IT: Come creare un certificato SSL (Self Signed Security) e distribuirlo sui computer client

2024 Autore: Geoffrey Carr | [email protected]. Ultima modifica: 2024-02-02 12:09

Gli sviluppatori e gli amministratori IT hanno, senza dubbio, la necessità di distribuire alcuni siti Web tramite HTTPS utilizzando un certificato SSL. Anche se questo processo è abbastanza semplice per un sito di produzione, ai fini dello sviluppo e dei test si può trovare la necessità di utilizzare anche qui un certificato SSL.

In alternativa all'acquisto e al rinnovo di un certificato annuale, puoi sfruttare la capacità del tuo server Windows di generare un certificato autofirmato che sia comodo, facile e che soddisfi perfettamente questi tipi di esigenze.

Creazione di un certificato autofirmato su IIS

Mentre ci sono diversi modi per realizzare il compito di creare un certificato autofirmato, useremo l'utilità SelfSSL di Microsoft. Sfortunatamente, questo non viene fornito con IIS ma è liberamente disponibile come parte di IIS 6.0 Resource Toolkit (link fornito in fondo a questo articolo). Nonostante il nome "IIS 6.0", questa utility funziona perfettamente con IIS 7.

Tutto ciò che è necessario è estrarre IIS6RT per ottenere l'utilità selfssl.exe. Da qui è possibile copiarlo nella directory di Windows o in un percorso di rete / unità USB per un utilizzo futuro su un'altra macchina (quindi non è necessario scaricare ed estrarre l'IIS6RT completo).

Una volta installata l'utilità SelfSSL, eseguire il comando seguente (come amministratore) sostituendo i valori in <> come appropriato:


selfssl /N:CN= /V:

L'esempio seguente produce un certificato con caratteri jolly autofirmati contro "mydomain.com" e lo imposta come valido per 9999 giorni. Inoltre, rispondendo si al prompt, questo certificato viene automaticamente configurato per collegarsi alla porta 443 all'interno del sito Web predefinito di IIS.

Mentre a questo punto il certificato è pronto per l'uso, viene memorizzato solo nell'archivio certificati personale sul server. È buona pratica avere anche questo certificato impostato nella root attendibile.

Vai su Start> Esegui (o Tasto Windows + R) e inserisci "mmc". È possibile ricevere un prompt UAC, accettarlo e verrà aperta una console di gestione vuota.

Nella console, vai su File> Aggiungi / Rimuovi snap-in.

Aggiungi certificati dal lato sinistro.

Fare clic su OK per visualizzare l'archivio dei certificati locali.

Passare a Personale> Certificati e individuare il certificato che si è configurato utilizzando l'utilità SelfSSL. Fare clic con il tasto destro del mouse sul certificato e selezionare Copia.

Passare a Autorità di certificazione fonti attendibili> Certificati. Fare clic con il tasto destro sulla cartella Certificati e selezionare Incolla.

Una voce per il certificato SSL dovrebbe apparire nell'elenco.

A questo punto, il tuo server non dovrebbe avere problemi a lavorare con il certificato autofirmato.

Esportare il certificato

Se si sta per accedere a un sito che utilizza il certificato SSL autofirmato su qualsiasi macchina client (vale a dire qualsiasi computer che non sia il server), al fine di evitare un potenziale assalto di errori e avvisi del certificato, è necessario installare il certificato autofirmato su ciascuna delle macchine client (di cui parleremo in dettaglio qui sotto). Per fare ciò, dobbiamo prima esportare il rispettivo certificato in modo che possa essere installato sui client.

All'interno della console con Gestione certificati caricata, accedere a Autorità di certificazione fonti attendibili> Certificati. Individuare il certificato, fare clic con il tasto destro e selezionare Tutte le attività> Esporta.

Quando viene richiesto di esportare la chiave privata, selezionare Sì. Fare clic su Avanti.

Lasciare le selezioni predefinite per il formato file e fare clic su Avanti.

Inserisci una password. Questo verrà utilizzato per proteggere il certificato e gli utenti non saranno in grado di importarlo localmente senza inserire questa password.

Immettere un percorso per esportare il file del certificato. Sarà in formato PFX.

Conferma le tue impostazioni e fai clic su Fine.

Il file PFX risultante è ciò che verrà installato sulle macchine client per comunicare loro che il certificato autofirmato proviene da una fonte attendibile.

Distribuzione su macchine client

Una volta creato il certificato sul lato server e tutto funziona, si può notare che quando un computer client si connette al rispettivo URL, viene visualizzato un avviso del certificato. Ciò accade perché l'autorità di certificazione (il tuo server) non è un'origine affidabile per i certificati SSL sul client.

È possibile fare clic sugli avvisi e accedere al sito, tuttavia è possibile ottenere avvisi ripetuti sotto forma di una barra degli URL evidenziata o di avvertenze di ripetizione del certificato. Per evitare questo fastidio, è sufficiente installare il certificato di sicurezza SSL personalizzato sul computer client.

A seconda del browser che si utilizza, questo processo può variare. Sia IE sia Chrome leggono dall'archivio certificati di Windows, tuttavia Firefox ha un metodo personalizzato per gestire i certificati di sicurezza.

Nota importante: Dovresti mai installa un certificato di sicurezza da un'origine sconosciuta. In pratica, dovresti installare un certificato solo localmente se lo hai generato. Nessun sito Web legittimo richiederebbe di eseguire questi passaggi.

Internet Explorer e Google Chrome: installazione del certificato a livello locale

Nota: anche se Firefox non utilizza l'archivio certificati nativo di Windows, questo è comunque un passaggio consigliato.

Copia il certificato che è stato esportato dal server (il file PFX) sul computer client o assicurati che sia disponibile in un percorso di rete.

Aprire la gestione dell'archivio certificati locale sul computer client utilizzando gli stessi passaggi precedenti.Alla fine finirai su uno schermo come quello qui sotto.

Sul lato sinistro, espandere Certificati> Autorità di certificazione fonti attendibili. Fare clic con il tasto destro sulla cartella Certificati e selezionare Tutte le attività> Importa.

Seleziona il certificato che è stato copiato localmente sul tuo computer.

Immettere la password di sicurezza assegnata quando il certificato è stato esportato dal server.

Il negozio "Autorità di certificazione delle fonti attendibili" deve essere precompilato come destinazione. Fare clic su Avanti.

Rivedere le impostazioni e fare clic su Fine.

Dovresti vedere un messaggio di successo.

Aggiorna la visualizzazione della cartella Autorità di certificazione fonti attendibili> Certificati e dovresti vedere il certificato autofirmato del server elencato nello store.

Fatto ciò, dovresti essere in grado di esplorare un sito HTTPS che utilizza questi certificati e non ricevere avvisi o prompt.

Firefox - Permette eccezioni

Firefox gestisce questo processo in modo leggermente diverso in quanto non legge le informazioni sul certificato dall'archivio di Windows. Anziché installare certificati (per-se), consente di definire eccezioni per i certificati SSL su determinati siti.

Quando visiti un sito che ha un errore di certificato, riceverai un avvertimento come quello qui sotto. L'area in blu indicherà il rispettivo URL a cui stai tentando di accedere. Per creare un'eccezione per ignorare questo avviso sul rispettivo URL, fare clic sul pulsante Aggiungi eccezione.

Nella finestra di dialogo Aggiungi eccezione di sicurezza, fare clic su Conferma eccezione di sicurezza per configurare localmente questa eccezione.

Tieni presente che se un determinato sito reindirizza i sottodomini da se stesso, potresti ricevere più avvisi di avviso di sicurezza (con l'URL leggermente diverso ogni volta). Aggiungi eccezioni per quegli URL utilizzando gli stessi passaggi di cui sopra.

Conclusione

Vale la pena ripetere l'avviso di cui sopra mai installa un certificato di sicurezza da un'origine sconosciuta. In pratica, dovresti installare un certificato solo localmente se lo hai generato. Nessun sito Web legittimo richiederebbe di eseguire questi passaggi.