoriyi kaldırarak test etmek için kullanışlı bir VM'ye sahip değil.
İçin SSL Sayı cn=www.mydomain.comdeğil cn=mydomain.comGüvenilir Kök Sertifika Yetkilileri deposuna SSL eklemek mümkün istiyorum.
Anladığım kadarıyla, IIS 7.x ile ilgili sorun, SSL bağlama için ana bilgisayar üstbilgisini ayarlayamamanızdır.
Appcmd komut satırı yardımcı programını kullanarak bunu yapabilmeniz gerekir. Siteler aynı sertifikayı kullanabilir ancak farklı ana bilgisayar başlıklarına sahip olacaktır.
Verilerinizle aşağıdaki 2 komutu çalıştırırsanız, ana bilgisayar üstbilgilerini yapılandırmalıdır.
c:\Windows\System32\inetsrv>appcmd set site /site.name:"local.yourdomain.com" /+bindings.[protocol='https',bindingInformation='*:443:local.yourdomain.com']
c:\Windows\System32\inetsrv>appcmd set site /site.name:"local.dev.yourdomain.com" /+bindings.[protocol='https',bindingInformation='*:443:local.dev.yourdomain.com']
Ne yazık ki, bunun işe yaraması için yapmanız gereken başka bir şey var, ama tam olarak ne olduğundan emin değilim. Bazı IIS sıfırlamaları yaptığımı biliyorum ve SSL sertifikalarını yeniden seçtim, ancak hangi sırayla yapılacağından emin değilim. Ama başka bir araç kullanmak gibi 'süslü' bir şey yapmadığımı biliyorum.
OpenSSL, bu Yığın Taşması cevabında açıklandığı gibi kendinden imzalı sertifika oluşturmak için de kullanılabilir: