IIS 7.5 การสร้างใบรับรองที่ลงชื่อด้วยตนเองพร้อมวันที่ตรวจสอบมากกว่าหนึ่งปี

ฉันกำลังสร้างใบรับรอง SSL ที่ลงชื่อด้วยตนเองใน IIS 7.5 สำหรับการใช้ภายใน ปัญหาที่ฉันมีคือฉันต้องการที่จะสร้างพวกเขาเพื่อให้พวกเขามีอายุ 10 ปีเพราะมันเป็นเพียงสภาพแวดล้อม dev

ฉันไม่เห็นตัวเลือกใน IIS 7.5 ซึ่งคุณสามารถระบุเวลาที่ใบรับรองใช้ได้ โดยค่าเริ่มต้นจะสร้างใบรับรองที่หมดอายุใน 1 ปี

มีวิธีที่ฉันสามารถเปลี่ยนแปลงสิ่งนี้เพื่อสร้างพวกเขาเพื่อให้พวกเขาถูกต้องเป็นเวลา 10 ปี?

คุณสามารถทำได้โดยใช้SelfSSL.exeเครื่องมือที่มาพร้อมกับ IIS6 Resource Kit คุณสามารถรับชุดทรัพยากรได้จากที่นี่:

http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=17275

โปรแกรมติดตั้งเพียงคลายซิปเครื่องมือลงในโฟลเดอร์และไม่รบกวนการตั้งค่าเครื่องใด ๆ ตัวเลือกการติดตั้งแบบกำหนดเองยังช่วยให้คุณสามารถเลือกเครื่องมือที่คุณต้องการติดตั้งและลงในโฟลเดอร์ที่คุณต้องการ

เปิดบรรทัดคำสั่งของผู้ดูแลระบบและเปลี่ยนไดเรกทอรีเป็นตำแหน่งที่คุณSelfSSLติดตั้งเครื่องมือบรรทัดคำสั่ง

ในการสร้างใบรับรอง SSL ที่ลงชื่อด้วยตนเองใหม่ที่หมดอายุใน 10 ปีให้ดำเนินการดังต่อไปนี้:

selfssl /n:cn=www.mydomain.com / v: 3650 / s: 8 / k: 2048

สิ่งนี้จะสร้าง ssl โดยที่:

• /n:cn=www.mydomain.com- SSL www.mydomain.comคือสำหรับ cn=(ชื่อสามัญ) เป็นสิ่งสำคัญจึงไม่พลาดที่จะออก

• /v:3650 - จำนวนวันใบรับรองมีผลบังคับใช้ในกรณีนี้สิบปี

• /s:8 - ติดตั้งใบรับรองในรหัสไซต์ 8

• /k:2048 - ใช้ความยาวของคีย์ 2048 บิต

น่าเสียดายที่ไม่มีวิธีการส่งออก SSL ไปยังไฟล์โดยตรงคุณต้องติดตั้งลงในเว็บไซต์ อย่างไรก็ตามข่าวดีคือใบรับรองสามารถส่งออกได้

หากคุณต้องการคำเตือนเกี่ยวกับ SSL ที่ไม่น่าเชื่อถือเมื่อเรียกดูไซต์โดยใช้ SSL ที่ลงชื่อด้วยตนเองของคุณให้หายไปจากนั้นคุณสามารถแก้ไขได้เช่นกัน:

1. ส่งออก SSL ที่ลงนามเองไปยัง.pfxไฟล์ (คุณต้องตั้งรหัสผ่านตรวจสอบให้แน่ใจว่าคุณจำได้)
2. เรียกใช้ (จากบรรทัดคำสั่งหรือเริ่ม -> เรียกใช้) mmc certmgr.msc

3. เรียกดูTrusted Root Certificate Authorities -> Certificatesและคลิกขวาเพื่อไปที่Import...ตัวเลือก:

   

4. ทำตามตัวช่วยสร้างและระบุการที่.pfxจะนำเข้าจากนั้นคลิกถัดไป (คุณจะต้องใช้รหัสผ่านที่คุณตั้งไว้ในขั้นตอนที่ 1):

   

5. ในขั้นตอนต่อไปของตัวช่วยสร้างเราต้องเลือกร้านค้าที่จะใช้ คลิกที่Browse...ปุ่มซึ่งจะเปิดSelect Certificate Storeหน้าต่าง เราจำเป็นต้องดูร้านค้าทางกายภาพเพื่อให้แน่ใจว่ามีการทำเครื่องหมายในShow physical stores:

   

   ขยายTrusted Root Certificate AuthoritiesและเลือกLocal Computerตามการดักจับหน้าจอด้านบนจากนั้นคลิกOKและจากนั้นNext >

6. คลิกที่Finishปุ่มในขั้นตอนสุดท้ายของตัวช่วยสร้างและถ้าทุกอย่างดีคุณควรเห็น:

   

Caveats และ Gotchas:

• SelfSSL อาจต้องติดตั้งคอมโพเนนต์ความเข้ากันได้ของ IIS6 Management ฉันไม่สามารถบอกได้เพราะเครื่องของฉันติดตั้งไว้แล้วและยังไม่มี VM ที่เป็นประโยชน์ในการทดสอบทฤษฎีนี้โดยการลบออก

• ออก SSL เป็นcn=www.mydomain.comและไม่cn=mydomain.comถ้าคุณต้องการที่จะสามารถเพิ่ม SSL ไปยังร้านค้าผู้ให้บริการออกใบรับรองหลักที่เชื่อถือได้

เท่าที่ฉันเข้าใจปัญหาของ IIS 7.x คือคุณไม่สามารถตั้งค่าส่วนหัวของโฮสต์สำหรับการเชื่อม SSL ได้

การใช้ยูทิลิตีบรรทัดคำสั่ง appcmd คุณควรทำสิ่งนี้ได้ ไซต์สามารถใช้ใบรับรองเดียวกัน แต่จะมีส่วนหัวโฮสต์ที่แตกต่างกัน

หากคุณเรียกใช้ 2 คำสั่งต่อไปนี้กับข้อมูลของคุณควรกำหนดค่าส่วนหัวของโฮสต์

c:\Windows\System32\inetsrv>appcmd set site /site.name:"local.yourdomain.com" /+bindings.[protocol='https',bindingInformation='*:443:local.yourdomain.com']

c:\Windows\System32\inetsrv>appcmd set site /site.name:"local.dev.yourdomain.com" /+bindings.[protocol='https',bindingInformation='*:443:local.dev.yourdomain.com']

น่าเสียดายที่มีสิ่งอื่นที่คุณต้องทำเพื่อให้เรื่องนี้ทำงานได้ แต่ฉันไม่แน่ใจอย่างแน่นอน ฉันรู้ว่าฉันได้ตั้งค่า IIS ใหม่แล้วและฉันเลือก SSL certs อีกครั้ง แต่ฉันไม่แน่ใจว่าต้องทำอย่างไร แต่ฉันรู้ว่าฉันไม่ได้ทำอะไร 'แฟนซี' เหมือนใช้เครื่องมืออื่น

OpenSSL ยังสามารถใช้เพื่อสร้างใบรับรองที่ลงนามเองดังอธิบายในคำตอบของ Stack Overflow:

/programming//a/30517344/537961