Получение сертификата для тестового сайта
Так как рассматриваемый сайт осуществляет сбор имен, адресов и другой личной информации, следует применить шифрование интернет-трафика. Кроме того, подлинность сайта в интернете будет доказываться сертификатом, за счет чего пользователи будут относиться к сайту с большим доверием. Для тестового сайта подойдет "доморощенный" сертификат. Для основного функционирующего сайта потребуется коммерческий сертификат.
Как говорилось в лекции 10 курса "Администрирование web-серверов в IIS", свое собственное бюро сертификатов (CA) рекомендуется сделать автономным корневым бюро сертификатов, после чего делегировать сертификат подчиненному CA. Затем можно использовать подчиненное бюро сертификатов для выпуска сертификатов без опасности проникновения злоумышленника во всю систему сертификации. Так как рассматриваемый сертификат предназначается для тестового сайта, который не будет отображаться конечным пользователям, нам проще создать CA и выпустить с его помощью сертификат. По-прежнему рекомендуется выпускать сертификат с другого компьютера. Кроме всего прочего, мы используем тестовый сертификат лишь для того, чтобы убедиться в корректной настройке кода SSL.
Получение и установка тестового сертификата состоит из трех шагов.
- Запрос сертификата в IIS MMC.
- Создание запроса на сертификат, генерация сертификата в CA MMC и экспорт сертификата.
- Обработка запроса и установка экспортированного сертификата обратно в IIS MMC.
Запрос на сертификат осуществляется следующим образом.
- Установите Certificate Services (Службы сертификатов) на другой компьютер.
- Откройте окно Properties (Свойства) для тестового веб-сайта.
- На вкладке Directory Security (Безопасность каталога) нажмите на кнопку Server Certificate (Сертификат сервера).
- Отобразится мастер сертификата веб-сервера (Web Server Certificate Wizard). Нажмите на кнопку Next (Далее).
- Выберите создание нового сертификата, после чего нажмите на Next (Далее).
- Выберите опцию Prepare The Request Now, But Send It Later (Подготовить запрос сейчас, но отправить его позже) и нажмите на Next (Далее).
- Введите имя сертификата: beer-brewers.com test site.
- Выберите число бит; в нашем случае достаточно 1024.
- Нажмите на кнопку Next (Далее).
- Введите название организации: beer-brewers.com.
- Отдел организации относится к тем организациям, в которых имеется несколько отделов или подразделений. В нашем случае просто укажите beer-brewers.com.
- Нажмите на кнопку Next (Далее).
- Общее имя является важным параметром, оно представляет собой имя DNS сайта. Поэтому для нашего сайта мы будем использовать имя test.beer-brewers.com.
- Нажмите на кнопку Next (Далее).
- Выберите Country/Region (Страна/регион), State/Province (Штат/область) и City/Locality (Город/Район). Сокращения здесь использовать не следует.
- Нажмите на кнопку Next (Далее).
- Укажите имя для запроса на сертификат. Запомните это имя и расположение; файл запроса понадобится нам в следующем разделе.
- Нажмите на кнопку Next (Далее) дважды.
- Нажмите на кнопку Finish (Готово).
После создания запроса на сертификат можно выпустить сам сертификат.
- Откройте консоль MMC Certification Authority (Бюро сертификатов).
- Выделите имя CA, после чего выберите Action\All Tasks\Submit New Request (Действие\Все задачи\Отправить новый запрос).
- Перейдите к расположению запроса на сертификат. Если он расположен на компьютере, не доступном через сеть, придется скопировать запрос на гибкий диск и перенести его на этот компьютер.
- Выделите файл и нажмите на кнопку Open (Открыть).
- Запрос на сертификат теперь расположен в папке Pending Requests. Далее необходимо выпустить сертификат. Выделите запрос в папке Pending Requests, после чего выберите команду Action\All Tasks\Issue (Действие\Все задачи\Выпустить).
- После этого сертификат будет перемещен в папку Issued Certificates (папка изданных сертификатов). Теперь сертификат можно экспортировать для отправки на веб-сервер. Выделите сертификат в папке Issued Certificates и выполните команду Action\All Tasks\Export Binary Data (Действие\Все задачи\Экспорт двоичных данных).
- Выберите экспорт Binary Certificate (Двоичный сертификат) и сохраните двоичные данные в файле.
- Нажмите на кнопку OK.
- Выберите имя для данного сертификата. Запомните имя и расположение; этот файл понадобится в следующем разделе. Рекомендуется использовать расширение .cer.
Теперь можно вернуться в IIS и обработать запрос для использования.
- В консоли MMC запустите мастер сертификатов веб-сервера (Web Server Certificate Wizard).
- Нажмите на кнопку Next (Далее).
- Выберите обработку запроса в ожидании, после чего нажмите на кнопку Next (Далее).
- Выберите файл сертификата, после чего нажмите на кнопку Next (Далее).
- Выберите порт SSL, используемый для данного сертификата. Значение по умолчанию 443 нам подойдет. Нажмите на кнопку Next (Далее).
- Нажмите на Next (Далее), после чего нажмите на кнопку Finish (Готово).
Теперь у нас есть полностью установленный сертификат тестового сайта, и его можно использовать при тестировании кода. По окончании работы не забудьте удалить как файл запроса, так и экспортированный файл сертификата. Заполучив эти файлы, кто-то сможет осуществить несанкционированный доступ к сертификату.