आईटी कैसे एक स्व हस्ताक्षरित सुरक्षा (एसएसएल) प्रमाण पत्र बनाने के लिए और यह ग्राहक मशीनों के लिए तैनात हैं

डेवलपर्स और आईटी प्रशासकों को इसमें कोई संदेह नहीं है, एसएसटी प्रमाणपत्र का उपयोग करके एचटीटीपीएस के माध्यम से कुछ वेबसाइट को तैनात करने की आवश्यकता है। हालांकि यह प्रक्रिया किसी उत्पादन साइट के लिए बहुत सरल है, विकास और परीक्षण के प्रयोजनों के लिए आपको यहां एक एसएसएल का उपयोग करने की आवश्यकता हो सकती है.

एक वार्षिक प्रमाण पत्र खरीदने और नवीनीकृत करने के विकल्प के रूप में, आप अपने विंडोज सर्वर की स्व-हस्ताक्षरित प्रमाण पत्र उत्पन्न करने की क्षमता का लाभ उठा सकते हैं जो सुविधाजनक, आसान है और इन प्रकार की आवश्यकताओं को पूरी तरह से पूरा करना चाहिए।.

IIS पर स्व हस्ताक्षरित प्रमाण पत्र बनाना

जबकि स्व-हस्ताक्षरित प्रमाण पत्र बनाने के कार्य को पूरा करने के कई तरीके हैं, हम Microsoft से सेल्फएसएसएल उपयोगिता का उपयोग करेंगे। दुर्भाग्य से, यह IIS के साथ जहाज नहीं करता है, लेकिन यह स्वतंत्र रूप से IIS 6.0 संसाधन टूलकिट के भाग के रूप में उपलब्ध है (इस लेख के निचले भाग में दिए गए लिंक)। "IIS 6.0" नाम के बावजूद यह उपयोगिता IIS 7 में ठीक काम करती है.

Selfssl.exe उपयोगिता प्राप्त करने के लिए IIS6RT निकालने के लिए सभी आवश्यक है। यहां से आप इसे अपनी विंडोज निर्देशिका या किसी अन्य मशीन पर भविष्य के उपयोग के लिए नेटवर्क पथ / यूएसबी ड्राइव पर कॉपी कर सकते हैं (इसलिए आपको पूर्ण IIS6RT डाउनलोड और निकालने की आवश्यकता नहीं है).

एक बार आपके पास सेल्फएसएसएल उपयोगिता होने के बाद, निम्न कमांड को चलाएं (प्रशासक के रूप में) मानों को उचित रूप में प्रतिस्थापित करें:

selfssl / N: CN = / V:

नीचे दिया गया उदाहरण "mydomain.com" के खिलाफ एक स्वहस्ताक्षरित वाइल्डकार्ड सर्टिफिकेट तैयार करता है और इसे 9,999 दिनों के लिए वैध बनाता है। इसके अतिरिक्त, प्रॉम्प्ट के लिए हाँ का उत्तर देकर, यह प्रमाणपत्र स्वचालित रूप से IIS की डिफ़ॉल्ट वेब साइट के अंदर 443 पोर्ट के लिए बाइंड करने के लिए कॉन्फ़िगर किया गया है.

जबकि इस बिंदु पर प्रमाणपत्र उपयोग करने के लिए तैयार है, यह केवल सर्वर पर व्यक्तिगत प्रमाण पत्र की दुकान में संग्रहीत किया जाता है। इस प्रमाणपत्र को विश्वसनीय रूट में भी सेट करना सबसे अच्छा अभ्यास है.

स्टार्ट> रन (या विंडोज की + आर) पर जाएं और "एमएमसी" दर्ज करें। आपको UAC प्रॉम्प्ट प्राप्त हो सकता है, इसे स्वीकार करें और एक खाली प्रबंधन कंसोल खुल जाएगा.

कंसोल में, फ़ाइल> स्नैप-इन जोड़ें / निकालें पर जाएं.

बाईं ओर से प्रमाणपत्र जोड़ें.

कंप्यूटर खाते का चयन करें.

स्थानीय कंप्यूटर का चयन करें.

स्थानीय प्रमाणपत्र संग्रह देखने के लिए ठीक क्लिक करें.

व्यक्तिगत> प्रमाणपत्रों पर नेविगेट करें और स्वएसएसएल उपयोगिता का उपयोग करके आपके द्वारा निर्धारित प्रमाणपत्र का पता लगाएं। प्रमाणपत्र पर राइट-क्लिक करें और कॉपी चुनें.

विश्वसनीय रूट प्रमाणीकरण प्राधिकारी> प्रमाणपत्र पर नेविगेट करें। प्रमाणपत्र फ़ोल्डर पर राइट-क्लिक करें और चिपकाएँ चुनें.

एसएसएल प्रमाणपत्र के लिए एक प्रविष्टि सूची में दिखाई देनी चाहिए.

इस बिंदु पर, आपके सर्वर को स्व-हस्ताक्षरित प्रमाण पत्र के साथ काम करने में कोई समस्या नहीं होनी चाहिए.

प्रमाणपत्र निर्यात करना

यदि आप ऐसी साइट तक पहुँचने जा रहे हैं जो किसी भी क्लाइंट मशीन (अर्थात कोई भी कंप्यूटर जो सर्वर नहीं है) पर स्व हस्ताक्षरित एसएसएल प्रमाणपत्र का उपयोग करता है, तो संभावित त्रुटियों के संभावित हमले से बचने के लिए और स्व हस्ताक्षरित प्रमाण पत्र को चेतावनी देने के लिए स्थापित किया जाना चाहिए। क्लाइंट मशीनों में से प्रत्येक पर (जो हम नीचे विस्तार से चर्चा करेंगे)। ऐसा करने के लिए, हमें पहले संबंधित प्रमाण पत्र को निर्यात करने की आवश्यकता है ताकि इसे ग्राहकों पर स्थापित किया जा सके.

प्रमाणपत्र प्रबंधन लोड के साथ कंसोल के अंदर, विश्वसनीय रूट प्रमाणीकरण प्राधिकारी> प्रमाणपत्र पर नेविगेट करें। प्रमाणपत्र का पता लगाएँ, राइट-क्लिक करें और सभी कार्य> निर्यात का चयन करें.

निजी कुंजी निर्यात करने के लिए प्रेरित होने पर, हां चुनें। अगला पर क्लिक करें.

फ़ाइल प्रारूप के लिए डिफ़ॉल्ट चयनों को छोड़ दें और अगला क्लिक करें.

पासवर्ड ङालें। इसका उपयोग प्रमाण पत्र की सुरक्षा के लिए किया जाएगा और उपयोगकर्ता इस पासवर्ड को दर्ज किए बिना स्थानीय रूप से आयात नहीं कर पाएंगे.

प्रमाणपत्र फ़ाइल को निर्यात करने के लिए एक स्थान दर्ज करें। यह पीएफएक्स फॉर्मेट में होगा.

अपनी सेटिंग्स की पुष्टि करें और समाप्त पर क्लिक करें.

परिणामस्वरूप पीएफएक्स फ़ाइल वह है जो आपके क्लाइंट मशीनों को यह बताने के लिए स्थापित की जाएगी कि आपका स्वयं का हस्ताक्षरित प्रमाणपत्र एक विश्वसनीय स्रोत से है.

ग्राहक मशीनों के लिए तैनाती

एक बार जब आप सर्वर साइड पर प्रमाण पत्र बना लेते हैं और सब कुछ काम करते हैं, तो आप नोटिस कर सकते हैं कि जब कोई क्लाइंट मशीन संबंधित URL से जुड़ती है, तो प्रमाणपत्र चेतावनी प्रदर्शित होती है। ऐसा इसलिए होता है क्योंकि प्रमाणपत्र प्राधिकारी (आपका सर्वर) क्लाइंट पर SSL प्रमाणपत्र के लिए विश्वसनीय स्रोत नहीं है.

आप चेतावनी के माध्यम से क्लिक कर सकते हैं और साइट तक पहुंच सकते हैं, हालांकि आपको हाइलाइट किए गए URL बार या सर्टिफिकेट चेतावनी को दोहराते हुए नोटिस मिल सकते हैं। इस झुंझलाहट से बचने के लिए, आपको बस क्लाइंट मशीन पर कस्टम एसएसएल सुरक्षा प्रमाणपत्र स्थापित करना होगा.

आपके द्वारा उपयोग किए जाने वाले ब्राउज़र के आधार पर, यह प्रक्रिया अलग-अलग हो सकती है। आईई और क्रोम दोनों विंडोज सर्टिफिकेट स्टोर से पढ़ते हैं, हालांकि फ़ायरफ़ॉक्स में सुरक्षा प्रमाणपत्रों को संभालने का एक कस्टम तरीका है.

महत्वपूर्ण लेख: तुम्हे करना चाहिए कभी नहीँ किसी अज्ञात स्रोत से सुरक्षा प्रमाणपत्र स्थापित करें। व्यवहार में, आपको केवल एक प्रमाणपत्र स्थापित करना चाहिए यदि आपने इसे बनाया है। किसी भी वैध वेबसाइट को आपको इन चरणों को करने की आवश्यकता नहीं होगी.

इंटरनेट एक्सप्लोरर और गूगल क्रोम - स्थानीय रूप से प्रमाणपत्र स्थापित करना

नोट: भले ही फ़ायरफ़ॉक्स देशी विंडोज प्रमाणपत्र स्टोर का उपयोग नहीं करता है, यह अभी भी एक अनुशंसित कदम है.

प्रमाण पत्र की प्रतिलिपि बनाएँ जो सर्वर (PFX फ़ाइल) से क्लाइंट मशीन को निर्यात किया गया था या यह सुनिश्चित करें कि यह नेटवर्क पथ में उपलब्ध है.

ऊपर के समान सटीक चरणों का उपयोग करके ग्राहक मशीन पर स्थानीय प्रमाणपत्र स्टोर प्रबंधन खोलें। आप अंत में नीचे की तरह एक स्क्रीन पर समाप्त हो जाएंगे.

बाईं ओर, प्रमाणपत्र> विश्वसनीय रूट प्रमाणीकरण प्राधिकारी का विस्तार करें। प्रमाणपत्र फ़ोल्डर पर राइट क्लिक करें और सभी कार्य> आयात चुनें.

उस प्रमाणपत्र का चयन करें जिसे आपकी मशीन पर स्थानीय रूप से कॉपी किया गया था.

जब सर्वर से प्रमाण पत्र निर्यात किया गया था, तो सौंपा गया सुरक्षा पासवर्ड दर्ज करें.

स्टोर "विश्वसनीय रूट प्रमाणीकरण प्राधिकारी" को गंतव्य के रूप में पूर्वनिर्धारित किया जाना चाहिए। अगला पर क्लिक करें.

सेटिंग्स की समीक्षा करें और समाप्त पर क्लिक करें.

आपको एक सफलता संदेश देखना चाहिए.

विश्वसनीय रूट प्रमाणीकरण प्राधिकारी> प्रमाणपत्र फ़ोल्डर के अपने विचार को ताज़ा करें और आपको स्टोर में सूचीबद्ध सर्वर का स्व-हस्ताक्षरित प्रमाणपत्र देखना चाहिए.

ऐसा किया जाता है, आपको HTTPS साइट पर ब्राउज़ करने में सक्षम होना चाहिए जो इन प्रमाणपत्रों का उपयोग करता है और कोई चेतावनी या संकेत प्राप्त नहीं करता है.

फ़ायरफ़ॉक्स - अपवादों को छोड़ना

फ़ायरफ़ॉक्स इस प्रक्रिया को थोड़ा अलग तरीके से हैंडल करता है क्योंकि यह विंडोज़ स्टोर से प्रमाणपत्र की जानकारी को नहीं पढ़ता है। प्रमाण पत्र (प्रति-से) स्थापित करने के बजाय, यह आपको विशेष साइटों पर एसएसएल प्रमाणपत्र के अपवाद को परिभाषित करने की अनुमति देता है.

जब आप किसी ऐसी साइट पर जाते हैं जिसमें प्रमाणपत्र त्रुटि होती है, तो आपको नीचे दी गई चेतावनी की तरह मिलेगा। नीले क्षेत्र में उस संबंधित URL का नाम होगा जिसे आप एक्सेस करने का प्रयास कर रहे हैं। संबंधित URL पर इस चेतावनी को बायपास करने के लिए अपवाद बनाने के लिए, अपवाद जोड़ें बटन पर क्लिक करें.

सुरक्षा अपवाद जोड़ें संवाद में, स्थानीय रूप से इस अपवाद को कॉन्फ़िगर करने के लिए सुरक्षा अपवाद की पुष्टि करें पर क्लिक करें.

ध्यान दें कि यदि कोई विशेष साइट अपने भीतर से उप-डोमेन पर पुनर्निर्देशित करती है, तो आपको कई सुरक्षा चेतावनी संकेत मिल सकते हैं (URL हर बार थोड़ा अलग होने के साथ)। ऊपर के समान चरणों का उपयोग करके उन URL के अपवाद जोड़ें.

निष्कर्ष

यह ऊपर दिए गए नोटिस को दोहराने के लायक है जो आपको चाहिए कभी नहीँ किसी अज्ञात स्रोत से सुरक्षा प्रमाणपत्र स्थापित करें। व्यवहार में, आपको केवल एक प्रमाणपत्र स्थापित करना चाहिए यदि आपने इसे बनाया है। किसी भी वैध वेबसाइट को आपको इन चरणों को करने की आवश्यकता नहीं होगी.

लिंक

Microsoft से IIS 6.0 संसाधन टूलकिट (सेल्फएसएसएल उपयोगिता शामिल) डाउनलोड करें