Pagina inicial » como » Como criar um certificado de segurança autônoma (SSL) e implantá-lo em máquinas cliente

    Como criar um certificado de segurança autônoma (SSL) e implantá-lo em máquinas cliente

    Desenvolvedores e administradores de TI têm, sem dúvida, a necessidade de implantar algum site via HTTPS usando um certificado SSL. Embora esse processo seja bastante simples para um site de produção, para fins de desenvolvimento e teste, talvez seja necessário usar um certificado SSL aqui também.

    Como alternativa à compra e renovação de um certificado anual, você pode aproveitar a capacidade do seu Windows Server para gerar um certificado auto-assinado que é conveniente, fácil e deve atender a esses tipos de necessidades perfeitamente..

    Criando um certificado autoassinado no IIS

    Embora haja várias maneiras de realizar a tarefa de criar um certificado autoassinado, usaremos o utilitário SelfSSL da Microsoft. Infelizmente, isso não é fornecido com o IIS, mas está disponível gratuitamente como parte do IIS 6.0 Resource Toolkit (link fornecido na parte inferior deste artigo). Apesar do nome “IIS 6.0”, este utilitário funciona bem no IIS 7.

    Tudo o que é necessário é extrair o IIS6RT para obter o utilitário selfssl.exe. A partir daqui você pode copiá-lo para o diretório do Windows ou um caminho de rede / unidade USB para uso futuro em outra máquina (para que você não precise baixar e extrair o IIS6RT completo).

    Depois de ter o utilitário SelfSSL implementado, execute o seguinte comando (como o Administrador) substituindo os valores conforme apropriado:

    selfssl / N: CN = / V:

    O exemplo a seguir produz um certificado de caractere curinga auto-assinado em relação a "mydomain.com" e o define como válido por 9.999 dias. Além disso, respondendo sim ao prompt, este certificado é automaticamente configurado para vincular a porta 443 dentro do site da Web padrão do IIS.

    Enquanto, neste momento, o certificado está pronto para uso, ele é armazenado apenas no armazenamento de certificados pessoais no servidor. É uma prática recomendada também ter esse certificado definido na raiz confiável.

    Vá para Iniciar> Executar (ou Tecla do Windows + R) e digite "mmc". Você pode receber um prompt do UAC, aceitá-lo e um Console de Gerenciamento vazio será aberto.

    No console, vá para Arquivo> Adicionar / Remover Snap-in.

    Adicionar certificados do lado esquerdo.

    Selecione uma conta de computador.

    Selecione computador local.

    Clique em OK para exibir o armazenamento de certificados locais.

    Navegue para Pessoal> Certificados e localize o certificado que você configurou usando o utilitário SelfSSL. Clique com o botão direito do mouse no certificado e selecione Copiar.

    Navegue até Autoridades de certificação raiz confiáveis> Certificados. Clique com o botão direito do mouse na pasta Certificados e selecione Colar.

    Uma entrada para o certificado SSL deve aparecer na lista.

    Neste ponto, seu servidor não deve ter problemas para trabalhar com o certificado autoassinado.

    Exportando o certificado

    Se você estiver acessando um site que usa o certificado SSL autoassinado em qualquer máquina cliente (ou seja, qualquer computador que não seja o servidor), a fim de evitar um potencial ataque de erros de certificado e avisos, o certificado autoassinado deve ser instalado em cada uma das máquinas clientes (que discutiremos em detalhes abaixo). Para fazer isso, primeiro precisamos exportar o respectivo certificado para que possa ser instalado nos clientes.

    Dentro do console com o Gerenciamento de Certificados carregado, navegue até Autoridades de certificação raiz confiáveis> Certificados. Localize o certificado, clique com o botão direito do mouse e selecione Todas as tarefas> Exportar.

    Quando solicitado a exportar a chave privada, selecione Sim. Clique em Avançar.

    Deixe as seleções padrão para o formato de arquivo e clique em Avançar.

    Insira uma senha. Isso será usado para proteger o certificado e os usuários não poderão importá-lo localmente sem inserir essa senha.

    Digite um local para exportar o arquivo de certificado. Será no formato PFX.

    Confirme suas configurações e clique em Concluir.

    O arquivo PFX resultante é o que será instalado nas máquinas clientes para informá-los de que seu certificado auto-assinado é de uma fonte confiável.

    Implantando em máquinas cliente

    Depois de ter criado o certificado no lado do servidor e ter tudo funcionando, você poderá perceber que, quando uma máquina cliente se conecta à respectiva URL, um aviso de certificado é exibido. Isso acontece porque a autoridade de certificação (seu servidor) não é uma fonte confiável para certificados SSL no cliente.

    Você pode clicar nos avisos e acessar o site, mas pode receber avisos repetidos na forma de uma barra de URL realçada ou repetir avisos de certificados. Para evitar esse aborrecimento, basta instalar o certificado de segurança SSL personalizado na máquina cliente.

    Dependendo do navegador que você usa, esse processo pode variar. Tanto o IE quanto o Chrome são lidos no armazenamento de certificados do Windows, no entanto, o Firefox tem um método personalizado de lidar com certificados de segurança..

    Nota importante: Você deve Nunca instale um certificado de segurança de uma fonte desconhecida. Na prática, você só deve instalar um certificado localmente se você o gerou. Nenhum site legítimo exigiria que você executasse essas etapas.

    Internet Explorer e Google Chrome - Instalando o certificado localmente

    Nota: Embora o Firefox não use o armazenamento de certificados nativos do Windows, essa ainda é uma etapa recomendada.

    Copie o certificado que foi exportado do servidor (o arquivo PFX) para a máquina cliente ou assegure-se de que esteja disponível em um caminho de rede.

    Abra o gerenciamento de armazenamento de certificados local na máquina cliente usando exatamente as mesmas etapas acima. Você acabará por acabar em uma tela como a abaixo.

    À esquerda, expanda Certificados> Autoridades de Certificação Raiz Confiáveis. Clique com o botão direito do mouse na pasta Certificados e selecione Todas as tarefas> Importar.

    Selecione o certificado que foi copiado localmente para sua máquina.

    Digite a senha de segurança atribuída quando o certificado foi exportado do servidor.

    A loja “Autoridades de Certificação Raiz Confiáveis” deve ser preenchida como destino. Clique em Avançar.

    Revise as configurações e clique em Concluir.

    Você deve ver uma mensagem de sucesso.

    Atualize sua visão da pasta Autoridades de Certificação Raiz Confiáveis> Certificados e você deverá ver o certificado auto-assinado do servidor listado na loja.

    Um isso é feito, você deve ser capaz de navegar para um site HTTPS que usa esses certificados e não receber avisos ou prompts.

    Firefox - Permitindo Exceções

    O Firefox lida com esse processo de maneira um pouco diferente, já que ele não lê as informações do certificado na loja do Windows. Em vez de instalar certificados (per-se), ele permite definir exceções para certificados SSL em sites específicos.

    Quando você visita um site que tem um erro de certificado, você receberá um aviso como o abaixo. A área em azul indicará o respectivo URL que você está tentando acessar. Para criar uma exceção para ignorar esse aviso no respectivo URL, clique no botão Adicionar exceção.

    Na caixa de diálogo Adicionar exceção de segurança, clique em Confirmar exceção de segurança para configurar essa exceção localmente..

    Observe que, se um site específico redireciona para subdomínios de dentro dele, você pode receber vários prompts de aviso de segurança (com o URL sendo um pouco diferente a cada vez). Adicione exceções para esses URLs usando as mesmas etapas acima.

    Conclusão

    Vale a pena repetir o aviso acima que você deve Nunca instale um certificado de segurança de uma fonte desconhecida. Na prática, você só deve instalar um certificado localmente se você o gerou. Nenhum site legítimo exigiria que você executasse essas etapas.

    Links

    Baixe o IIS 6.0 Resource Toolkit (inclui o utilitário SelfSSL) da Microsoft