Назад | Перейти на главную страницу

Что на самом деле происходит, когда я использую IIS для создания сертификата SSL, особенно во время операции импорта? Это единственный способ?

Я получил базовое представление о парах открытого и закрытого ключей, но не знаю, каков внутренний механизм того, что IIS делает при генерации ключа SSL.

Одна вещь, которая заставляет меня думать, что под капотом скрывается нечто большее, чем просто обмен PKI, заключается в том, что существуют такие инструменты, как OpenSSL, которые копаются в веб-серверах и предоставляют различные возможности шифрования. Эти возможности, по-видимому, основаны на некоторой комбинации платформы, веб-сервера и лица, подписывающего сертификат.

Еще одна вещь, которую я на самом деле не понял, - это содержимое ключа, который Verisign / Comodo / etc отправит мне после создания сертификата. Каковы последствия для безопасности этого электронного письма, или я могу просто удалить его, поскольку ключ, который имеет значение, должен быть экспортирован с сервера IIS.

Наконец, это единственный способ получить сертификат SSL для веб-сайта, чтобы использовать панель управления IIS для создания пары ключей.

Для сторонних центров сертификации, таких как Verisign, вы отправляете им запрос на подпись сертификата. Машина, сгенерировавшая CSR, также сгенерировала закрытый ключ. Когда они его подписывают, полученный вами файл работает только вместе с закрытым ключом. Это электронное письмо не является критически важным.

Базовая криптографическая платформа веб-сервера определяет, какие хеши, длины ключей и возможности он может поддерживать. OpenSSL - одна платформа, инфраструктура PKI Microsoft управляет IIS - другая.

Для IIS7 (который находится в Windows 2008) существует другой способ обработки процесса получения сертификата. Я опишу, как это работает для стороннего центра сертификации.

  1. Пуск -> Выполнить -> MMC
  2. Перейдите в Файл -> Добавить / удалить оснастку.
  3. Добавьте оснастку «Сертификаты»
  4. При появлении запроса выберите «Учетная запись компьютера» на локальном компьютере.
  5. ОК обратно на главный экран менеджера
  6. Разверните сертификаты и разверните «Личные» (если у вас уже есть сертификаты SSL в IIS, вы найдете их здесь)
  7. Щелкните правой кнопкой мыши «Личные» -> Все задачи -> Дополнительно -> Создать собственный запрос.
  8. Нажмите «Далее», затем «Продолжить без политики регистрации».
  9. Не используйте шаблон
  10. Разверните Подробности и щелкните Свойства.
  11. На вкладке Общие введите понятное имя сертификата.
  12. На вкладке «Тема» вы вводите свое доменное имя. Формат этого поля может быть критичным для некоторых центров сертификации, поэтому убедитесь, что вы правильно его настроили.
  13. На вкладке «Закрытый ключ» в разделе «Параметры ключа» вы можете установить длину ключа, а также указать, можно ли его экспортировать.
  14. Когда закончите, нажмите ОК.
  15. Затем Next, который должен сгенерировать CSR. Сохраните его где-нибудь. Отправьте его в центр сертификации.

Чтобы импортировать сертификат:

  1. Щелкните правой кнопкой мыши личные сертификаты
  2. Выберите Свойства -> Все задачи -> Импортировать сертификат.
  3. Перейдите к сертификату, полученному от ЦС.