Как создать самозаверяющий подстановочный SSL-сертификат для IIS 6?

Question

Я пытаюсь создать самозаверяющий подстановочный SSL-сертификат для использования на ряде серверов разработки и тестирования, работающих под управлением IIS 6. Следование различным инструкциям привело к нескольким способам создания сертификатов, но у меня не было любая удача заставить его работать. Наиболее успешные способы, которыми я пользовался, были следующие: это руководство по OpenSSL и использование makecert.exe примерно так:

makecert.exe -r -b 01/01/2009 -e 01/01/2042 -sr LocalMachine -ss MY -a sha1 -n CN="*.example.com" -sky exchange -pe -eku 1.3.6.1.5.5.7.3.1 -sy 12 -sp "Microsoft RSA SChannel Cryptographic Provider" wildcard.cer

Оба они генерируют сертификаты, которые IIS 6 примет, но когда я на самом деле пытаюсь просмотреть сайт, я получаю следующую ошибку в Firefox:

Передача данных прервана

Соединение с dev.example.com было прервано во время загрузки страницы.

IE просто дает:

Internet Explorer не может отобразить веб-страницу

Наиболее вероятные причины:

• Вы не подключены к Интернету.
• Сайт сталкивается с проблемами.
• В адресе может быть ошибка ввода.

Эта ошибка возникает, пытаюсь ли я получить к ней доступ по имени домена, имени машины, локальному хосту, локальному ip или петлевому ip.

Итак ... как создать самоподписанный сертификат с подстановочными знаками, с которым будет работать IIS 6? Или как я могу исправить проблемы, которые у меня возникают с теми, которые я уже создал?

Answer 1

Вы можете использовать IIS 6 Resource Kit, предоставляемый MS, приложением командной строки под названием SelfSSL. Он может генерировать ключ SSL и импортировать его в вашу установку IIS.

IIS 6 Resource Kit

Answer 2

вы можете сделать подстановочный сертификат с * .domain.local и несколькими протоколами ssl, используя c: \ inetpub \ adminscripts adsutil.vbs set w3svc [siteid] \ SecureBindings ": 443: name.domain.local"

Answer 3

Мы обнаружили, что Центру сертификации не доверяют из-за настроек домена, и это вызывает ошибки. В итоге мы развернули звездный сертификат, сгенерированный доверенным центром сертификации, и это устранило проблемы.

Answer 4

Для IIS 7 - есть wzard для этого. Установка занимает около 30 секунд.

Для IIS 6 - это немного сложнее. Установка занимает около 30 минут.

Какой из них вы используете?

Я настоятельно рекомендую перейти на IIS 7 - сначала он очень чужд, но в него внесено множество улучшений.

Учитывая, что вы, вероятно, не можете перейти на IIS 7, мне пришлось сделать следующее, чтобы реализовать то, что вы хотите в IIS 6.

1) создать сервер сертификатов 2) сформировать запрос 3) запрос на грант 4) установить сертификат

Немного сложно настроить сервер центра сертификации, но он поставляется с Windows Server, и пошаговое руководство довольно простое.

Answer 5

Понимаете ли вы, что вам нужно будет перейти с "example.com" на что-то более подходящее вашей ситуации (во время тестирования может быть "localhost").