Cloud und Internet

IT: So erstellen Sie ein selbstsigniertes Sicherheitszertifikat (SSL) und stellen es auf Clientcomputern bereit


Entwickler und IT-Administratoren müssen zweifellos einige Websites über HTTPS mit einem SSL-Zertifikat bereitstellen. Während dieser Prozess für eine Produktions-Site ziemlich einfach ist, können Sie für Entwicklungs- und Testzwecke auch hier die Notwendigkeit feststellen, ein SSL-Zertifikat zu verwenden.

Als Alternative zum Kauf und zur Verlängerung eines Jahreszertifikats können Sie die Fähigkeit Ihres Windows Servers nutzen, ein selbstsigniertes Zertifikat zu generieren, das bequem und einfach ist und diese Art von Anforderungen perfekt erfüllen sollte.

Erstellen eines selbstsignierten Zertifikats auf IIS

Es gibt zwar mehrere Möglichkeiten zum Erstellen eines selbstsignierten Zertifikats, wir verwenden jedoch das SelfSSL-Dienstprogramm von Microsoft. Leider wird dies nicht mit IIS geliefert, ist aber als Teil des IIS 6.0 Resource Toolkits frei verfügbar (Link am Ende dieses Artikels). Trotz des Namens „IIS 6.0“ funktioniert dieses Dienstprogramm in IIS 7 einwandfrei.

Sie müssen lediglich IIS6RT extrahieren, um das Dienstprogramm selfssl.exe zu erhalten. Von hier aus können Sie es in Ihr Windows-Verzeichnis oder einen Netzwerkpfad/USB-Laufwerk kopieren, um es später auf einem anderen Computer zu verwenden (damit Sie nicht das vollständige IIS6RT herunterladen und extrahieren müssen).

Sobald Sie das SelfSSL-Dienstprogramm installiert haben, führen Sie den folgenden Befehl (als Administrator) aus und ersetzen Sie die Werte in entsprechend:

selfssl /N:CN= /V:

Das folgende Beispiel erzeugt ein selbstsigniertes Wildcard-Zertifikat für „mydomain.com“ und legt es auf eine Gültigkeit von 9.999 Tagen fest. Wenn Sie die Eingabeaufforderung mit Ja beantworten, wird dieses Zertifikat außerdem automatisch so konfiguriert, dass es an Port 443 innerhalb der Standardwebsite von IIS gebunden wird.

1622825550 290 IT So erstellen Sie ein selbstsigniertes Sicherheitszertifikat SSL und stellen

Das Zertifikat ist zu diesem Zeitpunkt zwar einsatzbereit, wird jedoch nur im persönlichen Zertifikatspeicher auf dem Server gespeichert. Es ist eine bewährte Methode, dieses Zertifikat auch im vertrauenswürdigen Stammverzeichnis festzulegen.

Gehen Sie zu Start > Ausführen (oder Windows-Taste + R) und geben Sie „mmc“ ein. Möglicherweise erhalten Sie eine UAC-Eingabeaufforderung, akzeptieren Sie diese und eine leere Managementkonsole wird geöffnet.

1622825550 590 IT So erstellen Sie ein selbstsigniertes Sicherheitszertifikat SSL und stellen

Gehen Sie in der Konsole zu Datei > Snap-In hinzufügen/entfernen.

1622825550 944 IT So erstellen Sie ein selbstsigniertes Sicherheitszertifikat SSL und stellen

Zertifikate von der linken Seite hinzufügen.

1622825550 499 IT So erstellen Sie ein selbstsigniertes Sicherheitszertifikat SSL und stellen

Wählen Sie Computerkonto aus.

1622825551 782 IT So erstellen Sie ein selbstsigniertes Sicherheitszertifikat SSL und stellen

Wählen Sie Lokaler Computer.

1622825551 693 IT So erstellen Sie ein selbstsigniertes Sicherheitszertifikat SSL und stellen

Klicken Sie auf OK, um den lokalen Zertifikatspeicher anzuzeigen.

1622825551 941 IT So erstellen Sie ein selbstsigniertes Sicherheitszertifikat SSL und stellen

Navigieren Sie zu Persönlich > Zertifikate und suchen Sie das Zertifikat, das Sie mit dem SelfSSL-Dienstprogramm eingerichtet haben. Klicken Sie mit der rechten Maustaste auf das Zertifikat und wählen Sie Kopieren.

1622825551 607 IT So erstellen Sie ein selbstsigniertes Sicherheitszertifikat SSL und stellen

Navigieren Sie zu Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate. Klicken Sie mit der rechten Maustaste auf den Ordner Zertifikate und wählen Sie Einfügen.

1622825551 193 IT So erstellen Sie ein selbstsigniertes Sicherheitszertifikat SSL und stellen

In der Liste sollte ein Eintrag für das SSL-Zertifikat erscheinen.

1622825552 83 IT So erstellen Sie ein selbstsigniertes Sicherheitszertifikat SSL und stellen

Zu diesem Zeitpunkt sollte Ihr Server keine Probleme haben, mit dem selbstsignierten Zertifikat zu arbeiten.

Exportieren des Zertifikats

Wenn Sie auf einem Client-Rechner (dh jedem Computer, der nicht der Server ist) auf eine Site zugreifen, die das selbstsignierte SSL-Zertifikat verwendet, sollte das selbstsignierte Zertifikat installiert werden, um einen möglichen Ansturm von Zertifikatsfehlern und Warnungen zu vermeiden auf jedem der Client-Rechner (auf die wir weiter unten ausführlich eingehen werden). Dazu müssen wir zunächst das jeweilige Zertifikat exportieren, damit es auf den Clients installiert werden kann.

Navigieren Sie in der Konsole mit geladener Zertifikatsverwaltung zu Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate. Suchen Sie das Zertifikat, klicken Sie mit der rechten Maustaste und wählen Sie Alle Aufgaben > Exportieren.

1622825552 923 IT So erstellen Sie ein selbstsigniertes Sicherheitszertifikat SSL und stellen

Wenn Sie aufgefordert werden, den privaten Schlüssel zu exportieren, wählen Sie Ja. Weiter klicken.

1622825552 357 IT So erstellen Sie ein selbstsigniertes Sicherheitszertifikat SSL und stellen

Behalten Sie die Standardauswahl für das Dateiformat bei und klicken Sie auf Weiter.

1622825552 790 IT So erstellen Sie ein selbstsigniertes Sicherheitszertifikat SSL und stellen

Geben Sie ein Passwort ein. Dies wird zum Schutz des Zertifikats verwendet und Benutzer können es ohne Eingabe dieses Kennworts nicht lokal importieren.

1622825553 242 IT So erstellen Sie ein selbstsigniertes Sicherheitszertifikat SSL und stellen

Geben Sie einen Speicherort ein, um die Zertifikatsdatei zu exportieren. Es wird im PFX-Format sein.

1622825553 819 IT So erstellen Sie ein selbstsigniertes Sicherheitszertifikat SSL und stellen

Bestätigen Sie Ihre Einstellungen und klicken Sie auf Fertig stellen.

1622825553 804 IT So erstellen Sie ein selbstsigniertes Sicherheitszertifikat SSL und stellen

Die resultierende PFX-Datei wird auf Ihren Client-Computern installiert, um ihnen mitzuteilen, dass Ihr selbstsigniertes Zertifikat von einer vertrauenswürdigen Quelle stammt.

Bereitstellen auf Clientcomputern

Sobald Sie das Zertifikat serverseitig erstellt haben und alles funktioniert, werden Sie möglicherweise feststellen, dass beim Verbinden eines Client-Rechners mit der entsprechenden URL eine Zertifikatswarnung angezeigt wird. Dies liegt daran, dass die Zertifizierungsstelle (Ihr Server) keine vertrauenswürdige Quelle für SSL-Zertifikate auf dem Client ist.

1622825553 76 IT So erstellen Sie ein selbstsigniertes Sicherheitszertifikat SSL und stellen

Sie können sich durch die Warnungen klicken und auf die Site zugreifen, erhalten jedoch möglicherweise wiederholte Benachrichtigungen in Form einer hervorgehobenen URL-Leiste oder wiederholten Zertifikatswarnungen. Um dieses Ärgernis zu vermeiden, müssen Sie lediglich das benutzerdefinierte SSL-Sicherheitszertifikat auf dem Client-Rechner installieren.

Je nach verwendetem Browser kann dieser Vorgang variieren. IE und Chrome lesen beide aus dem Windows-Zertifikatspeicher, Firefox verfügt jedoch über eine benutzerdefinierte Methode zum Umgang mit Sicherheitszertifikaten.

Wichtiger Hinweis: Du solltest noch nie Installieren Sie ein Sicherheitszertifikat von einer unbekannten Quelle. In der Praxis sollten Sie ein Zertifikat nur dann lokal installieren, wenn Sie es generiert haben. Keine legitime Website würde von Ihnen verlangen, diese Schritte auszuführen.

Internet Explorer & Google Chrome – Zertifikat lokal installieren

Hinweis: Auch wenn Firefox nicht den nativen Windows-Zertifikatspeicher verwendet, ist dies dennoch ein empfohlener Schritt.

Kopieren Sie das vom Server exportierte Zertifikat (die PFX-Datei) auf den Client-Rechner oder stellen Sie sicher, dass es in einem Netzwerkpfad verfügbar ist.

Öffnen Sie die Verwaltung des lokalen Zertifikatspeichers auf dem Client-Computer, indem Sie genau die gleichen Schritte wie oben ausführen. Sie werden schließlich auf einem Bildschirm wie dem folgenden landen.

1622825554 771 IT So erstellen Sie ein selbstsigniertes Sicherheitszertifikat SSL und stellen

Erweitern Sie auf der linken Seite Zertifikate > Vertrauenswürdige Stammzertifizierungsstellen. Klicken Sie mit der rechten Maustaste auf den Ordner Zertifikate und wählen Sie Alle Aufgaben > Importieren.

1622825554 302 IT So erstellen Sie ein selbstsigniertes Sicherheitszertifikat SSL und stellen

Wählen Sie das Zertifikat aus, das lokal auf Ihren Rechner kopiert wurde.

1622825554 915 IT So erstellen Sie ein selbstsigniertes Sicherheitszertifikat SSL und stellen

Geben Sie das beim Exportieren des Zertifikats vom Server zugewiesene Sicherheitskennwort ein.

1622825554 164 IT So erstellen Sie ein selbstsigniertes Sicherheitszertifikat SSL und stellen

Als Ziel sollte der Store „Trusted Root Certification Authorities“ vorausgefüllt sein. Weiter klicken.

1622825555 519 IT So erstellen Sie ein selbstsigniertes Sicherheitszertifikat SSL und stellen

Überprüfen Sie die Einstellungen und klicken Sie auf Fertig stellen.

1622825555 631 IT So erstellen Sie ein selbstsigniertes Sicherheitszertifikat SSL und stellen

Sie sollten eine Erfolgsmeldung sehen.

1622825555 338 IT So erstellen Sie ein selbstsigniertes Sicherheitszertifikat SSL und stellen

Aktualisieren Sie Ihre Ansicht des Ordners Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate, und das selbstsignierte Zertifikat des Servers sollte im Speicher aufgeführt sein.

1622825555 397 IT So erstellen Sie ein selbstsigniertes Sicherheitszertifikat SSL und stellen

Sobald dies geschehen ist, sollten Sie in der Lage sein, zu einer HTTPS-Site zu navigieren, die diese Zertifikate verwendet, und Sie erhalten keine Warnungen oder Aufforderungen.

Firefox – Ausnahmen zulassen

Firefox handhabt diesen Vorgang etwas anders, da er keine Zertifikatsinformationen aus dem Windows Store liest. Anstatt Zertifikate (per-se) zu installieren, können Sie Ausnahmen für SSL-Zertifikate auf bestimmten Sites definieren.

Wenn Sie eine Site besuchen, die einen Zertifikatsfehler aufweist, erhalten Sie eine Warnung wie die folgende. Der blaue Bereich benennt die jeweilige URL, auf die Sie zugreifen möchten. Um eine Ausnahme zu erstellen, um diese Warnung für die jeweilige URL zu umgehen, klicken Sie auf die Schaltfläche Ausnahme hinzufügen.

1622825555 791 IT So erstellen Sie ein selbstsigniertes Sicherheitszertifikat SSL und stellen

Klicken Sie im Dialogfeld Sicherheitsausnahme hinzufügen auf Sicherheitsausnahme bestätigen, um diese Ausnahme lokal zu konfigurieren.

1622825556 336 IT So erstellen Sie ein selbstsigniertes Sicherheitszertifikat SSL und stellen

Beachten Sie, dass Sie möglicherweise mehrere Sicherheitswarnungen erhalten, wenn eine bestimmte Site von sich selbst auf Subdomains umleitet (wobei die URL jedes Mal leicht unterschiedlich ist). Fügen Sie Ausnahmen für diese URLs hinzu, indem Sie die gleichen Schritte wie oben ausführen.

Fazit

Es lohnt sich, den obigen Hinweis zu wiederholen, dass Sie noch nie Installieren Sie ein Sicherheitszertifikat von einer unbekannten Quelle. In der Praxis sollten Sie ein Zertifikat nur dann lokal installieren, wenn Sie es generiert haben. Keine legitime Website würde von Ihnen verlangen, diese Schritte auszuführen.

Links

Laden Sie das IIS 6.0 Resource Toolkit (einschließlich SelfSSL-Dienstprogramm) von Microsoft herunter



Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ähnliche Artikel

Schaltfläche "Zurück zum Anfang"