Internet Information Service (IIS) 5.0 Użycie certyfikatów niekwalifikowanych w oprogramowaniu Microsoft IIS 5.0 PL wersja 1.2
Spis treści 1. CERTYFIKATY DLA ADRESÓW JEDNOZNACZNYCH... 3 1.1. GENEROWANIE WNIOSKU O CERTYFIKAT (CSR)... 3 1.2. TWORZENIE CERTYFIKATU NA PODSTAWIE UTWORZONEGO ŻĄDANIA (CSR)... 8 1.3. POBIERANIE I INSTALOWANIE CERTYFIKATU NA SERWERZE... 8 1.4. POBIERANIE CERTYFIKATÓW POŚREDNICH...12 1.5. IMPORT CERTYFIKATÓW POŚREDNICH...12 2. KONFIGUROWANIE SERWERA IIS DO POŁĄCZEŃ HTTPS...16 3. TWORZENIE KOPII ZAPASOWEJ CERTYFIKATÓW SERWERA...17 4. IMPORTOWANIE CERTYFIKATÓW Z KOPII ZAPASOWEJ...23 5. UWIERZYTELNIANIE KLIENTA DO SERWERA PRZY UŻYCIU CERTYFIKATU...30 6. CERTYFIKATY DLA ADRESÓW WIELOZNACZNYCH...39 6.1. GENEROWANIE KLUCZY...39 6.2. TWORZENIE CERTYFIKATU NA PODSTAWIE UTWORZONEGO ŻĄDANIA (CSR)...40 6.3. TWORZENIE PACZKI P12 Z KLUCZA PRYWATNEGO I CERTYFIKATU...40 6.4. INSTALOWANIE CERTYFIKATU NA SERWERZE...41
1. Certyfikaty dla adresów jednoznacznych 1.1. Generowanie wniosku o certyfikat (CSR) Uruchamiamy Internet Information Services: 1. Start -> Wszystkie programy -> Narzędzia administracyjne -> Internetowe usługi informacyjne lub 2. Panelu Sterowania -> Narzędzia administracyjne -> Internetowe usługi informacyjne Klikamy prawym przyciskiem myszki na naszą witrynę, po czym wybieramy Właściwości: Z okna Właściwo ści wybieram y zakładkę Zabezpiec zenia katalogów i klikamy na Certyfikat serwera... : Internet Information Service (IIS) 5.0PL Certyfikaty dla adresów jednoznacznych 3
W ten sposób uruchomimy kreatora, który poprowadzi nas przez proces generowania żądania CSR: Zaznaczamy opcję Utwórz nowy certyfikat: Internet Information Service (IIS) 5.0PL Certyfikaty dla adresów jednoznacznych 4
Zostawiamy domyślną opcję: Teraz wprowadzimy nazwę dla naszego Certyfikatu oraz wybierzemy długość klucza (2048 bity to wartość wystarczająca). Resztę pozostawiamy bez zmian: Internet Information Service (IIS) 5.0PL Certyfikaty dla adresów jednoznacznych 5
Wpisujemy unikalną nazwę i oddział firmy(organizacji). UWAGA: Używanie znaków specjalnych % ^ $ _ lub polskich znaków diakrytycznych: ŻźćąŁ przy podawaniu tych informacji spowoduje nieprawidłowe wygenerowanie certyfikatu!!! Teraz wprowadzamy nazwę pospolitą swojego serwera: Internet Information Service (IIS) 5.0PL Certyfikaty dla adresów jednoznacznych 6
Następnie wybieramy lokalizację dla pliku z żądaniem CSR: Klikamy Zakończ, aby zakończyć generowanie żądania CSR: Internet Information Service (IIS) 5.0PL Certyfikaty dla adresów jednoznacznych 7
1.2. Tworzenie certyfikatu na podstawie utworzonego żądania (CSR) -----BEGIN NEW CERTIFICATE REQUEST----- MIIDMDCCApkCAQAwgZoxGzAZBgNVBAMTEmRsdWJhY3oudW5pemV0by5wbDEhMB8G A1UECxMYRHppYWwgT2Nocm9ueSBJbmZvcm1hY2ppMRswGQYDVQQKExJVbml6ZXRv IFNwLiB6IG8uby4xETAPBgNVBAcTCFN6Y3plY2luMRswGQYDVQQIExJaYWNob2Ru aw9wb21vcnnrawuxczajbgnvbaytalbmmigfma0gcsqgsib3dqebaquaa4gnadcb iqkbgqc8jvrqrpbltozyvmjfxcef5picylmqv6z2al0j2gmoekbccyzf1khodsww 0ZF54FrTZhyKwYqfgiHO5duLfJSBqb/PTzovZH9qXUtxl+zQIhcJnA4Z/jKyWHGl X7LUlC9u2bas/vWwQZWYvxeqNMW4RZ+LU9Qqm9b/YD2qtOZ2qwIDAQABoIIBUzAa BgorBgEEAYI3DQIDMQwWCjUuMC4yMTk1LjIwNQYKKwYBBAGCNwIBDjEnMCUwDgYD VR0PAQH/BAQDAgTwMBMGA1UdJQQMMAoGCCsGAQUFBwMBMIH9BgorBgEEAYI3DQIC MYHuMIHrAgEBHloATQBpAGMAcgBvAHMAbwBmAHQAIABSAFMAQQAgAFMAQwBoAGEA bgbuaguabaagaemacgb5ahaadabvagcacgbhahaaaabpagmaiabqahiabwb2agka ZABlAHIDgYkAXxNuAz6gcBaZUdef8WQ2PAroKMW8sprcKv7QD2encz6/Wct9DZ5C kgynlgy0f+lff7visdjqxywaj68ddqgxyaqiilf63kivptic6yxlanx65v3cnkfx 4UrUrGXZtub7M7/NuxSipOW0Vv7yCHganypxDyRzp6IhulEnL4APEH4AAAAAAAAA ADANBgkqhkiG9w0BAQUFAAOBgQAsTG3Hu00fFzNTekFo/fb3tKsmuS/1rCCB5sQK inpwgz8z8+tmqbb0tuz4fptkesqlpwv1orfmxmkpiu10dc3qwrp2e//ompnau807 IJIDwn2VZ7qQ/h0KcWoWSPmvt7J0KKshdGgAF7P6AYc7W4yA9B9nPeyEzQRW0t4D YBApPQ== -----END NEW CERTIFICATE REQUEST----- Mając wygenerowane żądanie wypełniamy formularz zgłoszeniowy i wklejamy CSR na stronie CERTUM. UWAGA: W celu wklejania certyfikatu na stronie należy skopiować fragment tekstu od linii "--BEGIN CERTIFICATE --" do "--END CERTIFICATE--", używając do tego celu edytora tekstowego np. Notepad i myszki. Nie używaj do tej operacji Worda, czy innego procesora tekstowego! 1.3. Pobieranie i instalowanie certyfikatu na serwerze Po wklejeniu na naszych stronach ID (które otrzymaliśmy pocztą elektroniczną) pojawi się okno: Kopiujemy numer certyfikatu, wchodzimy na stronie w Obsługa certyfikatów -> Wyszukaj certyfikat (niekwalifikowany) i w polu Nar. seryjny wpisujemy skopiowany wcześniej numer certyfikatu. Zapisujemy certyfikat binarnie (plik *.cer) lub tekstowo (plik *.pem). UWAGA: W przypadku utraty pliku z certyfikatem, możemy go ponownie pobrać z repozytorium na naszych stronach. Internet Information Service (IIS) 5.0PL Certyfikaty dla adresów jednoznacznych 8
W tym celu na www.certum.pl w zakładce Obsługa certyfikatów -> Wyszukaj certyfikaty (niekwalifikowane) wpisujemy kryteria, wg których chcemy przeszukać repozytorium: Dla interesującego nas certyfikatu wybieramy opcję Zapisz tekstowo (plik *.pem) lub Zapisz binarnie (plik *.cer):...i zapisujemy plik nr_seryjny.pem (lub nr_seryjny.cer): Internet Information Service (IIS) 5.0PL Certyfikaty dla adresów jednoznacznych 9
Aby zainstalować certyfikat na serwerze wchodzimy we właściwości witryny i klikamy na Certyfikat serwera..: Zaznaczamy Przetwarzaj oczekujące żądanie i zainstaluj certyfikat : Internet Information Service (IIS) 5.0PL Certyfikaty dla adresów jednoznacznych 10
Wskazujemy kreatorowi plik, w którym zapisaliśmy certyfikat serwera (możemy także wskazać plik *.cer z certyfikatem naszego serwera): Teraz ujrzymy dane dotyczące serwera, które zapisane są w certyfikacie. Po kliknięciu dalej kreator poinformuje nas o zakończeniu pracy: Certyfikat został zainstalowany na naszym serwerze. UWAGA: Poza naszym certyfikatem trzeba jeszcze pobrać i zainstalować certyfikaty pośrednie (opisane w dalszej części instrukcji). Internet Information Service (IIS) 5.0PL Certyfikaty dla adresów jednoznacznych 11
1.4. Pobieranie certyfikatów pośrednich Aby pobrać certyfikat Certum CA lub certyfikaty pośrednie należy wejść na stronę www.certum.pl do działu Obsługa certyfikatów Zaświadczenia i klucze. Po wybraniu certyfikatu należy wybrać opcję Certyfikat dla serwerów WWW. Wyświetli się interesujący nas certyfikat, który zaznaczymy myszką, wkleimy do pliku i zapiszemy. UWAGA: W celu wklejania do pliku certyfikatu prezentowanego na stronie należy skopiować fragment tekstu od linii "--BEGIN CERTIFICATE --" do "--END CERTIFICATE--", używając do tego celu edytora tekstowego np. Notepad i myszki. Nie należy używać do tej operacji Worda, czy innego procesora tekstowego! W przypadku pobierania certyfikatów pośrednich, wybieramy interesujący nas certyfikat, np. CERTUM Level IV z listy (Certyfikaty Level IV należy pobrać w przypadku, gdy posiadamy certyfikat typu Trusted, certyfikat poziomu III należy pobrać w sytuacji, gdy posiadamy certyfikat typu Enterprise / Wildcard, certyfikat poziomu II należy pobrać w sytuacji, gdy posiadamy certyfikat typu Commercial; dla certyfikatów typu Private pobierany jest certyfikat klasy I). Pozostała część procesu (zapisanie do pliku) przebiega jak dla certyfikatu Certum CA. 1.5. Import certyfikatów pośrednich Konieczne jest utworzenie specjalnej konsoli do administrowania i zarządzania certyfikatami umieszczonymi w bazie certyfikatów komputera (standardowy wizard Windowsa łączy się z rejestrami określonego użytkownika), chyba, że konsola została utworzona już wcześniej-wtedy dostępna jest z menu Narzędzia Administracyjne. W tym celu utworzenia konsoli uruchamiamy z linii komend polecenie mmc: Internet Information Service (IIS) 5.0PL Certyfikaty dla adresów jednoznacznych 12
W otwartej konsoli wybieramy z górnego menu opcję Dodaj/Usuń przystawkę lub wciskamy kombinacje klasiszy ctrl + M: Wybieramy opcję dodaj, po czym przystawkę Certyfikaty: Internet Information Service (IIS) 5.0PL Certyfikaty dla adresów jednoznacznych 13
Zaznaczamy opcję Konto komputera: Zostawiamy domyślne ustawienia (jeśli operacja dotyczy komputera lokalnego): Internet Information Service (IIS) 5.0PL Certyfikaty dla adresów jednoznacznych 14
Wchodzimy do konsoli - opcja Certyfikaty ma teraz opcje podrzędne - po jej otwarciu przechodzimy do wskazanych opcji (Zaufane główne urzędy certyfikacji, Pośrednie urzędy certyfikacji, Zaufane główne urzędy innych firm) i dodajemy certyfikaty pośrednie (najlepiej dodawać wszystkie certyfikaty - Certum CA i Certum Level I-IV do wszystkich magazynów; praktycznie zaś wystarcza dodanie certyfikatów pośrednich do magazynu Pośrednich urzędów certyfikacji). Główny certyfikat(certum CA) i certyfikaty pośrednie(level I-IV) można pobrać ze strony: http://certum.pl/pl/klucze/index.html. Klikając prawym przyciskiem myszy na katalogach Certyfikaty poszczególnych magazynów wybieramy opcję Wszystkie zadania -> Importuj - tu już pojawia się znajomy wizard. Po zakończeniu importu, serwer(nie tylko usługę) należy ponownie uruchomić. Po zaimportowaniu certyfikatu do wskazanych kontenerów IIS uzyskuje informacje, które pozwalają użytkownikowi zbudować pełną ścieżkę certyfikacji (wraz z certyfikatem Certum CA znajdującym się w bazie oprogramowania klienta). Internet Information Service (IIS) 5.0PL Certyfikaty dla adresów jednoznacznych 15
2. Konfigurowanie serwera IIS do połączeń https Aby nasz serwer obsługiwał szyfrowane połączenia należy we właściwościach w zakładce Zabezpieczenia katalogów wybrać pole edytuj...:... i zaznaczyć (jak poniżej) Wymagaj bezpiecznego kanału(ssl) i Wymagaj szyfrowania 128-bitowego. Internet Information Service (IIS) 5.0PL Konfigurowanie serwera IIS do połączeń https 16
Aby sprawdzić czy nasz serwer działa poprawnie, wpisujemy w przeglądarce adres naszego serwera i akceptujemy certyfikat: Na dole Internet Explorera zauważymy charakterystyczną kłódkę symbolizującą, iż nawiązana sesja ma charakter poufny. 3. Tworzenie kopii zapasowej certyfikatów serwera Konieczne jest utworzenie specjalnej konsoli do administrowania i zarządzania certyfikatami umieszczonymi w bazie certyfikatów komputera (standardowy wizard Windowsa łączy się z rejestrami określonego użytkownika), chyba, że konsola została utworzona już wcześniej-wtedy dostępna jest z menu Narzędzia Administracyjne. W tym celu utworzenia konsoli uruchamiamy z linii komend polecenie mmc: Start -> uruchom -> wpisujemy cmd -> wpisujemy mmc Internet Information Service (IIS) 5.0PL Tworzenie kopii zapasowej certyfikatów serwera 17
W otwartej konsoli wybieramy z górnego menu opcję Dodaj/Usuń przystawkę lub wciskamy kombinacje klawiszy ctrl + M: Internet Information Service (IIS) 5.0PL Tworzenie kopii zapasowej certyfikatów serwera 18
Wybieramy opcję dodaj, po czym przystawkę Certyfikaty: Zaznaczamy opcję Konto komputera: Zostawiamy domyślne ustawienia (jeśli operacja dotyczy komputera lokalnego): Internet Information Service (IIS) 5.0PL Tworzenie kopii zapasowej certyfikatów serwera 19
Wybieramy certyfikat, który chcemy wyeksportować w magazynie Osobiste: Otwieramy menu Akcja, wskazujemy polecenie Wszystkie zadania, a następnie klikamy polecenie Eksportuj...: Internet Information Service (IIS) 5.0PL Tworzenie kopii zapasowej certyfikatów serwera 20
W ten sposób uruchomiliśmy kreator eksportowania certyfikatów: W kreatorze menedżera eksportu certyfikatów wybieramy opcję Tak, wyeksportuj klucz prywatny. Ważne: Nie zaznaczamy opcji Usuń klucz prywatny, jeśli eksport się powiedzie, ponieważ w ten sposób uniemożliwimy korzystanie z bieżącego certyfikatu serwera: Internet Information Service (IIS) 5.0PL Tworzenie kopii zapasowej certyfikatów serwera 21
Podajemy hasło dla pliku kopii zapasowej certyfikatu: Podajemy nazwę pliku(postać pliku to paczka pfx zawierają klucz prywatny i certyfikat): Internet Information Service (IIS) 5.0PL Tworzenie kopii zapasowej certyfikatów serwera 22
Kończymy eksportowanie kopii zapasowej certyfikatu serwera za pomocą kreatora. Plik zostanie zapisany na c:\certyfikaty.pfx 4. Importowanie certyfikatów z kopii zapasowej Konieczne jest utworzenie specjalnej konsoli do administrowania i zarządzania certyfikatami umieszczonymi w bazie certyfikatów komputera (standardowy wizard Windowsa łączy się z rejestrami określonego użytkownika), chyba, że konsola została utworzona już wcześniej-wtedy dostępna jest z menu Narzędzia Administracyjne. W tym celu utworzenia konsoli uruchamiamy z linii komend polecenie mmc: Internet Information Service (IIS) 5.0PL Importowanie certyfikatów z kopii zapasowej 23
Start -> uruchom -> wpisujemy cmd -> wpisujemy mmc W otwartej konsoli wybieramy z górnego menu opcję Dodaj/Usuń przystawkę lub wciskamy kombinacje klawiszy ctrl + M: Internet Information Service (IIS) 5.0PL Importowanie certyfikatów z kopii zapasowej 24
Wybieramy opcję dodaj, po czym przystawkę Certyfikaty: Zaznaczamy opcję Konto komputera: Internet Information Service (IIS) 5.0PL Importowanie certyfikatów z kopii zapasowej 25
Zostawiamy domyślne ustawienia (jeśli operacja dotyczy komputera lokalnego): Zaznaczamy magazyn, do którego certyfikat ma być importowany: Internet Information Service (IIS) 5.0PL Importowanie certyfikatów z kopii zapasowej 26
Otwieramy menu Akcja, wskazujemy polecenie Wszystkie zadania, a następnie klikamy polecenie Importuj...: W ten sposób uruchomiliśmy kreator importowania certyfikatów: Internet Information Service (IIS) 5.0PL Importowanie certyfikatów z kopii zapasowej 27
Wybieramy plik, który chcemy zaimportować(wraz z dobraniem odpowiedniego rozszerzenia pliku z kluczem): Wpisujemy hasło chroniące klucz prywatny i zaznaczamy opcję, która umożliwi nam w razie potrzeby wykonanie kopii zapasowej kluczy: Internet Information Service (IIS) 5.0PL Importowanie certyfikatów z kopii zapasowej 28
Zostawiamy domyślną opcję, dzięki której certyfikat zostanie umieszczony w magazynie certyfikatów Osobisty: Kończymy importowanie kopii zapasowej certyfikatu serwera za pomocą kreatora. Internet Information Service (IIS) 5.0PL Importowanie certyfikatów z kopii zapasowej 29
5. Uwierzytelnianie klienta do serwera przy użyciu certyfikatu W celu uruchomienia powyższej usługi konieczne jest "zmapowanie" akceptowanego certyfikatu użytkownika do danego użytkownika w systemie. Koniecznym jest więc utworzenie użytkownika o określonych prawach, który będzie reprezentował w systemie osobę posługującą się danym certyfikatem. Jakkolwiek możliwe jest przypisanie certyfikatom standardowych użytkowników tworzonych domyślnie przez system (Gość, Administrator, użytkownik www etc), jednak zalecamy utworzenie nowego lub nowych użytkowników posiadających bardzo ograniczone prawa, np. jedynie do przeglądania zawartości danego katalogu. Proces tworzenia nowego użytkownika i przypisywanie mu praw do danego katalogu zostanie omówione poniżej. Administratorzy, którym nie sprawia to żadnego kłopotu, mogą przejść od razu do czynności późniejszych, mapowania certyfikatów do kont użytkownika. W celu dodania nowego użytkownika należy otworzyć menu: Start -> Panel sterowania -> Narzędzia administracyjne -> Zarządzanie komputerem Przechodzimy do menu Narzędzia systemowe -> Użytkownicy i grupy lokalne -> Użytkownicy -> Kliknij prawym przyciskiem myszki i wybieramy Nowy użytkownik: Internet Information Service (IIS) 5.0PL Uwierzytelnianie klienta do serwera przy użyciu certyfikatu 30
Wpisujemy nazwę użytkownika, jego hasło, oraz preferowane ustawienia konta (np. konto aktywne, hasło niezmienialne): Dodajemy użytkownika do danej grupy (lub tworzymy nową grupę): Internet Information Service (IIS) 5.0PL Uwierzytelnianie klienta do serwera przy użyciu certyfikatu 31
Przechodzimy do katalogu / pliku swojego serwera, który ma być udostępniany jedynie niektórym osobom. Aby tego dokonać wybieramy prawym przyciskiem myszki katalog(c:\inetpub\wwwroot), który ma być udostępniony na witrynie. Wybieramy właściwości i ukaże nam się okno: Wybieramy zakładkę zabezpieczenia i dodajemy użytkownika, który ma mieć dostęp do katalogu - klikając na dodaj. Dodanemu użytkownikowi nadajemy odpowiednie prawa: Internet Information Service (IIS) 5.0PL Uwierzytelnianie klienta do serwera przy użyciu certyfikatu 32
Następnie wchodzimy w zakładkę zaawansowane i odhaczamy opcję Dziedzicz po obiekcie... (przyjmuje ustawienia z katalogów wyższego poziomu): Na ekranie informacyjnym zostaniemy zapytani, czy na pewno chcemy zapobiegać "dziedziczeniu" uprawnień z katalogów wyższego poziomu. Wybieramy opcję usuń: Uprawnienia są przyznane. Przechodzimy do konfigurowania ustawień serwera IIS. Uruchamiamy konsolę administracyjną IIS. Wybieramy serwer, na którym znajduje się strona, do której będziemy ograniczać dostęp. Wskazujemy chroniony katalog lub plik i po przyciśnięciu prawego przycisku myszy wybieramy opcję Właściwości: UWAGA: dany serwis musi posiadać certyfikat, by możliwe było wymaganie certyfikatu do dostępu do danego składnika serwisu. Internet Information Service (IIS) 5.0PL Uwierzytelnianie klienta do serwera przy użyciu certyfikatu 33
W zakładce Zabezpieczenia katalogów wybieramy pole edytuj: Internet Information Service (IIS) 5.0PL Uwierzytelnianie klienta do serwera przy użyciu certyfikatu 34
Zaznaczamy opcję Wymagaj certyfikatów klienta, Włącz mapowanie certyfikatów klienta i wskazujemy opcję Edytuj: Przechodzimy do zakładki Wiele-do-jednego i aby dodać regułę klikamy na dodaj: Internet Information Service (IIS) 5.0PL Uwierzytelnianie klienta do serwera przy użyciu certyfikatu 35
Na następnym ekranie nazywamy naszą regułę (będzie to reguła upoważniająca do wejścia na naszą witrynę) i klikamy dalej: W wyświetlonym oknie dialogowym wpisujemy kryteria, wg których sprawdzany będzie certyfikat użytkownika. Przykładowe kryteria przedstawiono poniżej: Internet Information Service (IIS) 5.0PL Uwierzytelnianie klienta do serwera przy użyciu certyfikatu 36
Teraz zdefiniujemy użytkownika, który będzie miał dostęp do witryny i przypiszemy mu hasło: Gdybyśmy chcieli zablokować dostęp do witryny jakimś podmiotom, to operacja przebiegałaby podobnie z wyjątkiem definicji reguł filtrujących...: Internet Information Service (IIS) 5.0PL Uwierzytelnianie klienta do serwera przy użyciu certyfikatu 37
oraz zaznaczenia opcji odmów dostępu podczas generowania reguły: W ten sposób zdefiniowaliśmy reguły, które spowodują, iż dostęp do witryny będą mieli użytkownicy dysponujący certyfikatem należącym do puli adresów mailowych z domeny certum.pl. Natomiast cała reszta będzie odrzucana. UWAGA: Po zaprezentowaniu certyfikatu klienta reguły dopasowania zostaną sprawdzone w takiej kolejności, w jakiej występują na liście reguł(od góry do dołu). Jeżeli przykładowo na pierwszym miejscu umieścimy regułę odrzuć wszystko to następne reguły nie będą nawet sprawdzane, a cały ruch będzie zablokowany. W przypadku, gdy certyfikat użytkownika nie upoważnia do wstępu na witrynę, zostanie przedstawiony następujący komunikat: Internet Information Service (IIS) 5.0PL Uwierzytelnianie klienta do serwera przy użyciu certyfikatu 38
Na zakończenie jeszcze jedna uwaga: przeglądarki mają właściwość przechowywania w cache-u certyfikatów, którymi posługuje się dany klient. Jeśli klient przedstawia się certyfikatem na stronie głównej, to ten właśnie certyfikat używany będzie do logowania do innych podstron. Jeśli w trakcie pobytu na stronie zajdzie konieczność zmiany certyfikatu, którym się legitymujemy, konieczne będzie zapisanie adresu, pod który chcemy się dostać przy użyciu innego certyfikatu, zamknięciu przeglądarki, ponowne jej otwarcie i wpisanie od razu adresu docelowego. Serwis zapyta nas ponownie o certyfikat, jakim chcemy się przedstawić i wtedy możemy dokonać zmiany "dowodu osobistego". 6. Certyfikaty dla adresów wieloznacznych 6.1. Generowanie kluczy W celu wygenerowania kluczy dla adresów wieloznacznych (np. *.mojserwer.pl) wykorzystamy zewnętrzne narzędzie Openssl, które można ściągnąć ze strony: http://openssl.org. Uwaga: Nie zaleca się stosowania narzędzi IIS a do generowania kluczy dla adresów wieloznacznych! 1. Po instalacji biblioteki Openssl, wydajemy polecenie: openssl genrsa -des3 -out server.key 2048 Polecenie to spowoduje wygenerowanie klucza prywatnego o nazwie server.key dla naszego serwera. Klucz ten będzie miał długość 2048 bity i będzie zaszyfrowany algorytmem symetrycznym 3des. Podczas generowania klucza będziemy poproszeni o hasło, które zabezpieczy komponent. 2. Po pomyślnym wygenerowaniu klucza prywatnego wydajemy polecenie: openssl req -new -key server.key -out server.csr Wynikiem tego polecenia jest żądanie certyfikatu CSR serwera, które zapisane będzie w pliku server.csr. Pamiętajmy o wskazaniu pliku z kluczem prywatnym server.key. Podczas generowania żądania CSR należy podać hasło zabezpieczające klucz prywatny oraz dane związane z naszą firmą i stroną www (kraj, województwo, miasto, nazwa firmy, oddział firmy). Pamiętajmy, że w pole Common Name musimy wpisać adres wieloznaczny naszej witryny np. *.mojserwer.com, *.mojadomena.pl, *.mojastrona.com.pl itp. : Internet Information Service (IIS) 5.0PL Certyfikaty dla adresów wieloznacznych 39
Uwaga: Używanie znaków specjalnych % ^ $ _ lub polskich znaków diakrytycznych: ŻźćąŁ przy podawaniu informacji dla żądania CSR spowoduje nieprawidłowe wygenerowanie certyfikatu!!! 6.2. Tworzenie certyfikatu na podstawie utworzonego żądania (CSR) Wygenerowane w kroku poprzednim żądanie powinno mieć postać podobną do: -----BEGIN NEW CERTIFICATE REQUEST----- MIIDMDCCApkCAQAwgZoxGzAZBgNVBAMTEmRsdWJhY3oudW5pemV0by5wbDEhMB8G A1UECxMYRHppYWwgT2Nocm9ueSBJbmZvcm1hY2ppMRswGQYDVQQKExJVbml6ZXRv IFNwLiB6IG8uby4xETAPBgNVBAcTCFN6Y3plY2luMRswGQYDVQQIExJaYWNob2Ru aw9wb21vcnnrawuxczajbgnvbaytalbmmigfma0gcsqgsib3dqebaquaa4gnadcb iqkbgqc8jvrqrpbltozyvmjfxcef5picylmqv6z2al0j2gmoekbccyzf1khodsww 0ZF54FrTZhyKwYqfgiHO5duLfJSBqb/PTzovZH9qXUtxl+zQIhcJnA4Z/jKyWHGl X7LUlC9u2bas/vWwQZWYvxeqNMW4RZ+LU9Qqm9b/YD2qtOZ2qwIDAQABoIIBUzAa BgorBgEEAYI3DQIDMQwWCjUuMC4yMTk1LjIwNQYKKwYBBAGCNwIBDjEnMCUwDgYD VR0PAQH/BAQDAgTwMBMGA1UdJQQMMAoGCCsGAQUFBwMBMIH9BgorBgEEAYI3DQIC MYHuMIHrAgEBHloATQBpAGMAcgBvAHMAbwBmAHQAIABSAFMAQQAgAFMAQwBoAGEA bgbuaguabaagaemacgb5ahaadabvagcacgbhahaaaabpagmaiabqahiabwb2agka ZABlAHIDgYkAXxNuAz6gcBaZUdef8WQ2PAroKMW8sprcKv7QD2encz6/Wct9DZ5C kgynlgy0f+lff7visdjqxywaj68ddqgxyaqiilf63kivptic6yxlanx65v3cnkfx 4UrUrGXZtub7M7/NuxSipOW0Vv7yCHganypxDyRzp6IhulEnL4APEH4AAAAAAAAA ADANBgkqhkiG9w0BAQUFAAOBgQAsTG3Hu00fFzNTekFo/fb3tKsmuS/1rCCB5sQK inpwgz8z8+tmqbb0tuz4fptkesqlpwv1orfmxmkpiu10dc3qwrp2e//ompnau807 IJIDwn2VZ7qQ/h0KcWoWSPmvt7J0KKshdGgAF7P6AYc7W4yA9B9nPeyEzQRW0t4D YBApPQ== -----END NEW CERTIFICATE REQUEST----- Wypełniamy formularz zgłoszeniowy i wklejamy CSR na stronie Unizeto CERTUM. W polu Rodzaj Certyfikatu zaznaczamy Wildcard Domain. UWAGA: W celu wklejania certyfikatu na stronę należy skopiować fragment tekstu od linii "--BEGIN CERTIFICATE --" do "--END CERTIFICATE--", używając do tego celu edytora tekstowego np. Notepad i myszki. Nie używaj do tej operacji Worda, czy innego procesora tekstowego! Po wykonaniu powyższej procedury zostaniemy poinformowani stosownym e-mailem o dalszych krokach. 6.3. Tworzenie paczki p12 z klucza prywatnego i certyfikatu Certum, po wydaniu certyfikatu informuje użytkownika o metodzie pobrania certyfikatu. Po wejściu na wskazaną stronę, należy wyświetlić zawartość certyfikatu, skopiować ją(myszką) i zapisać do pliku. Internet Information Service (IIS) 5.0PL Certyfikaty dla adresów wieloznacznych 40
Po zapisaniu pliku z certyfikatem (np. certyfikat.crt) utworzymy z naszych plików paczkę p12(aby móc ją bezproblemowo zaimportować w IIS). Podobnie jak w poprzednich przypadkach, skorzystamy z biblioteki Openssl: openssl pkcs12 -export -out klucze.p12 -inkey server.key -in certyfikat.crt Polecenie spowoduje wygenerowanie jednego pliku klucze.p12 z klucza prywatnego server.key oraz certyfikatu certyfikat.crt naszego serwera. Podczas procedury będziemy musieli podać hasło zabezpieczające nasz klucz prywatny oraz hasło, które będzie wykorzystywane przy eksportowaniu paczki(zaleca się, aby te dwa hasła były jednakowe, ale bardzo silne): 6.4. Instalowanie certyfikatu na serwerze Konieczne jest utworzenie specjalnej konsoli do administrowania i zarządzania certyfikatami umieszczonymi w bazie certyfikatów komputera (standardowy wizard Windowsa łączy się z rejestrami określonego użytkownika), chyba, że konsola została utworzona już wcześniej-wtedy dostępna jest z menu Narzędzia Administracyjne. W tym celu utworzenia konsoli uruchamiamy z linii komend polecenie mmc: Start -> uruchom -> wpisujemy cmd -> wpisujemy mmc Internet Information Service (IIS) 5.0PL Certyfikaty dla adresów wieloznacznych 41
W otwartej konsoli wybieramy z górnego menu opcję Dodaj/Usuń przystawkę lub wciskamy kombinacje klasiszy ctrl + M: Wybieramy opcję dodaj, po czym przystawkę Certyfikaty: Internet Information Service (IIS) 5.0PL Certyfikaty dla adresów wieloznacznych 42
Zaznaczamy opcję Konto komputera: Zostawiamy domyślne ustawienia (jeśli operacja dotyczy komputera lokalnego): Internet Information Service (IIS) 5.0PL Certyfikaty dla adresów wieloznacznych 43
Zaznaczamy magazyn, do którego certyfikat ma być importowany: Otwieramy menu Akcja, wskazujemy polecenie Wszystkie zadania, a następnie klikamy polecenie Importuj... : Internet Information Service (IIS) 5.0PL Certyfikaty dla adresów wieloznacznych 44
W ten sposób uruchomiliśmy kreator importowania certyfikatów: Wybieramy plik, który chcemy zaimportować(wraz z dobraniem odpowiedniego rozszerzenia pliku z kluczem): Internet Information Service (IIS) 5.0PL Certyfikaty dla adresów wieloznacznych 45
Wpisujemy hasło chroniące klucz prywatny i zaznaczamy opcję, która umożliwi nam w razie potrzeby wykonanie kopii zapasowej kluczy: Zostawiamy domyślną opcję, dzięki której certyfikat zostanie umieszczony w magazynie certyfikatów Osobisty: Internet Information Service (IIS) 5.0PL Certyfikaty dla adresów wieloznacznych 46
Kończymy importowanie kopii zapasowej certyfikatu serwera za pomocą kreatora. Teraz przypiszemy nasz certyfikat z magazynu do naszej konkretnej witryny. Uruchamiamy Internet Information Services: 1. Start -> Wszystkie programy -> Narzędzia administracyjne -> Internetowe usługi informacyjne lub 2. Panelu Sterowania -> Narzędzia administracyjne -> Internetowe usługi informacyjne Klikamy prawym przyciskiem myszki na naszą witrynę, po czym wybieramy Właściwości: Internet Information Service (IIS) 5.0PL Certyfikaty dla adresów wieloznacznych 47
Z okna Właściwości wybieramy zakładkę Zabezpieczenia katalogów i klikamy na Certyfikat serwera... : W ten sposób uruchomimy kreatora, który poprowadzi nas przez proces importowania certyfikatu: Internet Information Service (IIS) 5.0PL Certyfikaty dla adresów wieloznacznych 48
Zaznaczamy opcję Przypisz istniejący certyfikat: Wybieramy z listy certyfikat dla naszego adresu wieloznacznego: Internet Information Service (IIS) 5.0PL Certyfikaty dla adresów wieloznacznych 49
Kończymy kreatora: Po skonfigurowaniu serwera DNS do obsługi naszej poddomeny www (jeżeli nie posiadasz własnego serwera DNS skontaktuj sie ze swoim providerem i przedstaw sytuację) uruchamiamy Internet Information Services w celu dodania obsługi poddomeny przez serwer: 1. Start -> Wszystkie programy -> Narzędzia administracyjne -> Internetowe usługi informacyjne lub 2. Panelu Sterowania -> Narzędzia administracyjne -> Internetowe usługi informacyjne Klikamy prawym przyciskiem myszki na naszą witrynę, po czym wybieramy Właściwości: Internet Information Service (IIS) 5.0PL Certyfikaty dla adresów wieloznacznych 50
Wchodzimy w zakładkę Witryna sieci Web i klikamy opcję Zaawansowane...: Internet Information Service (IIS) 5.0PL Certyfikaty dla adresów wieloznacznych 51
Wpisujemy w Nazwę nagłówka hosta adres naszej poddomeny: Zatwierdzamy zmiany, restartujemy serwer i... to już koniec :) Należy pamiętać o wymuszeniu sesji szyfrowanych w opcjach serwera jest to opisane w punkcie 2(właściwości strony -> Zabezpieczenia katalogów -> Pole: Bezpieczna komunikacja -> Edytuj -> Wymagaj bezpiecznego kanału(ssl) i Wymagaj szyfrowania 128-bitowego) Internet Information Service (IIS) 5.0PL Certyfikaty dla adresów wieloznacznych 52