ITU Cara Membuat Sertifikat Keamanan yang Ditandatangani Sendiri (SSL) dan Menyebarkannya ke Mesin Klien
Pengembang dan administrator TI, tidak diragukan lagi, perlu menyebarkan beberapa situs web melalui HTTPS menggunakan sertifikat SSL. Meskipun proses ini cukup mudah untuk sebuah lokasi produksi, untuk keperluan pengembangan dan pengujian Anda mungkin menemukan kebutuhan untuk menggunakan sertifikat SSL di sini juga..
Sebagai alternatif untuk membeli dan memperbarui sertifikat tahunan, Anda dapat memanfaatkan kemampuan Windows Server Anda untuk menghasilkan sertifikat yang ditandatangani sendiri yang nyaman, mudah dan harus memenuhi jenis kebutuhan ini dengan sempurna.
Membuat Sertifikat yang Ditandatangani Sendiri pada IIS
Meskipun ada beberapa cara untuk menyelesaikan tugas membuat sertifikat yang ditandatangani sendiri, kami akan menggunakan utilitas SelfSSL dari Microsoft. Sayangnya, ini tidak disertakan dengan IIS tetapi tersedia secara bebas sebagai bagian dari IIS 6.0 Resource Toolkit (tautan yang disediakan di bagian bawah artikel ini). Terlepas dari nama "IIS 6.0" utilitas ini berfungsi dengan baik di IIS 7.
Semua yang diperlukan adalah mengekstrak IIS6RT untuk mendapatkan utilitas selfssl.exe. Dari sini Anda dapat menyalinnya ke direktori Windows Anda atau jalur jaringan / drive USB untuk digunakan di lain waktu di komputer lain (jadi Anda tidak perlu mengunduh dan mengekstrak IIS6RT lengkap).
Setelah Anda memiliki utilitas SelfSSL, jalankan perintah berikut (sebagai Administrator) menggantikan nilai-nilai yang sesuai:
selfssl / N: CN = / V:
Contoh di bawah ini menghasilkan sertifikat wildcard yang ditandatangani sendiri terhadap "mydomain.com" dan menetapkannya menjadi valid untuk 9.999 hari. Selain itu, dengan menjawab ya pada prompt, sertifikat ini secara otomatis dikonfigurasi untuk mengikat port 443 di dalam Situs Web Default IIS.
Meskipun pada saat ini sertifikat siap digunakan, sertifikat hanya disimpan di toko sertifikat pribadi di server. Ini juga merupakan praktik terbaik untuk memiliki sertifikat ini di root tepercaya juga.
Pergi ke Mulai> Jalankan (atau Windows Key + R) dan masukkan "mmc". Anda dapat menerima prompt UAC, menerimanya dan Konsol Manajemen kosong akan terbuka.
Di konsol, buka File> Tambah / Hapus Snap-in.
Tambahkan Sertifikat dari sisi kiri.
Pilih akun Komputer.
Pilih komputer lokal.
Klik OK untuk melihat toko Sertifikat Lokal.
Buka Personal> Certificates dan cari sertifikat yang Anda atur menggunakan utilitas SelfSSL. Klik kanan sertifikat dan pilih Salin.
Arahkan ke Otoritas Sertifikasi Root Tepercaya> Sertifikat. Klik kanan pada folder Sertifikat dan pilih Tempel.
Entri untuk sertifikat SSL akan muncul dalam daftar.
Pada titik ini, server Anda seharusnya tidak memiliki masalah bekerja dengan sertifikat yang ditandatangani sendiri.
Mengekspor Sertifikat
Jika Anda akan mengakses situs yang menggunakan sertifikat SSL yang ditandatangani sendiri pada mesin klien mana pun (yaitu komputer mana pun yang bukan server), untuk menghindari potensi serangan hebat dari kesalahan sertifikat dan peringatan, sertifikat yang ditandatangani sendiri harus dipasang pada masing-masing mesin klien (yang akan kita bahas secara rinci di bawah). Untuk melakukan ini, pertama-tama kita perlu mengekspor sertifikat masing-masing sehingga dapat diinstal pada klien.
Di dalam konsol dengan Manajemen Sertifikat dimuat, arahkan ke Otoritas Sertifikasi Root Tepercaya> Sertifikat. Temukan sertifikat, klik kanan dan pilih Semua Tugas> Ekspor.
Saat diminta untuk mengekspor kunci pribadi, pilih Ya. Klik Berikutnya.
Biarkan pilihan default untuk format file dan klik Next.
Masukan kata sandi. Ini akan digunakan untuk melindungi sertifikat dan pengguna tidak akan dapat mengimpornya secara lokal tanpa memasukkan kata sandi ini.
Masukkan lokasi untuk mengekspor file sertifikat. Itu akan dalam format PFX.
Konfirmasikan pengaturan Anda dan klik Selesai.
File PFX yang dihasilkan adalah apa yang akan diinstal ke mesin klien Anda untuk memberi tahu mereka bahwa sertifikat yang ditandatangani sendiri Anda berasal dari sumber tepercaya.
Menyebarkan ke Mesin Klien
Setelah Anda membuat sertifikat di sisi server dan semuanya berfungsi, Anda mungkin memperhatikan bahwa ketika mesin klien terhubung ke masing-masing URL, peringatan sertifikat ditampilkan. Ini terjadi karena otoritas sertifikat (server Anda) bukan sumber tepercaya untuk sertifikat SSL pada klien.
Anda dapat mengklik peringatan dan mengakses situs, namun Anda mungkin mendapatkan pemberitahuan berulang dalam bentuk bilah URL yang disorot atau peringatan sertifikat berulang. Untuk menghindari gangguan ini, Anda hanya perlu menginstal sertifikat keamanan SSL kustom di mesin klien.
Bergantung pada browser yang Anda gunakan, proses ini dapat bervariasi. IE dan Chrome sama-sama membaca dari toko Sertifikat Windows, namun Firefox memiliki metode khusus untuk menangani sertifikat keamanan.
Catatan penting: Kamu harus tak pernah instal sertifikat keamanan dari sumber yang tidak dikenal. Dalam praktiknya, Anda hanya boleh menginstal sertifikat secara lokal jika Anda membuatnya. Tidak ada situs web yang sah akan mengharuskan Anda untuk melakukan langkah-langkah ini.
Internet Explorer & Google Chrome - Memasang Sertifikat Secara Lokal
Catatan: Meskipun Firefox tidak menggunakan toko sertifikat Windows asli, ini masih merupakan langkah yang disarankan.
Salin sertifikat yang diekspor dari server (file PFX) ke mesin klien atau pastikan tersedia di jalur jaringan.
Buka manajemen toko sertifikat lokal di mesin klien menggunakan langkah yang sama persis seperti di atas. Anda pada akhirnya akan muncul di layar seperti di bawah ini.
Di sebelah kiri, perluas Sertifikat> Otoritas Sertifikasi Root Tepercaya. Klik kanan pada folder Sertifikat dan pilih Semua Tugas> Impor.
Pilih sertifikat yang disalin secara lokal ke mesin Anda.
Masukkan kata sandi keamanan yang diberikan ketika sertifikat diekspor dari server.
Toko “Otoritas Sertifikasi Akar Tepercaya” harus disiapkan sebelumnya sebagai tujuannya. Klik Berikutnya.
Tinjau pengaturan dan klik Selesai.
Anda akan melihat pesan sukses.
Refresh pandangan Anda tentang folder Otoritas Sertifikasi Root Tepercaya> Sertifikat dan Anda akan melihat sertifikat yang ditandatangani sendiri server terdaftar di toko.
Setelah ini selesai, Anda harus dapat menelusuri situs HTTPS yang menggunakan sertifikat ini dan tidak menerima peringatan atau konfirmasi.
Firefox - Mengizinkan Pengecualian
Firefox menangani proses ini sedikit berbeda karena tidak membaca informasi sertifikat dari Windows store. Alih-alih memasang sertifikat (per-se), ini memungkinkan Anda untuk menentukan pengecualian untuk sertifikat SSL di situs tertentu.
Ketika Anda mengunjungi situs yang memiliki kesalahan sertifikat, Anda akan mendapatkan peringatan seperti di bawah ini. Area berwarna biru akan memberi nama masing-masing URL yang Anda coba akses. Untuk membuat pengecualian untuk memintas peringatan ini di masing-masing URL, klik tombol Tambahkan Pengecualian.
Dalam dialog Tambahkan Pengecualian Keamanan, klik Konfirmasi Pengecualian Keamanan untuk mengkonfigurasi pengecualian ini secara lokal.
Perhatikan bahwa jika situs tertentu mengalihkan ke subdomain dari dalam dirinya sendiri, Anda mungkin mendapatkan beberapa peringatan keamanan (dengan URL yang sedikit berbeda setiap kali). Tambahkan pengecualian untuk URL tersebut menggunakan langkah-langkah yang sama seperti di atas.
Kesimpulan
Anda harus mengulangi pemberitahuan di atas tak pernah instal sertifikat keamanan dari sumber yang tidak dikenal. Dalam praktiknya, Anda hanya boleh menginstal sertifikat secara lokal jika Anda membuatnya. Tidak ada situs web yang sah akan mengharuskan Anda untuk melakukan langkah-langkah ini.
Tautan
Unduh IIS 6.0 Resource Toolkit (termasuk utilitas SelfSSL) dari Microsoft