IIS 7.5 Erstellen von selbstsignierten Zertifikaten mit einem Gültigkeitsdatum von mehr als einem Jahr

15

Ich erstelle selbstsignierte SSL-Zertifikate in IIS 7.5 für den internen Gebrauch. Das Problem, das ich habe, ist, dass ich sie so erstellen möchte, dass sie 10 Jahre lang halten, da es sich nur um eine Entwicklungsumgebung handelt.

In IIS 7.5 wird keine Option angezeigt, in der Sie die Gültigkeitsdauer des Zertifikats angeben können. Standardmäßig werden Zertifikate erstellt, die innerhalb eines Jahres ablaufen.

Gibt es eine Möglichkeit, dies zu ändern, damit sie 10 Jahre gültig sind?

iis-7.5  ssl-certificate  certificate 
user1153199
quelle

Antworten:

13

Verwenden Sie dazu das SelfSSL.exeTool, das mit dem IIS6 Resource Kit geliefert wird. Das Resource Kit erhalten Sie hier:

http://www.microsoft.com/download/de/details.aspx?displaylang=de&id=17275

Das Installationsprogramm entpackt die Tools einfach in einen Ordner und greift nicht in Ihre Maschineneinstellungen ein. Mit der benutzerdefinierten Installationsoption können Sie auch auswählen, welche Tools Sie installieren möchten, und in einen Ordner Ihrer Wahl kopieren.

Öffnen Sie eine Administrator-Befehlszeile und wechseln Sie in das Verzeichnis, in dem Sie das SelfSSLBefehlszeilentool installiert haben.

Führen Sie die folgenden Schritte aus, um ein neues selbstsigniertes SSL-Zertifikat zu generieren, das nach 10 Jahren abläuft:

selfssl /n:cn=www.mydomain.com / v: 3650 / s: 8 / k: 2048

Dadurch wird ein SSL generiert, bei dem:

  • /n:cn=www.mydomain.com- Die SSL ist für www.mydomain.com. Der cn=(gebräuchliche Name) ist wichtig, verpassen Sie ihn also nicht.

  • /v:3650 - Anzahl der Tage, für die das Zertifikat gültig ist, in diesem Fall zehn Jahre

  • /s:8 - Installieren Sie das Zertifikat in der Site-ID 8

  • /k:2048 - Verwenden Sie eine Schlüssellänge von 2048 Bit.

Leider gibt es keine Möglichkeit, das SSL direkt in eine Datei auszugeben. Sie müssen es auf einer Site installieren. Die gute Nachricht ist jedoch, dass das Zertifikat exportierbar ist.

Wenn Sie möchten, dass die Warnung, dass SSL nicht vertrauenswürdig ist, beim Aufrufen von Websites mit selbstsigniertem SSL nicht mehr angezeigt wird, können Sie Folgendes beheben:

  1. Exportieren Sie das selbstsignierte SSL in eine .pfxDatei (Sie müssen ein Kennwort festlegen, stellen Sie sicher, dass Sie sich daran erinnern)
  2. Starten (über die Befehlszeile oder Start -> Ausführen) mmc certmgr.msc

  3. Navigieren Sie zu Trusted Root Certificate Authorities -> Certificatesund klicken Sie mit der rechten Maustaste, um zu der Import...Option zu gelangen :

    Bildbeschreibung hier eingeben

  4. Befolgen Sie die Anweisungen des Assistenten und geben Sie das .pfxzu importierende Kennwort an. Klicken Sie anschließend auf Weiter (Sie benötigen das in Schritt 1 festgelegte Kennwort):

    Bildbeschreibung hier eingeben

  5. Im nächsten Schritt des Assistenten müssen wir den zu verwendenden Speicher auswählen. Klicken Sie auf die Browse...Schaltfläche, um das Select Certificate StoreFenster zu öffnen . Wir müssen die physischen Läden sehen, also stellen Sie sicher, dass es einen Haken gibt Show physical stores:

    Bildbeschreibung hier eingeben

    Erweitern Trusted Root Certificate Authoritiesund wählen Sie Local Computerwie in der obigen Bildschirmaufnahme beschrieben, und klicken Sie dann auf OKund dann aufNext >

  6. Klicken Sie im Finishletzten Schritt des Assistenten auf die Schaltfläche. Wenn alles in Ordnung ist, sollten Sie Folgendes sehen:

    Bildbeschreibung hier eingeben

Vorsichtsmaßnahmen und Fallstricke:

  • In SelfSSL müssen möglicherweise die IIS6-Verwaltungskompatibilitätskomponenten installiert sein. Ich kann es nicht sagen, da auf meinen eigenen Maschinen dies bereits installiert ist und keine VM zum Testen dieser Theorie verfügbar ist, indem sie entfernt wird.

  • Stellen Sie SSL für cn=www.mydomain.comund nicht für aus, cn=mydomain.comwenn Sie SSL zum Speicher vertrauenswürdiger Stammzertifizierungsstellen hinzufügen möchten.

Kev
quelle
Hallo, vielen Dank für Ihre Hilfe. Auf jeden Fall hat geholfen, was ich tun muss. Cheers Jeff
Ich kann keinen funktionierenden Download-Link für das IIS6 Resource Kit finden. Weiß jemand, wo es zu finden ist?
John Bubriski
@ JohnBubriski - grr, MS sind echt nervig. Wenn Sie bis Freitag warten können, kann ich irgendwo eine Kopie aufkleben.
Kev
Eigentlich bin ich jetzt gut, ich habe einen Weg gefunden. Ich werde eine Antwort
posten
0

Soweit ich weiß, besteht das Problem mit IIS 7.x darin, dass Sie den Hostheader für die SSL-Bindung nicht festlegen können.

Mit dem Befehlszeilenprogramm appcmd sollten Sie dazu in der Lage sein. Die Sites können dasselbe Zertifikat verwenden, haben jedoch unterschiedliche Hostheader.

Wenn Sie die folgenden 2 Befehle mit Ihren Daten ausführen, sollten die Host-Header konfiguriert werden.

c:\Windows\System32\inetsrv>appcmd set site /site.name:"local.yourdomain.com" /+bindings.[protocol='https',bindingInformation='*:443:local.yourdomain.com']

c:\Windows\System32\inetsrv>appcmd set site /site.name:"local.dev.yourdomain.com" /+bindings.[protocol='https',bindingInformation='*:443:local.dev.yourdomain.com']

Leider müssen Sie noch etwas tun, damit dies funktioniert, aber ich weiß nicht genau, was. Ich weiß, dass ich einige IIS-Zurücksetzungen durchgeführt und die SSL-Zertifikate erneut ausgewählt habe, bin mir jedoch nicht sicher, in welcher Reihenfolge dies erfolgen soll. Aber ich weiß, dass ich nichts ‚Lustiges 'getan habe, als ein anderes Werkzeug zu verwenden.

John Bubriski
quelle
John, das sollte es sein, solange das Zertifikat auf dem Server geladen ist. Möglicherweise müssen Sie das zu verwendende SSL-Zertifikat für jede Site auswählen.
Brent Pabst
Ja, ich glaube, ich hatte bereits ein selbstsigniertes Zertifikat für die beiden Sites konfiguriert.
John Bubriski
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.