تكنولوجيا المعلومات كيفية إنشاء شهادة الأمن الذاتي (SSL) ونشرها إلى الأجهزة العميل
ولا شك أن المطورين ومشرفي تقنية المعلومات يحتاجون إلى نشر بعض مواقع الويب عبر HTTPS باستخدام شهادة SSL. على الرغم من أن هذه العملية بسيطة جدًا بالنسبة إلى موقع الإنتاج ، لأغراض التطوير والاختبار ، فقد تجد الحاجة إلى استخدام شهادة SSL هنا أيضًا.
كبديل لشراء وتجديد شهادة سنوية ، يمكنك الاستفادة من قدرة Windows Server الخاصة بك على إنشاء شهادة موقعة ذاتيا ومريحة وسهلة ويجب أن تلبي هذه الأنواع من الاحتياجات بشكل مثالي.
إنشاء شهادة موقعة ذاتيا على IIS
في حين أن هناك عدة طرق لإنجاز مهمة إنشاء شهادة موقعة ذاتيا ، فإننا سنستخدم الأداة المساعدة SelfSSL من Microsoft. لسوء الحظ ، هذا لا يشحن مع IIS ولكنه متوفر بحرية كجزء من مجموعة أدوات موارد IIS 6.0 (الارتباط المقدم في أسفل هذه المقالة). على الرغم من الاسم "IIS 6.0" ، تعمل هذه الأداة بشكل جيد في IIS 7.
كل ما هو مطلوب هو استخراج IIS6RT للحصول على الأداة المساعدة selfssl.exe. من هنا يمكنك نسخها إلى دليل Windows الخاص بك أو مسار شبكة / محرك أقراص USB للاستخدام في المستقبل على جهاز آخر (حتى لا تضطر إلى تنزيل واستخراج IIS6RT الكامل).
بمجرد أن تكون لديك أداة SelfSSL في مكانها ، قم بتشغيل الأمر التالي (كمسؤول) لاستبدال القيم حسب ما هو مناسب:
selfssl / N: CN = / V:
يوضح المثال التالي شهادة بدل موقعة ذاتيًا مقابل "mydomain.com" وتعيّنها على أنها صالحة لمدة 9999 يومًا. بالإضافة إلى ذلك ، عن طريق الإجابة بنعم على المطالبة ، يتم تكوين هذه الشهادة تلقائياً لربط المنفذ 443 داخل موقع ويب الافتراضي لـ IIS.
بينما تكون الشهادة في هذه المرحلة جاهزة للاستخدام ، يتم تخزينها فقط في مخزن الشهادات الشخصي على الخادم. ومن أفضل الممارسات أيضًا تعيين هذه الشهادة في الجذر الموثوق به أيضًا.
انتقل إلى ابدأ> تشغيل (أو Windows Key + R) وأدخل "mmc". قد تتلقى مطالبة UAC ، وتقبلها وسيتم فتح وحدة التحكم الإدارية الفارغة.
في وحدة التحكم ، انتقل إلى File> Add / Remove Snap-in.
إضافة شهادات من الجانب الأيسر.
حدد حساب الكمبيوتر.
حدد الكمبيوتر المحلي.
انقر فوق "موافق" لعرض مخزن الشهادات المحلي.
انتقل إلى Personal> Certificates وحدد موقع الشهادة التي قمت بإعدادها باستخدام الأداة المساعدة SelfSSL. انقر بزر الماوس الأيمن فوق الشهادة وحدد نسخ.
انتقل إلى المراجع المصدقة لشهادات الجذر الموثوق بها> الشهادات. انقر بزر الماوس الأيمن فوق مجلد الشهادات وحدد لصق.
يجب أن يظهر إدخال لشهادة SSL في القائمة.
في هذه المرحلة ، يجب ألا يواجه الخادم أي مشاكل في العمل مع الشهادة الموقعة ذاتيًا.
تصدير الشهادة
إذا كنت ستقوم بالوصول إلى موقع يستخدم شهادة SSL موقعة ذاتيًا على أي جهاز عميل (أي جهاز كمبيوتر ليس هو الخادم) ، لتجنب احتمال حدوث أخطاء في الشهادة وتحذيرات يجب تثبيت الشهادة الموقعة ذاتياً على كل من الأجهزة العميلة (التي سنناقشها بالتفصيل أدناه). للقيام بذلك ، نحتاج أولاً إلى تصدير الشهادة المعنية حتى يمكن تثبيتها على العملاء.
داخل وحدة التحكم التي تحتوي على "إدارة الشهادة" تم تحميلها ، انتقل إلى المراجع المصدقة لشهادات الجذر الموثوقة> الشهادات. حدد موقع الشهادة ، وانقر بزر الماوس الأيمن وحدد جميع المهام> تصدير.
عند مطالبتك بتصدير المفتاح الخاص ، حدد نعم. انقر فوق التالي.
اترك التحديدات الافتراضية لتنسيق الملف وانقر فوق التالي.
أدخل كلمة مرور. سيتم استخدام هذا لحماية الشهادة ولن يتمكن المستخدمون من استيرادها محليًا دون إدخال كلمة المرور هذه.
أدخل موقعًا لتصدير ملف الشهادة. سيكون في شكل PFX.
قم بتأكيد الإعدادات الخاصة بك وانقر فوق إنهاء.
ملف PFX الناتج هو ما سيتم تثبيته على الأجهزة العميلة الخاصة بك لإخبارهم بأن الشهادة الموقعة الخاصة بك هي من مصدر موثوق.
نشر إلى الأجهزة العميل
بمجرد إنشاء الشهادة على جانب الخادم وتشغيل كل شيء ، قد تلاحظ أنه عندما يتصل جهاز العميل بعنوان URL الخاص به ، يتم عرض تحذير بشأن الشهادة. يحدث ذلك نظرًا لأن المرجع المصدق (الخادم الخاص بك) ليس مصدرًا موثوقًا به لشهادات SSL على العميل.
يمكنك النقر من خلال التحذيرات والدخول إلى الموقع ، ومع ذلك قد تحصل على إشعارات متكررة في شكل شريط عنوان مميز أو تحذيرات متكررة من الشهادات. لتجنب هذا الانزعاج ، تحتاج ببساطة إلى تثبيت شهادة أمان SSL المخصصة على جهاز العميل.
اعتمادًا على المتصفح الذي تستخدمه ، قد تختلف هذه العملية. تتم قراءة كل من IE و Chrome من متجر Windows Certificate ، ولكن يملك Firefox طريقة مخصصة للتعامل مع شهادات الأمان.
ملاحظة مهمة: يجب أبدا قم بتثبيت شهادة أمان من مصدر غير معروف. في الممارسة العملية ، يجب عليك فقط تثبيت شهادة محليًا إذا قمت بإنشائها. لا يتطلب أي موقع ويب شرعي منك تنفيذ هذه الخطوات.
Internet Explorer و Google Chrome - تثبيت الشهادة محليًا
ملاحظة: على الرغم من أن Firefox لا يستخدم مخزن شهادة Windows الأصلي ، إلا أن هذه الخطوة لا تزال موصى بها.
انسخ الشهادة التي تم تصديرها من الخادم (ملف PFX) إلى جهاز العميل أو تأكد من توفرها في مسار الشبكة.
افتح إدارة مخزن الشهادات المحلية على جهاز العميل باستخدام نفس الخطوات المذكورة أعلاه. سوف ينتهي بك المطاف في نهاية المطاف على الشاشة مثل واحد أدناه.
على الجانب الأيسر ، قم بتوسيع الشهادات> المراجع المصدقة لشهادات الجذر الموثوق بها. انقر بزر الماوس الأيمن على مجلد الشهادات وحدد كل المهام> استيراد.
حدد الشهادة التي تم نسخها محليًا إلى جهازك.
أدخل كلمة مرور السرية التي تم تحديدها عند تصدير الشهادة من وحدة الخدمة.
يجب أن يتم ملء "السلطات الموثوقة لشهادات الجذر الموثوقة" كوجهة. انقر فوق التالي.
راجع الإعدادات وانقر على إنهاء.
سترى رسالة نجاح.
قم بتحديث طريقة العرض الخاصة بك لمجلد الشهادات المصدقة لشهادات الجذر الموثوقة> ويجب أن تشاهد شهادة الخادم الموقعة ذاتياً المذكورة في المخزن.
تم إنجاز هذا الإجراء ، يجب أن تكون قادرًا على التصفح إلى موقع HTTPS يستخدم هذه الشهادات ولا يتلقى أي تحذيرات أو مطالبات.
فايرفوكس - السماح بالاستثناءات
يعالج Firefox هذه العملية بطريقة مختلفة قليلاً حيث لا يقرأ معلومات الشهادة من متجر Windows. بدلاً من تثبيت الشهادات (per-se) ، فإنه يسمح لك بتعريف استثناءات لشهادات SSL على مواقع معينة.
عندما تزور موقعًا به خطأ في الشهادة ، ستحصل على تحذير مثل ذلك الموقع أدناه. ستحدد المنطقة باللون الأزرق عنوان URL المناسب الذي تحاول الوصول إليه. لإنشاء استثناء لتجاوز هذا التحذير على عنوان URL المناسب ، انقر فوق الزر "إضافة استثناء".
في مربع الحوار إضافة استثناء الأمان ، انقر فوق تأكيد استثناء الأمان لتكوين هذا الاستثناء محليًا.
لاحظ أنه إذا كان موقع معين يعيد التوجيه إلى نطاقات فرعية من داخل نفسه ، فقد تحصل على عدة مطالبات تحذير أمان (مع اختلاف عنوان URL قليلاً في كل مرة). أضف استثناءات لعناوين URL التي تستخدم نفس الخطوات المذكورة أعلاه.
استنتاج
يجدر تكرار الإشعار أعلاه الذي يجب عليك أبدا قم بتثبيت شهادة أمان من مصدر غير معروف. في الممارسة العملية ، يجب عليك فقط تثبيت شهادة محليًا إذا قمت بإنشائها. لا يتطلب أي موقع ويب شرعي منك تنفيذ هذه الخطوات.
الروابط
تنزيل IIS 6.0 Resource Toolkit (يتضمن الأداة المساعدة SelfSSL) من Microsoft