Internet Information Service (IIS) 5.0 Użycie certyfikatów niekwalifikowanych w oprogramowaniu Microsoft IIS 5.0 PL wersja 1.3
Spis treści 1. CERTYFIKATY DLA ADRESÓW JEDNOZNACZNYCH... 3 1.1. GENEROWANIE WNIOSKU O CERTYFIKAT (CSR)... 3 1.2. TWORZENIE CERTYFIKATU NA PODSTAWIE UTWORZONEGO ŻĄDANIA (CSR)... 8 1.3. POBIERANIE CERTYFIKATÓW POŚREDNICH... 14 1.4. IMPORT CERTYFIKATÓW POŚREDNICH... 14 2. KONFIGUROWANIE SERWERA IIS DO POŁĄCZEŃ HTTPS... 18 3. TWORZENIE KOPII ZAPASOWEJ CERTYFIKATÓW SERWERA... 19 4. IMPORTOWANIE CERTYFIKATÓW Z KOPII ZAPASOWEJ... 25 5. UWIERZYTELNIANIE KLIENTA DO SERWERA PRZY UŻYCIU CERTYFIKATU... 32 6. CERTYFIKATY DLA ADRESÓW WIELOZNACZNYCH (WILDCARD)... 41 6.1. GENEROWANIE KLUCZY... 41 6.2. TWORZENIE CERTYFIKATU NA PODSTAWIE UTWORZONEGO ŻĄDANIA (CSR)... 42 6.3. TWORZENIE PACZKI P12 Z KLUCZA PRYWATNEGO I CERTYFIKATU... 45 6.4. INSTALOWANIE CERTYFIKATU NA SERWERZE... 46 7. CERTYFIKATY DLA KILKU ADRESÓW (MULTI DOMAIN)... 57 7.1. GENEROWANIE KLUCZY... 57 7.2. TWORZENIE CERTYFIKATU NA PODSTAWIE UTWORZONEGO ŻĄDANIA (CSR)... 58 7.3. TWORZENIE PACZKI P12 Z KLUCZA PRYWATNEGO I CERTYFIKATU... 63 7.4. INSTALOWANIE CERTYFIKATU NA SERWERZE... 63
Certyfikaty dla adresów jednoznacznych 1.1. Generowanie wniosku o certyfikat (CSR) Uruchamiamy Internet Information Services: 1. Start -> Wszystkie programy -> Narzędzia administracyjne -> Internetowe usługi informacyjne lub 2. Panelu Sterowania -> Narzędzia administracyjne -> Internetowe usługi informacyjne Klikamy prawym przyciskiem myszki na naszą witrynę, po czym wybieramy Właściwości: Z okna Właściwo ści wybieram y zakładkę Zabezpiec zenia katalogów i klikamy na Certyfikat serwera... : W ten sposób uruchomi my kreatora, który poprowad zi nas przez proces generowa nia żądania CSR: 3
Zaznaczamy opcję Utwórz nowy certyfikat: 4
Zostawiamy domyślną opcję: Teraz wprowadzimy nazwę dla naszego Certyfikatu oraz wybierzemy długość klucza (2048 bity to wartość wystarczająca). Resztę pozostawiamy bez zmian: 5
Wpisujemy unikalną nazwę i oddział firmy(organizacji). UWAGA: Używanie znaków specjalnych % ^ $ _ lub polskich znaków diakrytycznych: ŻźćąŁ przy podawaniu tych informacji spowoduje nieprawidłowe wygenerowanie certyfikatu!!! Teraz wprowadzamy nazwę pospolitą swojego serwera: 6
Następnie wybieramy lokalizację dla pliku z żądaniem CSR: Klikamy Zakończ, aby zakończyć generowanie żądania CSR: 7
1.2. Tworzenie certyfikatu na podstawie utworzonego żądania (CSR) Po zalogowaniu do systemu CERTUM, mając wygenerowane żądanie oraz złożone zamówienie w sklepie, wypełniamy formularz zgłoszeniowy i wklejamy żądanie CSR na stronie CERTUM. W tym celu wybieramy menu Aktywacja certyfikatów. Następnie wybieramy typ certyfikatu SSL (Commercial SSL, lub Trusted SSL ) i aktywujemy go przyciskiem Aktywuj. Wybieramy CSR jako sposób dostarczenia klucza do certyfikatu. Następnie przechodzimy do kolejnego kroku przyciskiem Dalej. Wklejamy żądanie CSR, przechodzimy do kolejnego kroku przyciskiem Dalej. 8
UWAGA: W celu wklejania certyfikatu na stronie należy skopiować fragment tekstu od linii "--BEGIN CERTIFICATE --" do "--END CERTIFICATE--" (razem z tymi liniami!!!), używając do tego celu edytora tekstowego. Upewniamy się, że w polu E-mail jest wpisany poprawny adres (na ten adres zostaną wysłane dalsze instrukcje). Pojawi się strona, na której możemy się upewnić, że nasze żądanie CSR zostało wygenerowane na prawidłowe dane. Uwaga: Należy się upewnić, że w polu podmiot jest wpisana poprawna nazwa naszej strony (jeśli kupujemy certyfikat na domenę www.moja.domena.pl upewnijmy się, że ta nazwa widnieje w tym polu)!!! Upewniwszy się co do poprawności wprowadzonych danych potwierdzamy załączone oświadczenie i klikamy Aktywuj. 9
Żądanie certyfikatu zostało wysłane do Centrum Certyfikacji. Na konto email podane w żądaniu zostaną przesłane informacje dalszego postępowania. Po wydaniu certyfikatu przez Centrum Certyfikacji otrzymamy stosownego e-maila z linkiem instalacyjnym umożliwiającym aktywację certyfikatu (umieszczenie certyfikatu w naszym repozytorium dostępnym na stronach www). Odbieramy email, a następnie postępujemy zgodnie z treścią wiadomości. 10
Po kliknięciu na link instalacyjny, na ekranie pojawi się strona WWW. Korzystając z przycisku Zapisz tekstowo zapisujemy certyfikat w postaci tekstowej *.pem 11
Aby zainstalować certyfikat na serwerze wchodzimy we właściwości witryny i klikamy na Certyfikat serwera..: Zaznaczamy Przetwarzaj oczekujące żądanie i zainstaluj certyfikat : Wskazujemy kreatorowi plik, w którym zapisaliśmy certyfikat serwera (możemy także wskazać plik *.cer 12
z certyfikatem naszego serwera): Teraz ujrzymy dane dotyczące serwera, które zapisane są w certyfikacie. Po kliknięciu dalej kreator poinformuje nas o zakończeniu pracy: Certyfikat został zainstalowany na naszym serwerze. UWAGA: Poza naszym certyfikatem trzeba jeszcze pobrać i zainstalować certyfikaty pośrednie (opisane w dalszej części instrukcji). 13
1.3. Pobieranie certyfikatów pośrednich Aby pobrać certyfikat Certum CA lub certyfikaty pośrednie należy wejść na stronę www.certum.pl do działu Obsługa certyfikatów Zaświadczenia i klucze. Po wybraniu certyfikatu należy wybrać opcję Certyfikat dla serwerów WWW. Wyświetli się interesujący nas certyfikat, który zaznaczymy myszką, wkleimy do pliku i zapiszemy. UWAGA: W celu wklejania do pliku certyfikatu prezentowanego na stronie należy skopiować fragment tekstu od linii "--BEGIN CERTIFICATE --" do "--END CERTIFICATE--", używając do tego celu edytora tekstowego np. Notepad i myszki. Nie należy używać do tej operacji Worda, czy innego procesora tekstowego! W przypadku pobierania certyfikatów pośrednich, wybieramy interesujący nas certyfikat, np. CERTUM Level IV z listy (Certyfikaty Level IV należy pobrać w przypadku, gdy posiadamy certyfikat typu Trusted, certyfikat poziomu III należy pobrać w sytuacji, gdy posiadamy certyfikat typu Wildcard, certyfikat poziomu II należy pobrać w sytuacji, gdy posiadamy certyfikat typu Commercial; dla certyfikatów typu Private pobierany jest certyfikat klasy I). Pozostała część procesu (zapisanie do pliku) przebiega jak dla certyfikatu Certum CA. 1.4. Import certyfikatów pośrednich Konieczne jest utworzenie specjalnej konsoli do administrowania i zarządzania certyfikatami umieszczonymi w bazie certyfikatów komputera (standardowy wizard Windowsa łączy się z rejestrami określonego użytkownika), chyba, że konsola została utworzona już wcześniej-wtedy dostępna jest z menu Narzędzia Administracyjne. W tym celu utworzenia konsoli uruchamiamy z linii komend polecenie mmc: 14
W otwartej konsoli wybieramy z górnego menu opcję Dodaj/Usuń przystawkę lub wciskamy kombinacje klasiszy ctrl + M: Wybieramy opcję dodaj, po czym przystawkę Certyfikaty: 15
Zaznaczamy opcję Konto komputera: Zostawiamy domyślne ustawienia (jeśli operacja dotyczy komputera lokalnego): 16
Wchodzimy do konsoli - opcja Certyfikaty ma teraz opcje podrzędne - po jej otwarciu przechodzimy do wskazanych opcji (Zaufane główne urzędy certyfikacji, Pośrednie urzędy certyfikacji, Zaufane główne urzędy innych firm) i dodajemy certyfikaty pośrednie (najlepiej dodawać wszystkie certyfikaty - Certum CA i Certum Level I-IV do wszystkich magazynów; praktycznie zaś wystarcza dodanie certyfikatów pośrednich do magazynu Pośrednich urzędów certyfikacji). Główny certyfikat(certum CA) i certyfikaty pośrednie(level I-IV) można pobrać ze strony: http://certum.pl/pl/klucze/index.html. Klikając prawym przyciskiem myszy na katalogach Certyfikaty poszczególnych magazynów wybieramy opcję Wszystkie zadania -> Importuj - tu już pojawia się znajomy wizard. Po zakończeniu importu, serwer(nie tylko usługę) należy ponownie uruchomić. Po zaimportowaniu certyfikatu do wskazanych kontenerów IIS uzyskuje informacje, które pozwalają użytkownikowi zbudować pełną ścieżkę certyfikacji (wraz z certyfikatem Certum CA znajdującym się w bazie oprogramowania klienta). 17
Konfigurowanie serwera IIS do połączeń https Aby nasz serwer obsługiwał szyfrowane połączenia należy we właściwościach w zakładce Zabezpieczenia katalogów wybrać pole edytuj...:... i zaznaczyć (jak poniżej) Wymagaj bezpiecznego kanału(ssl) i Wymagaj szyfrowania 128-bitowego. Aby sprawdzić czy nasz serwer działa poprawnie, wpisujemy w przeglądarce adres naszego serwera i 18
akceptujemy certyfikat: Na dole Internet Explorera zauważymy charakterystyczną kłódkę symbolizującą, iż nawiązana sesja ma charakter poufny. Tworzenie kopii zapasowej certyfikatów serwera Konieczne jest utworzenie specjalnej konsoli do administrowania i zarządzania certyfikatami umieszczonymi w bazie certyfikatów komputera (standardowy wizard Windowsa łączy się z rejestrami określonego użytkownika), chyba, że konsola została utworzona już wcześniej-wtedy dostępna jest z menu Narzędzia Administracyjne. W tym celu utworzenia konsoli uruchamiamy z linii komend polecenie mmc: Start -> uruchom -> wpisujemy cmd -> wpisujemy mmc 19
W otwartej konsoli wybieramy z górnego menu opcję Dodaj/Usuń przystawkę lub wciskamy kombinacje klawiszy ctrl + M: 20
Wybieramy opcję dodaj, po czym przystawkę Certyfikaty: Zaznaczamy opcję Konto komputera: Zostawiamy domyślne ustawienia (jeśli operacja dotyczy komputera lokalnego): 21
Wybieramy certyfikat, który chcemy wyeksportować w magazynie Osobiste: Otwieramy menu Akcja, wskazujemy polecenie Wszystkie zadania, a następnie klikamy polecenie Eksportuj...: 22
W ten sposób uruchomiliśmy kreator eksportowania certyfikatów: W kreatorze menedżera eksportu certyfikatów wybieramy opcję Tak, wyeksportuj klucz prywatny. Ważne: Nie zaznaczamy opcji Usuń klucz prywatny, jeśli eksport się powiedzie, ponieważ w ten sposób uniemożliwimy korzystanie z bieżącego certyfikatu serwera: 23
Podajemy hasło dla pliku kopii zapasowej certyfikatu: Podajemy nazwę pliku(postać pliku to paczka pfx zawierają klucz prywatny i certyfikat): 24
Kończymy eksportowanie kopii zapasowej certyfikatu serwera za pomocą kreatora. Plik zostanie zapisany na c:\certyfikaty.pfx Importowanie certyfikatów z kopii zapasowej Konieczne jest utworzenie specjalnej konsoli do administrowania i zarządzania certyfikatami umieszczonymi w bazie certyfikatów komputera (standardowy wizard Windowsa łączy się z rejestrami określonego użytkownika), chyba, że konsola została utworzona już wcześniej-wtedy dostępna jest z menu Narzędzia Administracyjne. W tym celu utworzenia konsoli uruchamiamy z linii komend polecenie mmc: 25
Start -> uruchom -> wpisujemy cmd -> wpisujemy mmc W otwartej konsoli wybieramy z górnego menu opcję Dodaj/Usuń przystawkę lub wciskamy kombinacje klawiszy ctrl + M: 26
Wybieramy opcję dodaj, po czym przystawkę Certyfikaty: Zaznaczamy opcję Konto komputera: 27
Zostawiamy domyślne ustawienia (jeśli operacja dotyczy komputera lokalnego): Zaznaczamy magazyn, do którego certyfikat ma być importowany: 28
Otwieramy menu Akcja, wskazujemy polecenie Wszystkie zadania, a następnie klikamy polecenie Importuj...: W ten sposób uruchomiliśmy kreator importowania certyfikatów: 29
Wybieramy plik, który chcemy zaimportować(wraz z dobraniem odpowiedniego rozszerzenia pliku z kluczem): Wpisujemy hasło chroniące klucz prywatny i zaznaczamy opcję, która umożliwi nam w razie potrzeby wykonanie kopii zapasowej kluczy: 30
Zostawiamy domyślną opcję, dzięki której certyfikat zostanie umieszczony w magazynie certyfikatów Osobisty: Kończymy importowanie kopii zapasowej certyfikatu serwera za pomocą kreatora. 31
Uwierzytelnianie klienta do serwera przy użyciu certyfikatu W celu uruchomienia powyższej usługi konieczne jest "zmapowanie" akceptowanego certyfikatu użytkownika do danego użytkownika w systemie. Koniecznym jest więc utworzenie użytkownika o określonych prawach, który będzie reprezentował w systemie osobę posługującą się danym certyfikatem. Jakkolwiek możliwe jest przypisanie certyfikatom standardowych użytkowników tworzonych domyślnie przez system (Gość, Administrator, użytkownik www etc), jednak zalecamy utworzenie nowego lub nowych użytkowników posiadających bardzo ograniczone prawa, np. jedynie do przeglądania zawartości danego katalogu. Proces tworzenia nowego użytkownika i przypisywanie mu praw do danego katalogu zostanie omówione poniżej. Administratorzy, którym nie sprawia to żadnego kłopotu, mogą przejść od razu do czynności późniejszych, mapowania certyfikatów do kont użytkownika. W celu dodania nowego użytkownika należy otworzyć menu: Start -> Panel sterowania -> Narzędzia administracyjne -> Zarządzanie komputerem Przechodzimy do menu Narzędzia systemowe -> Użytkownicy i grupy lokalne -> Użytkownicy -> Kliknij prawym przyciskiem myszki i wybieramy Nowy użytkownik: 32
Wpisujemy nazwę użytkownika, jego hasło, oraz preferowane ustawienia konta (np. konto aktywne, hasło niezmienialne): Dodajemy użytkownika do danej grupy (lub tworzymy nową grupę): 33
Przechodzimy do katalogu / pliku swojego serwera, który ma być udostępniany jedynie niektórym osobom. Aby tego dokonać wybieramy prawym przyciskiem myszki katalog(c:\inetpub\wwwroot), który ma być udostępniony na witrynie. Wybieramy właściwości i ukaże nam się okno: Wybieramy zakładkę zabezpieczenia i dodajemy użytkownika, który ma mieć dostęp do katalogu - klikając na dodaj. Dodanemu użytkownikowi nadajemy odpowiednie prawa: 34
Następnie wchodzimy w zakładkę zaawansowane i odhaczamy opcję Dziedzicz po obiekcie... (przyjmuje ustawienia z katalogów wyższego poziomu): Na ekranie informacyjnym zostaniemy zapytani, czy na pewno chcemy zapobiegać "dziedziczeniu" uprawnień z katalogów wyższego poziomu. Wybieramy opcję usuń: Uprawnienia są przyznane. Przechodzimy do konfigurowania ustawień serwera IIS. Uruchamiamy konsolę administracyjną IIS. Wybieramy serwer, na którym znajduje się strona, do której będziemy ograniczać dostęp. Wskazujemy chroniony katalog lub plik i po przyciśnięciu prawego przycisku myszy wybieramy opcję Właściwości: UWAGA: dany serwis musi posiadać certyfikat, by możliwe było wymaganie certyfikatu do dostępu do danego składnika serwisu. 35
W zakładce Zabezpieczenia katalogów wybieramy pole edytuj: 36
Zaznaczamy opcję Wymagaj certyfikatów klienta, Włącz mapowanie certyfikatów klienta i wskazujemy opcję Edytuj: Przechodzimy do zakładki Wiele-do-jednego i aby dodać regułę klikamy na dodaj: 37
Na następnym ekranie nazywamy naszą regułę (będzie to reguła upoważniająca do wejścia na naszą witrynę) i klikamy dalej: W wyświetlonym oknie dialogowym wpisujemy kryteria, wg których sprawdzany będzie certyfikat użytkownika. Przykładowe kryteria przedstawiono poniżej: 38
Teraz zdefiniujemy użytkownika, który będzie miał dostęp do witryny i przypiszemy mu hasło: Gdybyśmy chcieli zablokować dostęp do witryny jakimś podmiotom, to operacja przebiegałaby podobnie z wyjątkiem definicji reguł filtrujących...: 39
oraz zaznaczenia opcji odmów dostępu podczas generowania reguły: W ten sposób zdefiniowaliśmy reguły, które spowodują, iż dostęp do witryny będą mieli użytkownicy dysponujący certyfikatem należącym do puli adresów mailowych z domeny certum.pl. Natomiast cała reszta będzie odrzucana. UWAGA: Po zaprezentowaniu certyfikatu klienta reguły dopasowania zostaną sprawdzone w takiej kolejności, w jakiej występują na liście reguł(od góry do dołu). Jeżeli przykładowo na pierwszym miejscu umieścimy regułę odrzuć wszystko to następne reguły nie będą nawet sprawdzane, a cały ruch będzie zablokowany. W przypadku, gdy certyfikat użytkownika nie upoważnia do wstępu na witrynę, zostanie przedstawiony następujący komunikat: Na zakończenie jeszcze jedna uwaga: przeglądarki mają właściwość przechowywania w cache-u 40
certyfikatów, którymi posługuje się dany klient. Jeśli klient przedstawia się certyfikatem na stronie głównej, to ten właśnie certyfikat używany będzie do logowania do innych podstron. Jeśli w trakcie pobytu na stronie zajdzie konieczność zmiany certyfikatu, którym się legitymujemy, konieczne będzie zapisanie adresu, pod który chcemy się dostać przy użyciu innego certyfikatu, zamknięciu przeglądarki, ponowne jej otwarcie i wpisanie od razu adresu docelowego. Serwis zapyta nas ponownie o certyfikat, jakim chcemy się przedstawić i wtedy możemy dokonać zmiany "dowodu osobistego". Certyfikaty dla adresów wieloznacznych (Wildcard) 6.1. Generowanie kluczy W celu wygenerowania kluczy dla adresów wieloznacznych (np. *.mojserwer.pl) wykorzystamy zewnętrzne narzędzie Openssl, które można ściągnąć ze strony: http://openssl.org. Uwaga: Nie zaleca się stosowania narzędzi IIS a do generowania kluczy dla adresów wieloznacznych! 1. Po instalacji biblioteki Openssl, wydajemy polecenie: openssl genrsa -des3 -out server.key 2048 Polecenie to spowoduje wygenerowanie klucza prywatnego o nazwie server.key dla naszego serwera. Klucz ten będzie miał długość 2048 bity i będzie zaszyfrowany algorytmem symetrycznym 3des. Podczas generowania klucza będziemy poproszeni o hasło, które zabezpieczy komponent. 2. Po pomyślnym wygenerowaniu klucza prywatnego wydajemy polecenie: openssl req -new -key server.key -out server.csr Wynikiem tego polecenia jest żądanie certyfikatu CSR serwera, które zapisane będzie w pliku server.csr. Pamiętajmy o wskazaniu pliku z kluczem prywatnym server.key. Podczas generowania żądania CSR należy podać hasło zabezpieczające klucz prywatny oraz dane związane z naszą firmą i stroną www (kraj, województwo, miasto, nazwa firmy, oddział firmy). Pamiętajmy, że w pole Common Name musimy wpisać adres wieloznaczny naszej witryny np. *.mojserwer.com, *.mojadomena.pl, *.mojastrona.com.pl itp. : Uwaga: Używanie znaków specjalnych % ^ $ _ lub polskich znaków diakrytycznych: ŻźćąŁ przy podawaniu informacji dla żądania CSR spowoduje nieprawidłowe wygenerowanie certyfikatu!!! 41
Wygenerowane żądanie powinno mieć postać podobną do: -----BEGIN NEW CERTIFICATE REQUEST----- MIIDMDCCApkCAQAwgZoxGzAZBgNVBAMTEmRsdWJhY3oudW5pemV0by5wbDEhMB8G A1UECxMYRHppYWwgT2Nocm9ueSBJbmZvcm1hY2ppMRswGQYDVQQKExJVbml6ZXRv IFNwLiB6IG8uby4xETAPBgNVBAcTCFN6Y3plY2luMRswGQYDVQQIExJaYWNob2Ru aw9wb21vcnnrawuxczajbgnvbaytalbmmigfma0gcsqgsib3dqebaquaa4gnadcb iqkbgqc8jvrqrpbltozyvmjfxcef5picylmqv6z2al0j2gmoekbccyzf1khodsww 0ZF54FrTZhyKwYqfgiHO5duLfJSBqb/PTzovZH9qXUtxl+zQIhcJnA4Z/jKyWHGl X7LUlC9u2bas/vWwQZWYvxeqNMW4RZ+LU9Qqm9b/YD2qtOZ2qwIDAQABoIIBUzAa BgorBgEEAYI3DQIDMQwWCjUuMC4yMTk1LjIwNQYKKwYBBAGCNwIBDjEnMCUwDgYD VR0PAQH/BAQDAgTwMBMGA1UdJQQMMAoGCCsGAQUFBwMBMIH9BgorBgEEAYI3DQIC MYHuMIHrAgEBHloATQBpAGMAcgBvAHMAbwBmAHQAIABSAFMAQQAgAFMAQwBoAGEA bgbuaguabaagaemacgb5ahaadabvagcacgbhahaaaabpagmaiabqahiabwb2agka ZABlAHIDgYkAXxNuAz6gcBaZUdef8WQ2PAroKMW8sprcKv7QD2encz6/Wct9DZ5C kgynlgy0f+lff7visdjqxywaj68ddqgxyaqiilf63kivptic6yxlanx65v3cnkfx 4UrUrGXZtub7M7/NuxSipOW0Vv7yCHganypxDyRzp6IhulEnL4APEH4AAAAAAAAA ADANBgkqhkiG9w0BAQUFAAOBgQAsTG3Hu00fFzNTekFo/fb3tKsmuS/1rCCB5sQK inpwgz8z8+tmqbb0tuz4fptkesqlpwv1orfmxmkpiu10dc3qwrp2e//ompnau807 IJIDwn2VZ7qQ/h0KcWoWSPmvt7J0KKshdGgAF7P6AYc7W4yA9B9nPeyEzQRW0t4D YBApPQ== -----END NEW CERTIFICATE REQUEST----- 6.2. Tworzenie certyfikatu na podstawie utworzonego żądania (CSR) Po zalogowaniu do systemu CERTUM, mając wygenerowane żądanie oraz złożone zamówienie w sklepie, wypełniamy formularz zgłoszeniowy i wklejamy żądanie CSR na stronie CERTUM. W tym celu wybieramy menu Aktywacja certyfikatów. Następnie wybieramy typ certyfikatu Wildcard SSL i aktywujemy go przyciskiem Aktywuj. Wybieramy CSR jako sposób dostarczenia klucza do certyfikatu. Następnie przechodzimy do kolejnego kroku przyciskiem Dalej. 42
Wklejamy żądanie CSR, przechodzimy do kolejnego kroku przyciskiem Dalej. UWAGA: W celu wklejania certyfikatu na stronie należy skopiować fragment tekstu od linii "--BEGIN CERTIFICATE --" do "--END CERTIFICATE--" (razem z tymi liniami!!!), używając do tego celu edytora tekstowego. Upewniamy się, że w polu E-mail jest wpisany poprawny adres (na ten adres zostaną wysłane dalsze instrukcje). 43
Pojawi się strona, na której możemy się upewnić, że nasze żądanie CSR zostało wygenerowane na prawidłowe dane. Uwaga: Należy się upewnić, że w polu podmiot jest wpisana poprawna nazwa naszej strony (jesli kupujemy certyfikat na domenę www.moja.domena.pl upewnijmy się, że ta nazwa widnieje w tym polu)!!! Upewniwszy się co do poprawności wprowadzonych danych potwierdzamy załączone oświadczenie i klikamy Aktywuj. Żądanie certyfikatu zostało wysłane do Centrum Certyfikacji. Na konto email podane w żądaniu zostaną przesłane informacje dalszego postępowania. Po wydaniu certyfikatu przez Centrum Certyfikacji otrzymamy stosownego e-maila z linkiem instalacyjnym umożliwiającym aktywację certyfikatu (umieszczenie certyfikatu w naszym repozytorium dostępnym na stronach www). Odbieramy email, a następnie postępujemy zgodnie z treścią wiadomości. 44
Po kliknięciu na link instalacyjny, na ekranie pojawi się strona WWW. Korzystając z przycisku Zapisz tekstowo zapisujemy certyfikat w postaci tekstowej *.pem 6.3. Tworzenie paczki p12 z klucza prywatnego i certyfikatu Certum, po wydaniu certyfikatu informuje użytkownika o metodzie pobrania certyfikatu. Po wejściu na wskazaną stronę, należy wyświetlić zawartość certyfikatu, skopiować ją(myszką) i zapisać do pliku. Po zapisaniu pliku z certyfikatem (np. certyfikat.crt) utworzymy z naszych plików paczkę p12(aby móc ją bezproblemowo zaimportować w IIS). Podobnie jak w poprzednich przypadkach, skorzystamy z biblioteki Openssl: openssl pkcs12 -export -out klucze.p12 -inkey server.key -in certyfikat.crt 45
Polecenie spowoduje wygenerowanie jednego pliku klucze.p12 z klucza prywatnego server.key oraz certyfikatu certyfikat.crt naszego serwera. Podczas procedury będziemy musieli podać hasło zabezpieczające nasz klucz prywatny oraz hasło, które będzie wykorzystywane przy eksportowaniu paczki(zaleca się, aby te dwa hasła były jednakowe, ale bardzo silne): 6.4. Instalowanie certyfikatu na serwerze Konieczne jest utworzenie specjalnej konsoli do administrowania i zarządzania certyfikatami umieszczonymi w bazie certyfikatów komputera (standardowy wizard Windowsa łączy się z rejestrami określonego użytkownika), chyba, że konsola została utworzona już wcześniej-wtedy dostępna jest z menu Narzędzia Administracyjne. W tym celu utworzenia konsoli uruchamiamy z linii komend polecenie mmc: Start -> uruchom -> wpisujemy cmd -> wpisujemy mmc 46
W otwartej konsoli wybieramy z górnego menu opcję Dodaj/Usuń przystawkę lub wciskamy kombinacje klasiszy ctrl + M: Wybieramy opcję dodaj, po czym przystawkę Certyfikaty: 47
Zaznaczamy opcję Konto komputera: Zostawiamy domyślne ustawienia (jeśli operacja dotyczy komputera lokalnego): 48
Zaznaczamy magazyn, do którego certyfikat ma być importowany: Otwieramy menu Akcja, wskazujemy polecenie Wszystkie zadania, a następnie klikamy polecenie Importuj... : W ten sposób uruchomiliśmy kreator importowania certyfikatów: 49
Wybieramy plik, który chcemy zaimportować(wraz z dobraniem odpowiedniego rozszerzenia pliku z kluczem): Wpisujemy hasło chroniące klucz prywatny i zaznaczamy opcję, która umożliwi nam w razie potrzeby wykonanie kopii zapasowej kluczy: 50
Zostawiamy domyślną opcję, dzięki której certyfikat zostanie umieszczony w magazynie certyfikatów Osobisty: Kończymy importowanie kopii zapasowej certyfikatu serwera za pomocą kreatora. 51
Teraz przypiszemy nasz certyfikat z magazynu do naszej konkretnej witryny. Uruchamiamy Internet Information Services: 1. Start -> Wszystkie programy -> Narzędzia administracyjne -> Internetowe usługi informacyjne lub 2. Panelu Sterowania -> Narzędzia administracyjne -> Internetowe usługi informacyjne Klikamy prawym przyciskiem myszki na naszą witrynę, po czym wybieramy Właściwości: 52
Z okna Właściwości wybieramy zakładkę Zabezpieczenia katalogów i klikamy na Certyfikat serwera... : W ten sposób uruchomimy kreatora, który poprowadzi nas przez proces importowania certyfikatu: 53
Zaznaczamy opcję Przypisz istniejący certyfikat: Wybieramy z listy certyfikat dla naszego adresu wieloznacznego: Kończymy kreatora: 54
Po skonfigurowaniu serwera DNS do obsługi naszej poddomeny www (jeżeli nie posiadasz własnego serwera DNS skontaktuj sie ze swoim providerem i przedstaw sytuację) uruchamiamy Internet Information Services w celu dodania obsługi poddomeny przez serwer: 1. Start -> Wszystkie programy -> Narzędzia administracyjne -> Internetowe usługi informacyjne lub 2. Panelu Sterowania -> Narzędzia administracyjne -> Internetowe usługi informacyjne Klikamy prawym przyciskiem myszki na naszą witrynę, po czym wybieramy Właściwości: 55
Wchodzimy w zakładkę Witryna sieci Web i klikamy opcję Zaawansowane...: 56
Wpisujemy w Nazwę nagłówka hosta adres naszej poddomeny: Zatwierdzamy zmiany, restartujemy serwer i... to już koniec :) Należy pamiętać o wymuszeniu sesji szyfrowanych w opcjach serwera jest to opisane w punkcie 2(właściwości strony -> Zabezpieczenia katalogów -> Pole: Bezpieczna komunikacja -> Edytuj -> Wymagaj bezpiecznego kanału(ssl) i Wymagaj szyfrowania 128-bitowego) Certyfikaty dla kilku adresów (Multi Domain) 7.1. Generowanie kluczy W celu wygenerowania kluczy dla adresów wieloznacznych (np. *.mojserwer.pl) wykorzystamy zewnętrzne narzędzie Openssl, które można ściągnąć ze strony: http://openssl.org. 1. Po instalacji biblioteki Openssl, wydajemy polecenie: openssl genrsa -des3 -out server.key 2048 Polecenie to spowoduje wygenerowanie klucza prywatnego o nazwie server.key dla naszego serwera. Klucz ten będzie miał długość 2048 bity i będzie zaszyfrowany algorytmem symetrycznym 3des. Podczas generowania klucza będziemy poproszeni o hasło, które zabezpieczy komponent. 2. Po pomyślnym wygenerowaniu klucza prywatnego wydajemy polecenie: openssl req -new -key server.key -out server.csr Wynikiem tego polecenia jest żądanie certyfikatu CSR serwera, które zapisane będzie w pliku server.csr. Pamiętajmy o wskazaniu pliku z kluczem prywatnym server.key. Podczas generowania żądania CSR należy podać hasło zabezpieczające klucz prywatny oraz dane związane z naszą firmą i stroną www (kraj, województwo, miasto, nazwa firmy, oddział firmy). Pamiętajmy, że w pole Common Name musimy wpisać adres domeny uważaną za priorytetową. Pozostałe domeny, dla których ma zostać wydany certyfikat 57
Uwaga: Używanie znaków specjalnych % ^ $ _ lub polskich znaków diakrytycznych: ŻźćąŁ przy podawaniu informacji dla żądania CSR spowoduje nieprawidłowe wygenerowanie certyfikatu!!! Wygenerowane żądanie powinno mieć postać podobną do: -----BEGIN NEW CERTIFICATE REQUEST----- MIIDMDCCApkCAQAwgZoxGzAZBgNVBAMTEmRsdWJhY3oudW5pemV0by5wbDEhMB8G A1UECxMYRHppYWwgT2Nocm9ueSBJbmZvcm1hY2ppMRswGQYDVQQKExJVbml6ZXRv IFNwLiB6IG8uby4xETAPBgNVBAcTCFN6Y3plY2luMRswGQYDVQQIExJaYWNob2Ru aw9wb21vcnnrawuxczajbgnvbaytalbmmigfma0gcsqgsib3dqebaquaa4gnadcb iqkbgqc8jvrqrpbltozyvmjfxcef5picylmqv6z2al0j2gmoekbccyzf1khodsww 0ZF54FrTZhyKwYqfgiHO5duLfJSBqb/PTzovZH9qXUtxl+zQIhcJnA4Z/jKyWHGl X7LUlC9u2bas/vWwQZWYvxeqNMW4RZ+LU9Qqm9b/YD2qtOZ2qwIDAQABoIIBUzAa BgorBgEEAYI3DQIDMQwWCjUuMC4yMTk1LjIwNQYKKwYBBAGCNwIBDjEnMCUwDgYD VR0PAQH/BAQDAgTwMBMGA1UdJQQMMAoGCCsGAQUFBwMBMIH9BgorBgEEAYI3DQIC MYHuMIHrAgEBHloATQBpAGMAcgBvAHMAbwBmAHQAIABSAFMAQQAgAFMAQwBoAGEA bgbuaguabaagaemacgb5ahaadabvagcacgbhahaaaabpagmaiabqahiabwb2agka ZABlAHIDgYkAXxNuAz6gcBaZUdef8WQ2PAroKMW8sprcKv7QD2encz6/Wct9DZ5C kgynlgy0f+lff7visdjqxywaj68ddqgxyaqiilf63kivptic6yxlanx65v3cnkfx 4UrUrGXZtub7M7/NuxSipOW0Vv7yCHganypxDyRzp6IhulEnL4APEH4AAAAAAAAA ADANBgkqhkiG9w0BAQUFAAOBgQAsTG3Hu00fFzNTekFo/fb3tKsmuS/1rCCB5sQK inpwgz8z8+tmqbb0tuz4fptkesqlpwv1orfmxmkpiu10dc3qwrp2e//ompnau807 IJIDwn2VZ7qQ/h0KcWoWSPmvt7J0KKshdGgAF7P6AYc7W4yA9B9nPeyEzQRW0t4D YBApPQ== -----END NEW CERTIFICATE REQUEST----- 7.2. Tworzenie certyfikatu na podstawie utworzonego żądania (CSR) Po zalogowaniu do systemu CERTUM, mając wygenerowane żądanie oraz złożone zamówienie w sklepie, wypełniamy formularz zgłoszeniowy i wklejamy żądanie CSR na stronie CERTUM. W tym celu wybieramy menu Aktywacja certyfikatów. Następnie wybieramy typ certyfikatu Multi Domain SSL i aktywujemy go przyciskiem Aktywuj. 58
Wybieramy CSR jako sposób dostarczenia klucza do certyfikatu. Następnie przechodzimy do kolejnego kroku przyciskiem Dalej. Wklejamy żądanie CSR, przechodzimy do kolejnego kroku przyciskiem Dalej. UWAGA: W celu wklejania certyfikatu na stronie należy skopiować fragment tekstu od linii "--BEGIN CERTIFICATE --" do "--END CERTIFICATE--" (razem z tymi liniami!!!), używając do tego celu edytora tekstowego. 59
Upewniamy się, że w polu E-mail jest wpisany poprawny adres (na ten adres zostaną wysłane dalsze instrukcje). Pojawi się strona, na której należy wprowadzić nazwy poszczególnych domen. Upewniwszy się co do poprawności wprowadzonych danych potwierdzamy załączone oświadczenie i klikamy Aktywuj. 60
Żądanie certyfikatu zostało wysłane do Centrum Certyfikacji. Na konto email podane w żądaniu zostaną przesłane informacje dalszego postępowania. Po wydaniu certyfikatu przez Centrum Certyfikacji otrzymamy stosownego e-maila z linkiem instalacyjnym umożliwiającym aktywację certyfikatu (umieszczenie certyfikatu w naszym repozytorium dostępnym na stronach www). Odbieramy email, a następnie postępujemy zgodnie z treścią wiadomości. 61
Po kliknięciu na link instalacyjny, na ekranie pojawi się strona WWW. Korzystając z przycisku Zapisz tekstowo zapisujemy certyfikat w postaci tekstowej *.pem 62
7.3. Tworzenie paczki p12 z klucza prywatnego i certyfikatu Certum, po wydaniu certyfikatu informuje użytkownika o metodzie pobrania certyfikatu. Po wejściu na wskazaną stronę, należy wyświetlić zawartość certyfikatu, skopiować ją(myszką) i zapisać do pliku. Po zapisaniu pliku z certyfikatem (np. certyfikat.crt) utworzymy z naszych plików paczkę p12(aby móc ją bezproblemowo zaimportować w IIS). Podobnie jak w poprzednich przypadkach, skorzystamy z biblioteki Openssl: openssl pkcs12 -export -out klucze.p12 -inkey server.key -in certyfikat.crt Polecenie spowoduje wygenerowanie jednego pliku klucze.p12 z klucza prywatnego server.key oraz certyfikatu certyfikat.crt naszego serwera. Podczas procedury będziemy musieli podać hasło zabezpieczające nasz klucz prywatny oraz hasło, które będzie wykorzystywane przy eksportowaniu paczki(zaleca się, aby te dwa hasła były jednakowe, ale bardzo silne): 7.4. Instalowanie certyfikatu na serwerze Konieczne jest utworzenie specjalnej konsoli do administrowania i zarządzania certyfikatami umieszczonymi w bazie certyfikatów komputera (standardowy wizard Windowsa łączy się z rejestrami określonego użytkownika), chyba, że konsola została utworzona już wcześniej-wtedy dostępna jest z menu Narzędzia Administracyjne. W tym celu utworzenia konsoli uruchamiamy z linii komend polecenie mmc: Start -> uruchom -> wpisujemy cmd -> wpisujemy mmc 63
W otwartej konsoli wybieramy z górnego menu opcję Dodaj/Usuń przystawkę lub wciskamy kombinacje klasiszy ctrl + M: Wybieramy opcję dodaj, po czym przystawkę Certyfikaty: 64
Zaznaczamy opcję Konto komputera: Zostawiamy domyślne ustawienia (jeśli operacja dotyczy komputera lokalnego): 65
Zaznaczamy magazyn, do którego certyfikat ma być importowany: Otwieramy menu Akcja, wskazujemy polecenie Wszystkie zadania, a następnie klikamy polecenie Importuj... : W ten sposób uruchomiliśmy kreator importowania certyfikatów: 66
Wybieramy plik, który chcemy zaimportować(wraz z dobraniem odpowiedniego rozszerzenia pliku z kluczem): Wpisujemy hasło chroniące klucz prywatny i zaznaczamy opcję, która umożliwi nam w razie potrzeby wykonanie kopii zapasowej kluczy: 67
Zostawiamy domyślną opcję, dzięki której certyfikat zostanie umieszczony w magazynie certyfikatów Osobisty: Kończymy importowanie kopii zapasowej certyfikatu serwera za pomocą kreatora. 68
Teraz przypiszemy nasz certyfikat z magazynu do naszej konkretnej witryny. Uruchamiamy Internet Information Services: 1. Start -> Wszystkie programy -> Narzędzia administracyjne -> Internetowe usługi informacyjne lub 2. Panelu Sterowania -> Narzędzia administracyjne -> Internetowe usługi informacyjne Klikamy prawym przyciskiem myszki na naszą witrynę, po czym wybieramy Właściwości: 69
Z okna Właściwości wybieramy zakładkę Zabezpieczenia katalogów i klikamy na Certyfikat serwera... : W ten sposób uruchomimy kreatora, który poprowadzi nas przez proces importowania certyfikatu: 70
Zaznaczamy opcję Przypisz istniejący certyfikat: Wybieramy z listy certyfikat dla naszego adresu wieloznacznego: Kończymy kreatora: 71
Po skonfigurowaniu serwera DNS do obsługi naszej poddomeny www (jeżeli nie posiadasz własnego serwera DNS skontaktuj sie ze swoim providerem i przedstaw sytuację) uruchamiamy Internet Information Services w celu dodania obsługi poddomeny przez serwer: 1. Start -> Wszystkie programy -> Narzędzia administracyjne -> Internetowe usługi informacyjne lub 2. Panelu Sterowania -> Narzędzia administracyjne -> Internetowe usługi informacyjne Klikamy prawym przyciskiem myszki na naszą witrynę, po czym wybieramy Właściwości: 72
Wchodzimy w zakładkę Witryna sieci Web i klikamy opcję Zaawansowane...: 73
Wpisujemy w Nazwę nagłówka hosta adres naszej poddomeny: Zatwierdzamy zmiany, restartujemy serwer i... to już koniec :) Należy pamiętać o wymuszeniu sesji szyfrowanych w opcjach serwera jest to opisane w punkcie 2(właściwości strony -> Zabezpieczenia katalogów -> Pole: Bezpieczna komunikacja -> Edytuj -> Wymagaj bezpiecznego kanału(ssl) i Wymagaj szyfrowania 128-bitowego) 74