Iis получение сертификата сервера


Содержание

Официальный сайт Группы компаний НеБезIT

Опубликовано вс, 02/05/2020 — 18:27 пользователем НеБезIT

SSL-сертификация сайтов с каждым днем вызывает все большую головную боль для веб-разработчиков и владельцев сайтов. Сперва Google пригрозились худшим ранжированием сайтов не имеющих защищенное соединение (HTTPS), многие веб-разработчики установили бесплатные SSL-сертификаты от StartCom. Однако с выходом Mozilla Firefox версии 51.0.1 и Google Chrome версии 56 сертификатам WoSign и StartCom доверия больше нет. Что ж, тогда мы обратили внимание на Let’s Encrypt. Почему ранее мы как и многие другие веб-разработчики обходили стороной этот вариант, так это из-за маленького срока действия сертификата — 3 месяца. То есть через каждые 3 месяца сертификат подлежит обновлению, а лучше, если это делать каждые 60 дней.

Инструкций как сделать сертификат на Let’s Encrypt в ОС Linux много, поэтому затруднений это вызвать не должно. Однако как это сделать для сайтов работающих на ОС Windows с IIS оказалось найти не так просто и не так подробно как это хотелось бы. Поэтому была создана эта инструкция.

Как это сделать используя только Windows, можно посмотреть здесь:

Но нас это также не порадовало, т.к требуется установка MS Visual Studio, что как-то совсем не по феншую.

Выход конечно не очень тривиальный, но для нас было самое то! Делаем сертификат для Windows из под Linux!

Потребуется установить CertBot. Для этого скачиваем его:

Даём права на запуск:

chmod a+x certbot-auto

и запускаем для получения сертификата в ручном режиме:

./certbot-auto certonly —authenticator manual

Скрипт запросит пароль и возможно доустановит дополнительные пакеты, от которых он зависим, в нашем случае это были mod_ssl, python-tools и python2-virtualenv:

Далее CertBot попросит вашу электронную почту для восстановления доступа в будущем:

Спросит согласны ли вы с их условиями предоставления услуг здесь: https://letsencrypt.org/documents/LE-SA-v1.1.1-August-1-2020.pdf, если да, то отвечаем «A»:

Затем спросят могут ли они отправить вам информацию о своей работе по защите данных, если согласны — отвечаем Y:

В следующем шаге наконец-то вводим наше доменное имя:

CertBot спросит может ли он сохранить ваш IP адрес в логах Let’s Encrypt:

Теперь начинается самое интересное, нам нужно подтвердить владение доменом, для этого нужно будет сделать некоторые изменения в настройках IIS, а именно разрешить отображение файлов не имеющих расширение. Для этого идем в IIS раздел «Типы MIME»:

Теперь нам нужно добавить свой тип, для этого в правой колонке нужно нажать на «Добавить. «:

Откроется окно где нам следует ввести следующее:

В расширение файла вводим точку, а в «Тип MIME» вводим «text/html». Теперь мы можем проходить проверку Let’s Encrypt на владение доменом.

Возвращаемся к командной строке в Linux и после шага на разрешение использования нашего IP-адреса в логах Let’s Encrypt мы видим, что система просит нас о создании дополнительных директорий и файла в корневой директории сайта:

Создаем в корневой директории сайта папку «.well-known», а в ней папку «acme-challenge» и уже в последней файл с указанными именем и содержанием.

После того как все будет готово к проверке в консоли Linux жмем клавишу Enter и, если вы все правильно сделали в директории «/etc/letsencrypt/live/ » будут находится сертификаты:

  • cert.pem — сертификат сервера, используется для Apache (SSLCertificateFile);
  • chain.pem — сертификат цепочки, используется для Apache (SSLCertificateChainFile);
  • fullchain.pem — используется для соединения cert.pem и chain.pem, в Nginx в параметре ssl_certificate;
  • privkey.pem — приватный ключ для сертификата, используется для Apache (SSLCertificateKeyFile) и Nginx в параметре ssl_certificate_key.

Осталось из полученных от Let’s Encrypt файлов получить сертификат в легитимном виде для MS Windows. Идем в консоль с правами ROOT (для этого испольщуем команду «su») и переходим в директорию «/etc/letsencrypt/live/ » и запускаем в консоли OpenSSL:

конвертируем сертификаты в нужный нам pfx-формат:

pkcs12 -inkey privkey.pem -in fullchain.pem -export -out yourdomain.pfx

Система запросит ввод и подтверждение пароля:

OpenSSL нам больше не нужен, поэтому выходим из него с помощью команды «quit». Копируем pfx-сертификат без сохранения атрибутов в домашнюю директорию, чтобы мы смогли с ним работать без root’а:

cp —no-preserve=all yourdomain.pfx /home/ /

Теперь мы можем копировать полученный сертификат на машину с Windows любым удобным для вас способом.

Для его установки в Диспетчере служб IIS идем в раздел «Сертификаты сервера» и в правой колонке жмём на «Испортировать. «, где в открывшемся окне указываем файл сертификата и пароль, заданный в консоле Linux во время конвертирования сертификата. В результате ваш сертификат должен оказаться в списке «Сертификаты сервера»:

Не забываем зайти в привязки узла и выбрать в https привязке узла новый сертификат.

После чего перезагружаем сервер IIS и радуемся результату!

P.S. Для обновления сертификата на Linux машине, где сертификат генерировался ранее следует выполнить команду:

после чего вновь их нужно будет конвертировать в PFX-формат и импортировать в IIS.

Iis получение сертификата сервера

Что такое сертификат?

Сертификат это контейнер который может содержать открытый (PUBLIC) и закрытый (PRIVATE) ключи, а также ряд полей информационного характера.

В системе сертификаты хранятся в Хранилище сертификатов (Sertificate Store). Хранилище сертификатов на локальном компьютере называется «my». Просмотреть содержимое хранилища можно с помощью MMC добавив оснастку «Sertificates». Кроме того сертификаты могут быть привязаны к компьютеру (LocalMachine), или к учетной записи (CurrentUser). От этого зависит у кого будет доступ к сертификатам, у пользователей компьютера или у владельца учетной записи.

Из хранилища можно выгрузить сертификат в файл .CER или .PFX. MMC | Sertificates | Сертификат (выбрать правой кнопкой) | Все задачи | Экспорт. Экспорт закрытого ключа может быть запрещен. В таком случае узнать его уже никак не удастся. Эта опция доступна только на этапе установки или создания ключа в хранилище «Пометить этот ключ как экспортируемый».

  • .CER — плохо защищен и не может содержить закрытого ключа, только открытый
  • .PFX — может содержать как закрытый так и открытый ключ

Step 1: Install SSL certificate

  1. Open the Internet Services Manager(IIS): Click Start >All Programs >Administrative Tools >Internet Information Services (IIS) Manger
  2. Under Web Sites, right-click your web site and select Properties
  3. Click the Directory Security tab
  4. Under Secure Communications, click Server Certificate
  5. The Web Site Certificate Wizard will open, click Next
  6. Choose Process the Pending Requestand Install the Certificate, then click Next
    Important: The pending request must match the response file. If you deleted the pending request in error you must generate a new CSR and replace this certificate.
  7. Select the location of the certificate response file, and then click Next
  8. Select the SSL Port. The default port is 443
  9. Read the summary screen to be sure that you are processing the correct certificate and then clickNext
  10. At the confirmation screen, verify the information and click Next

Создание и установка самоподписанного сертификата (Утилита selfssl.exe для SSL в IIS )

В свойствах сайта, на вкладке DirectorySecurity в разделе «Secure communications» можно поставить галочку «Requere secure channel (SSL)», а на вкладке «Web Site» можно задать
SSL port: 443 (по-умолчанию). Еще нужно для этого веб узла создать Self-Signed сертификат или купить настоящий у конторы (ssl.ru например). Self-Signed сертификат создается утилитой selfssl.exe, которая качается с микрософта, в составе «IIS 6.0 Resource Kit Tools (IIS 6.0)». Эта утилита умеет сама создавать и прикреплять сертификат к Web узлу в IIS, по ID веб узла (Site ID). Этот ID можно узнать если в IIS выбрать папку «Web Sites» в режиме просмотра детальной информации (Меню->Вид->Таблица), колонка Identifier. Утилита должна спросить заменить ли существующий сертификат у сайта, на что надо ответить ДА (y). Убедиться что сертификат назначен можно в свойствах сайта на вкладке «DirectorySecurity», должна стать активной кнопка «View Certificate. «, нажав на которую можно посмотреть данные сертификата, а также экспортировать его в файл — например .cer

Илон Маск рекомендует:  Точка трансформации

пример вызова утилиты, для сайта с Site >

Утилита makecert.exe (для ЭЦП)

Утилита входит в состав MS Visual Studio и позволяет генерировать сертификаты:

makecert.exe -r -pe -sky exchange -ss my -sr CurrentUser -n «CN=Uralsib.Mso.DigitalSign»

Так можно создавать тестовые сертификаты непосредственно в хранилище сертификатов на локальной машине «LocalMachine» или для текущего пользователя «CurrentUser». Поле «Субъект» (Subject) будет заполнено именем «CN=MyCompany.MyProduct.DigitalSign». И имя «MyCompany.MyProduct.DigitalSign» будет выбрано в качестве наименования. Остальные флаги разрешают экспортировать закрытый ключ в файл .PFX

— r создать самоподписанный сертификат
— pe — включать закрытый ключ в сертификат, и пометить его как экспортируемый (т.е. из хранилища сертификат можно будет вытащить вместе с закрытым ключом)
— n «CN=Uralsib.Mso.DigitalSign» — имя сертификата, в формате X.500
— sr CurrentUser — сертификаты могут устнавливаются для всего компьютера LocalMachine или только для учетной записи CurrentUser
— ss my — хранилище сертификатов. Локальное хранилище на локальном компьютере называется my

IIS 7 — Генерация запроса на сертификат

Генерация запроса на получение сертификата:

IIS Manager | выбрать узел сервера, а не сайта | Server Sertificates | Create Certificate Request.

который предварительно должен быть инсталлирован в виндовс через консоль

MMC -> Добавить оснастку -> Сертификаты -> Local Computer -> Personal

Чтобы сайт работал через HTTPS в IIS 7.0 нужно прикрепить к узлу сертификат SSL.Делается это

IIS Manager | выбрать Веб-узел | Bindings.

добавляется запись HTTPS и для нее выбирается сертификат,

Как выдать удостоверяющие сертификаты в локальной сети для внутренних сервисов в IIS (не self-signed)?

Необходимо в локальной сети из компьютеров на базе Windows 10 Pro, объединенных в рабочую группу (не в домене) и не светящиеся в интернет, настроить IIS сертификаты на одном из них таким образом, чтоб обращение с других компьютеров через браузер, последние подтверждали подлинность сертификата и не выводили предупреждение об untrusted сайте.

Self-signed сертификаты не хотелось бы, так как копировать из на все оставшиеся компьютеры в сети не вариант (их может быть много, добавляться новые машины и т.п)

Идеально было бы при установки сервиса в IIS установщик запросит (выдаст, сгенерит? ) новый сертификат (если такого еще не установлено в IIS), который будет trusted для остальных машин в локальной сети без копирования это сертификата на все машины.

В сети домена нет, windows server тоже нет, только все Windows 10 Pro.

Моих знаний не хватает, что б правильно понять, как правильно реализовать такую систему. Хотелось бы просто получить общую информацию что нужно сделать\установть, дальше смогу разобраться сам.

Из найденной информации на данный момент мне показалось, что необходимо развернуть в локальной сети PKI сервис и через него запрашивать (API) сертификаты (или хотя б вручную сгенерировать и передать на сервер). Если это так, то:
— должен ли этот сервер иметь свой собственный сертификат для подписи тех, что он выдает другим серверам?
— если его надо сначала будет скопировать на все клиентские машины, то это тоже не вариант, так как он не отличается от self-signed с последующим копированием на все машины? Или я могу использовать любой свой с Let’s Encrypt и от него далее по цепочке генерить дочерние?
— должен ли PKI сервис быть все время запущен, чтоб с других машин браузеры могли бы запрашивать его на валидность внутренних сертификатов?
— будет ли выданный PKI сертификат выдан на имя сервера в интранет (например: SERVER001 или SERVER001.local)?
— PKI должен запускаться на WINDOWS 10 (докер, VM боюсь не вариант)

Или существуют другие решения данной задачи.

Спасибо за советы

  • Вопрос задан более года назад
  • 1022 просмотра

Все сертификаты рутовых УЦ — самоподписанные. Сюрприз, да? :-) Если на пальцах, то доверие основывается на том, что «ну, это самоподписанный сертификат, но это же уважаемая контора. «. Поэтому в ОС и в некоторых браузерах (Firefox, он своим хранилищем пользуется. Хром или IE — пользуют системные, на винде, по крайней мере) есть хранилище корневых сертификатов удостоверяющих центров, которые (сертификаты) являются доверенными.

Есть удостоверяющие центры, сертификаты которых подписаны другими удостоверяющими центрами. Но на самом верху цепочки доверия — всё равно самоподписанные серты.

Вам нужен свой PKI, это факт. Если нет желания/возможности делать УЦ на базе Microsoft Certification services, возьмите пакет easyrsa, подписывайте сертификаты им.

По фэншую схема делается так — создаётся корпоративный root CA (корневой удостоверяющий центр), с самоподписанным сертификатом, на каком-нибудь, например, ноутбуке старом. Потом генерируется ещё один ключ — для подчинённого УЦ (sub-CA). Этот ключ подписывается сертом вашего root CA (с ноутбука), после чего ноутбук выключается и прячется в сейф. А вот уже с сертом sub-CA вы подписываете все серты для ваших серверов и сервисов. Ключи и CSR должны генерироваться только на тех хостах, где они и будут использоваться. Это если по фэншую. Но если вам просто важен замочек в строке адреса и отсутствие ругани, можно обойтись одним root CA, без sub-CA, а генерить ключи можно тем же самым easy-rsa, перенося потом ключ и серт на необходимые вам сервера с IIS.

Сертификаты вашего root CA и sub-CA нужно будет установить в хранилища всех ваших десктопных компов, серверов и т. п. А также в хранилища браузеров, если у вас используются браузеры, которые не смотрят в системные хранилища. Это легко делается доменной политикой, но ввиду отсутствия у вас домена — можно и скриптануть. Использовать certutil, например (если речь про винду, опять-таки).

А IIS у вас там, Apache или nginx, или другие сервисы, которые умеют в TLS — это дело десятое, от этого схема генерации и выдачи сертификатов не меняется.

Поэтому в ОС и в некоторых браузерах (Firefox, он своим хранилищем пользуется. Хром или IE — пользуют системные, на винде, по крайней мере)

Не знаете для Firefox тогда, если я установлю свой trusted сертификат в системное хранилище, то он его не будет считать даверенным?

Сертификаты вашего root CA и sub-CA нужно будет установить в хранилища всех ваших десктопных компов, серверов и т. п. А также в хранилища браузеров, если у вас используются браузеры, которые не смотрят в системные хранилища.

Запрос сертификата IIS


Неважно каким веб-сервером вы пользуетесь, но вам обязательно придется столкнуться с сертификатами и запрос сертификата — это одна из основных задач, стоящих в самом начале их администрирования. Так уж сложилось, что моим постоянным партнером в этом деле является компания ЛидерТелеком, через которую я получаю все сертификаты, предназначающиеся для широкой публики. Речь идет о сертификатах для публичных веб-серверов, порталов организации и так далее. В статье я рассмотрю процесс получения сертификата IIS с проверкой домена.

Подробнее о цифровых сертификатах вы можете прочитать в основной статье тематики — Цифровые сертификаты.

Запрос сертификата IIS

Счастливым обладателям веб-сервера Apache можно сгенерировать запрос один раз и получать все последующие сертификаты с его помощью. Администраторам IIS такая роскошь недоступна. Может быть оно и к лучшему, ведь это однозначно более безопасный путь. Выходит в IIS любое продление сертификата фактически является получением сертификата заново.

Итак, открываем оснастку IIS, ставим указатель на имя текущего сервера и в центральном окне консоли выбираем пункт Сертификаты сервера:

Далее в левой панели нажимаем Запрос сертификата сервера:

В открывшемся окне заполняем данные организации. Если сертификат будет использоваться как публичный, например для веб-доступа на портал организации, то лучше укажите реальные данные, а не набор цифр и букв. Реальную информацию вам нужно будет указать также в том случае, если вы планируете получить сертификат в публичных центрах сертификации, как в моем случае.

В следующем окне указываем настройки, обратите внимание на длину ключа:

Ну и в конце концов нужно прописать путь для сохранения файла:

Далее отправляем запрос в центр сертификации, снабжаем его необходимыми комментариями. Организация-поставщик сертификатов может включить в него дополнительные имена по вашему запросу. Обычно несколько имен (как минимум от 2 штук) добавляется бесплатно, а все последующие за небольшую плату (если имен слишком много, то вам имеет смысл задуматься о получении сертификата WildCard, подробнее о них читайте в статье Получение сертификата WildCard).

Я традиционно пользуюсь услугами ЛидерТелеком, с помощью которых получаю сертификаты от Comodo. В данном случае я ограничился проверкой владения доменом, проверка организации в данном случае мне не нужна. Чтобы пройти проверку домена, нужно принять письмо с кодом на один из административных ящиков вашего домена (admin@. postmaster@.. И другие). Письмо выглядит примерно так:

Переходим по ссылке, вставляем код:

Дальше можно просто закрыть окно:

Выполняйте действия в одном браузере, желательно в IE (его советуют в большинстве случаев, но в хроме у меня все тоже работало). После проверки домена сертификат должен прийти к вам на почту в архиве, распакуйте его и установите на сервере. Чтобы экспортировать сертификат, не забывайте включить в него закрытый ключ, придумав для защиты сложный пароль. Расширение экспортируемого файла сертификата должно быть .pfx.

Илон Маск рекомендует:  Что такое код pdf_set_text_matrix

Подготовка данных для заказа SSL

Создание электронного адреса

Перед заказом SSL-сертификата нужно создать адрес электронной почты для получения проверочного запроса от Удостоверяющего центра (УЦ). Адрес электронной почты должен принимать одно из следующих значений:

admin@[имя_домена]
administrator@[имя_домена]
hostmaster@[имя_домена]
postmaster@[имя_домена]
webmaster@[имя_домена]

Значение [имя_домена] — это домен, для которого заказывается сертификат. Оно также соответствует полю «Common Name» (CN), указанному в CSR, если запрос на получение сертификата вы генерируете самостоятельно на веб-сервере.

В случае, если сертификат заказывается для поддомена, в e-mail допускается использовать домен второго уровня. Например, при заказе сертификата для домена www.test.ru можно использовать любой из адресов: admin@www.test.ru или admin@test.ru.

Генерация запроса CSR на получение сертификата (для OV и EV сертификатов)

CSR (Certificate Signing Request) — это запрос на получение сертификата, который представляет собой текстовый файл, содержащий в закодированном виде информацию об администраторе домена и открытый ключ.

CSR вы можете сгенерировать одним из способов:

1. В процессе заказа SSL-сертификата — CSR генерируется автоматически и сразу доступен для скачивания на компьютер.

2. Самостоятельно на стороне вашего веб-сервера. В этом случае вам нужно вручную заполнить информацию для выпуска сертификата.

При генерации CSR на стороне сервера необходимо заполнить латинскими символами следующие поля:

  1. Имя сервера (Common Name) — полностью определенное доменное имя, например, «www.nic.ru». Если Вы генерируете CSR для wildcard сертификата, то в поле CN должна быть указана запись вида *.domain.com. Символ звездочки (*) позволяет использовать сертификат для любого количества поддоменов одного уровня на неограниченном количестве серверов. При этом будут покрываться только поддомены того уровня, на котором стоит символ *.
  2. Название страны (Country Name) — двухбуквенный код страны, для РФ — «RU»
  3. Область (State or Province Name) — регион, например, «Moscow»
  4. Город или населенный пункт (Locality Name)
  5. Название организации или ФИО физического лица (Organization Name)

Рекомендации по заполнению полей при генерации CSR:

  1. При заказе сертификата Thawte SSL123 или Geotrust Rapid Wildcard в поле Organization Name могут быть указаны данные Администратора домена из сервиса Whois, либо другого лица или компании, для которых выпускается сертификат.
  2. При заказе других сертификатов в поле Organization Name необходимо указать название организации, на которую выпускается сертификат, без кавычек на латинице соответственно Свидетельству о регистрации юридического лица.

Генерация запроса на получение сертификата для Microsoft IIS

При создании CSR для веб-сервера Microsoft IIS мы рекомендуем сделать это на самом веб-сервере, чтобы в дальнейшем избежать проблем с установкой SSL-сертификата.

CSR также можно сгенерировать вместе с закрытым ключом на стороне сервера, где будет устанавливаться сертификат.

Как вручную установить сертификат SSL на сервер IIS 10

После того как ваш запрос будет одобрен, вы сможете скачать сертификат из диспетчера SSL и установить его на сервере IIS 10.

Скопируйте файлы сертификата на сервер

  1. Найдите на сервере папку, в которой хранятся файлы сертификатов и ключей, и загрузите в нее промежуточный сертификат (с названием вида gd_iis_intermediates.p7b ) и основной сертификат (файл в формате .crt со случайным названием).

Добавьте оснастку сертификата в консоли управления Microsoft (MMC)

  1. Откройте меню Start (Пуск) и нажмите Run (Выполнить).
  2. Введите mmc в строке и нажмите ОК.
  3. В меню File (Файл) выберите Add/Remove Snap-in (Добавить или удалить оснастку).
  4. В открывшемся окне нажмите кнопку Add (Добавить).
  5. Нажмите Certificates (Сертификаты), а затем Add (Добавить).
  6. Выберите Computer account (Учетной записи компьютера) и нажмите Next (Далее).
  7. Нажмите Local computer (Локальный компьютер), а затем Finish (Готово).
  8. В окне Add Standalone Snap-in (Добавить изолированную оснастку) нажмите Close (Закрыть).
  9. В окне Add/Remove Snap-in (Добавить или удалить оснастку) нажмите ОК.

Импортируйте промежуточный сертификат SSL

  1. В консоли MMC нажмите , чтобы открыть раздел Certificates (Local Computer) (Сертификаты (локальный компьютер)).
  2. Нажмите правой кнопкой мыши на папку Intermediate Certification Authorities (Промежуточные центры сертификации). Наведите указатель мыши на пункт All Tasks (Все задачи) и выберите Import (Импорт).
  3. В открывшемся окне нажмите Next (Далее).
  4. Выберите Browse (Обзор). Найдите файл загруженного промежуточного сертификата и нажмите Open (Открыть).
  5. Нажмите Next (Далее). Проверьте данные сертификата и выберите Finish (Готово).
  6. Закройте уведомление об успешном импорте.

Установите сертификат SSL

  1. Откройте меню Start (Пуск) и нажмите Run (Выполнить).
  2. Введите inetmgr в строке и нажмите ОК, чтобы запустить диспетчер служб IIS.
  3. На панели Connections (Подключения) слева выберите свой сервер.
  4. На главной панели дважды нажмите на пункт Server Certificates (Сертификаты сервера) в разделе IIS.
  5. На панели Actions (Действия) справа выберите Complete Certificate Request (Запрос установки сертификатов).
  6. В появившемся окне нажмите . Найдите файл загруженного основного сертификата и выберите Open (Открыть).
  7. Добавьте понятное имя, по которому будет легко находить сертификат.
  8. В качестве хранилища для сертификата выберите Web Hosting (Веб-хостинг) и нажмите ОК.

Привяжите сертификат SSL

  1. На панели Connections (Подключения) слева нажмите , чтобы открыть папку Sites (Сайты).
  2. Выберите веб-сайт, на который вы хотите установить сертификат SSL.
  3. На панели Actions (Действия) справа найдите раздел Edit Site (Изменение веб-сайта) и выберите Bindings (Привязки).
  4. В открывшемся окне нажмите Add (Добавить) и заполните необходимые поля:
    • В поле Type (Тип) выберите https.
    • В поле IP Address (IP-адрес) выберите All Unassigned (Все неназначенные).
    • В поле Port (Порт) введите 443.
    • Поле Host name (Имя узла) оставьте пустым.
    • В поле SSL Certificate (Сертификат SSL) выберите недавно установленный сертификат SSL.
  5. Подтвердите действие, нажав ОК. В окне Site Bindings (Привязки сайта) выберите Close (Закрыть).

Перезапустите IIS

  1. На панели Actions (Действия) справа найдите раздел Manage Site (Управление веб-сайтом) и выберите Restart (Перезапустить).

Что дальше


  • Чтобы убедиться, что сертификат SSL установлен, воспользуйтесь нашим инструментом проверки.

Статьи по теме

Примечание. Для вашего удобства мы предоставляем инструкции по использованию некоторых сторонних продуктов. Но это не означает, что мы их рекомендуем. GoDaddy не оказывает поддержку по этим продуктам, а также не несет ответственности за их работу. Товарные знаки и логотипы третьих сторон являются зарегистрированными торговыми марками их владельцев. Все права защищены.

Iis получение сертификата сервера

IIS 8 – это встроенный веб-сервер, доступный на VPS на ОС Windows, который позволяет располагать сайты в сети Интернет, оперировать большим количеством стеком протоколов, создавать собственный файл-сервер и многое другое.

Администрирование веб-сервером осуществляется как из приложения рабочего стола (оптимально для новичков), так и из консоли (подойдет опытным сисадминам). Установка этого свидетельства на сервер не только защитит ваши данные, но и повысит уровень доверия клиентов.

Как работать с панелью управления

После покупки SSL-сертификата через панель управления установите полученные сертификаты .CRT и .CA на сервер. Файлы для его установки расположатся в панели управления (меню SSL):

Схема установки сертификата Центра Сертификации (.CA) на IIS

1. Откройте командную строку (Win+R) и введите в ней mmc, чтобы открыть Корень консоли (Microsoft Management Console).

2. В новом окне Консоль1 (Console1) запустите меню Файл (File) и отметьте пункт Добавить или удалить оснастку (Add/Remove Snap-in).

3. В левой части открывшегося окна отметьте пункт Сертификаты (Certificates) и нажмите Добавить (Add).

4. Откроется оснастка диспетчера сертификатов (Certificates Snap-in) — выберите пункт Учетной записи компьютера (Computer Account).

5. Отметьте Локальный компьютер (Local Computer) во вкладке Выбор компьютера (Select Computer) и нажмите Готово (Finish).

6. Закройте оснастку Add or Remove Snap-in (кнопка ОК).

7. В этой же Консоли 1 (Console 1) отметьте пункт Промежуточные центры сертификации (Intermediate Certification Authorities), щелкните по нему правой кнопкой мыши — Все задачи (All tasks) — Импорт (Import).

8. Откроется окно — нажмите в нем Далее (Next). Выберите загруженный из панели управления 1cloud.ru файл .CA-сертификата и нажмите Открыть (Open).

9. В следующей вкладке отметьте Поместить все сертификаты в следующее хранилище (Place all certificates in the following store), нажмите Обзор (Browse) и выберите директорию Промежуточные центры сертификации (Intermediate Certification Authorities).

10. Нажмите OK и завершите Мастер импорта сертификатов.

11. Закройте Консоль 1 (Console 1), на запрос о сохранении изменений ответьте НЕТ.

Как установить SSL-сертификат сайта (.CRT) на IIS 8

1. Включите Диспетчер Серверов (Server Manager).

2. В меню Средства (Tools) отметьте Диспетчер служб IIS (Internet Information Services Manager).

3. В меню Подключения (Connections) в левой части нового окна выберите сервер, для которого вы ранее генерировали CSR-запрос на подпись сертификата.

Внимание: CSR (Code Signing Request) — это запрос на выдачу SSL-сертификата.

4. В центральной части окна откройте меню Сертификаты Сервера (Server Certificates).

5. Для файла .CRT проведите такие мероприятия:

В панели Действия (Actions) в правой части окна отметьте пункт Запрос установки сертификатов (Complete Certificate Request).

В новом окне заполните поля:

-Имя файла, содержащего ответ центра сертификации (File name containing the certificate authority’s response): выберите расположение полученного от центра сертификации файла SSL-сертификата (.crt) и нажмите Открыть (Open).

Илон Маск рекомендует:  Основы jquery ui

— В поле Понятное имя (Friendly Name) введите уникальное значение имени SSL-сертификата.

— Хранилище сертификатов для нового сертификата (Select a certificate store for the new certificate): выберите Личный (Personal).

Внимание: Для сертификатов Wildcard (сертификата для домена и его поддоменов) укажите имя, соответствующее значению Common Name, из SSL-сертификата. (напр., *.mydomain.com).

6. Для сертификата .PFX необходимо:

— В панели Действия (Actions) в правой части отметить пункт Импортировать (Import).

— В открывшемся окне ввести путь до сертификата и пароль для защиты вашего сертификата из панели управления, выбрать хранилище.

7. Меры для файлов .CRT и .PFX

В меню Подключения (Connections) в левой части окна Диспетчера IIS отметьте сервер, для которого был установлен SSL-сертификат. В раскрывающемся списке сайтов на сервере выберите сайт, который нужно защитить с помощью SSL-сертификата (выполните Привязку (Binding)). В панели Действия (Actions) в правой части окна отметьте Привязки (Bindings).

8. В новом окне нажмите Добавить (Add), и заполните поля:

Внимание: для привязки Wildcard-сертификата следует отдельно привязать каждый поддомен (напр., www.mydomain.com, subdomain.mydomain.com)

IP-адрес (IP address): все неназначенные или IP адрес сервера, где расположен веб-сайт;

Имя узла (Hostname): доменное имя, для которого выпущен сертификат (напр., www.mydomain.com);

SSL-сертификат (SSL certificate): отметьте загруженный из панели файл .CRT-сертификата.

9. В панели Управление веб-сайтом (Manage Web-Site) в правой части окна Диспетчера IIS нажмите Перезапустить (Restart), чтобы завершить установку сертификата.

На этом установка SSL-сертификата на веб-сервер IIS 8 завершена!

Как установить сертификат на WIndows Server (IIS 7.x)

Как установить сертификат на WIndows Server (IIS 7.x)

Добавляем сертификат на сервер.

Для того, чтобы загрузить сертификат перейдите в Диспетчер серверов ( “Пуск” — “Администрирование” — “Диспетчер серверов” ).

Затем откройте “Диспетчер служб IIS” (“Средства” — “Диспетчер служб IIS”) и кликните на “Сертификаты сервера”.

Далее способ установки зависит от того где вы генерировали CSR:

Сертификат загружен. В обоих вариантах, после добавления файла, сертификат будет доступен в разделе “Сертификаты сервера”. Осталось настроить доменное имя.

Подключение SSL-сертификата на домен.

Переходим в настройки сайта. В меню “Подключения” выберете сайт и кликните на пункт “Привязки”.

В открывшемся окне нажимаем “Добавить” и заполняем информацию:

Установка SSL-сертификата на IIS 8

Что это такое?

IIS 8 — встроенный веб-сервер доступный на VPS Windows, с помощью которого вы можете располагать сайты в сети Интернет, работать с большим стеком протоколов, создать собственный файл-сервер и использовать многие другие возможности продукта. Управление возможно как из приложения рабочего стола — для новичков, так и из консоли — для опытных системных администраторов. Установка данного свидетельства на сервер позволит защитить ваши данные и повысит уровень доверия клиентов. В нашей инструкции мы подробно рассмотрим этот процесс.

Работа с панелью управления

После заказа SSL-сертификата через панель управления Serverpace.by, необходимо установить полученные сертификаты .CRT и .CA на сервер

После успешного заказа SSL-сертификата файлы для его установки появятся в панели управления Serverspace.by (меню SSL):

Установка сертификата Центра Сертификации (.CA) на IIS 8

Шаг 1

Откройте командную строку (Win+R) и наберите в ней mmc для открытия Корня консоли (Microsoft Management Console).

Шаг 2

В открывшемся окне Консоль1 (Console1), откройте меню Файл (File) и выберите пункт Добавить или удалить оснастку (Add/Remove Snap-in):

Шаг 3

В левой части открывшегося окна выберите пункт Сертификаты (Certificates) и нажмите кнопку Добавить (Add) по центру экрана:

Шаг 4

В открывшейся Оснастке диспетчера сертификатов (Certificates Snap-in) выберите пункт Учетной записи компьютера (Computer Account).

Шаг 5

Во вкладке Выбор компьютера (Select Computer) выберите Локальный компьютер (Local Computer) и нажмите Готово (Finish).

Шаг 6

Закройте оснастку Add or Remove Snap-in нажатием кнопки ОК.

Шаг 7

В той же Консоли 1 (Console 1) выберите пункт Промежуточные центры сертификации (Intermediate Certification Authorities), кликните на него правой кнопкой мыши — Все задачи (All tasks) — Импорт (Import):

Шаг 8

В открывшемся окне нажмите Далее (Next). Выберите загруженный из панели управления Serverpsace.by файл .CA-сертификата и нажмите Открыть (Open):

Шаг 9

В следующей вкладке выберите Поместить все сертификаты в следующее хранилище (Place all certificates in the following store), нажмите Обзор (Browse) и выберите директорию Промежуточные центры сертификации (Intermediate Certification Authorities).

Шаг 10

Нажмите OK и завершите Мастер импорта сертификатов.

Шаг 11

Закройте Консоль 1 (Console 1), ответив Нет на запрос о сохранении изменений:

Установка SSL-сертификата сайта (.CRT) на IIS 8

Шаг 1

Запустите Диспетчер Серверов (Server Manager).

Шаг 2

В меню Средства (Tools) выберите Диспетчер служб IIS (Internet Information Services Manager).

Шаг 3

В меню Подключения (Connections) в левой части открывшегося окна выберите сервер, для которого вы ранее генерировали CSR-запрос на подпись сертификата.

Примечание: CSR — Code Signing Request, запрос на выдачу SSL-сертификата.

Шаг 4

В центральной части окна откройте меню Сертификаты Сервера (Server Certificates).

Шаг 5. Для файла .CRT выполните следующие действия:

В панели Действия (Actions) в правой части окна выберите пункт Запрос установки сертификатов (Complete Certificate Request):

В открывшемся окне заполните поля:

Примечание: Для сертификатов Wildcard (сертификата для домена и его поддоменов) укажите имя, соответствующее значению Common Name, из SSL-сертификата. (напр., *.mydomain.com).

  • Имя файла, содержащего ответ центра сертификации (File name containing the certificate authority’s response): выберите расположение полученного от центра сертификации файла SSL-сертификата (.crt) и нажмите Открыть (Open).
  • В поле Понятное имя (Friendly Name) введите уникальное значение имени SSL-сертификата.
  • Выбрать хранилище сертификатов для нового сертификата (Select a certificate store for the new certificate): выберите Личный (Personal):

Шаг 6. Для сертификата .PFX выполните следующие действия:

В панели Действия (Actions) в правой части найдите пункт Импортировать (Import).

В открывшемся окне введите путь до сертификата и пароль защищающий ваш сертификат из панели управления, выберете хранилище:

Шаг 7. Действия для файлов .CRT и .PFX

В меню Подключения (Connections) в левой части окна Диспетчера IIS выберите сервер, для которого только что установили SSL-сертификат. Раскройте список сайтов на сервере и выберите сайт, который вы хотите защитить с помощью SSL-сертификата (эта процедура называется Привязка (Binding)). В панели Действия (Actions) в правой части окна выберите Привязки (Bindings):

Шаг 8

В открывшемся окне нажмите Добавить (Add), и заполните необходимые поля:

Примечение: для привязки Wildcard сертификата необходимо отдельно привязать каждый поддомен (напр., www.mydomain.com, subdomain.mydomain.com)

  • Тип (Type): https;
  • IP-адрес (IP address): все неназначенные или IP адрес сервера, на котором расположен веб-сайт;
  • Имя узла (Hostname): укажите доменное имя, для которого выпущен сертификат (напр., www.mydomain.com);
  • Порт (Port): 443;
  • SSL-сертификат (SSL certificate): выберите загруженный из панели Serverspace.by файл .CRT-сертификата.

Шаг 9

В панели Управление веб-сайтом (Manage Web-Site) в правой части окна Диспетчера IIS нажмите Перезапустить (Restart) для завершения процесса установки сертификата.

Установка SSL сертификата: Microsoft IIS 7.x

Установка на веб-сервере

1. Через кнопку Пуск и Панель управления откройте Internet Information Services Manager (IISM) и выберите имя соответствующего сервера.

2. Выберите раздел “Security” , далее нажмите на иконку “Server Certificates” .

3. Перейдите в раздел “Actions” и выберите пункт “Complete Certificate Request” .

4. Перейдите к оформлению запроса по установке сертификата: введите необходимую информацию – укажите путь к полученному сертификату и введите его имя. Имя сертификата не является его частью, но его использует администратор сервера, чтобы быстро различать сертификаты. Нажмите “ОК” .

Примечание: Microsoft IIS 7.x может выдать сообщение об ошибке следующего содержания: «Cannot find the certificate request associated with this certificate file. A certificate request must be completed on the computer where it was created» – не удается найти соответствующий сертификат. Также можно получить сообщение, начинающееся «ASN1 bad tag value met». Если Вы производите установку сертификата на том же сервере, где генерировали CSR, скорее всего сертификат уже установлен. Просто отмените диалог и нажмите F5, чтобы обновить список сертификатов сервера. Если новый сертификат появился в списке, можно перейти к следующему шагу. Если он отсутствует в списке, придется повторно выпустить сертификат, используя новый запрос CSR.

Установка на веб-сайте

1. Вернитесь в главное диалоговое окно Internet Information Services Manager (IISM) и перейдите в раздел «Connections» и выберите имя сервера, на который только что установили сертификат.

2. В меню Web Sites выберите имя сайта, который хотите защитить с помощью SSL сертификата. Справа в меню «Actions» (подпункт “Edit Site” ) выберите пункт “Bindings” .

3. Теперь добавьте порт 443.

Для этого нужно нажать кнопку “Add” , в результате чего откроется диалоговое окно “Add Site Binding” .

В меню «Type» выберите тип протокола https . В строке IP адрес следует выбрать IP address of the site или All Unassigned . Для соединений, защищенных SSL шифрованием, всегда используется порт 443 . В поле “SSL Certificate” укажите установленный сертификат.

Сохраните изменения, нажав кнопку “OK” .

Примечание: Если в этом окне уже присутствует портал https, просто выберите его и нажмите “Edit”. После этого в окне “SSL certificate” выберите ранее сгенерированное имя сертификата. Сохраните изменения кнопкой “OK”.

Нажмите “OK” в окне “Web Site Bindings” чтобы завершить установку.

Важно! Чтобы завершить установку сертификата, необходимо перезагрузить IIS/веб-сайт.

Понравилась статья? Поделиться с друзьями:
Кодинг, CSS и SQL