česky | english
Jak vytvořit serverový certifikát v MS IIS 8.5
Platforma pro IIS server je MS Windows server 2012. Správu serverových certifikátů najdete v nástroji správy IIS 8.5, když si v levém panelu zvolíte položku serveru:
Po otevření položky se zobrazí okno, ve kterém budete pracovat. V jeho středním panelu jsou zobrazeny údaje o instalovaných certifikátech, které jsou pro webový server k dispozici:
V pravém panelu akcí jsou celkem tři způsoby vytvoření certifikátu. Jde vždy o jednoduchý certifikát neobsahující alternativní názvy (SAN):
- Vytvořit žádost o certifikát (CSR) - tato možnost je nejvhodnější, jestliže potřebujete žádost uložit jako soubor a předložit k podpisu certifikační autoritě, například CAcert.
- Vytvořit certifikát domény - tato možnost nevytvoří soubor CSR, ale ihned předloží žádost místní (doménové) certifikační autoritě.
- Vytvořit certifikát podepsaný sám sebou - vhodné pouze pro testovací účely, protože vzniklý certifikát není podepsán žádnou známou a důvěryhodnou certifikační autoritou.
Dále se tedy budeme zabývat pouze první možností, kde vytvoříme soubor obsahující jednoduchou žádost o certifikát. Jestliže však položky alternativních názvů předmětu (SAN), tj. webového serveru, potřebujete, je nejvhodnější vytvořit certifikát jinou metodou, popsanou například zde, a importovat ho ze souboru tvaru .PFX/.P12 - v tom případě použijte první možnost panelu akcí - Importovat.
Po přechodu na odkaz "Vytvořit žádost o certifikát..." se otevře dialog, kde zadáte základní údaje o serveru, jeho umístění a firmě:
Dalším krokem průvodce je zadání souboru, kam se žádost uloží, a délky klíče (tj. síly šifrování). Je vhodné vybrat délku klíče aspoň 2048 bitů:
V posledním kroku průvodce zadáte umístění a název souboru, kam se žádost uloží:
Soubor žádosti o certifikát lze vytvořit s jakoukoli příponou (standardně .txt). Kdybyste předložili žádost k podpisu CA službě Microsoftu, můžete zadat dodatečně alternativní názvy předmětu (SAN) - zde internetového názvu (FQDN) webového serveru - do pole přidaných atributů:
Pro získání serverového certifikátu od CAcert však musíte obsah žádosti vložit do webového formuláře na webu CAcert.org, což je možné, máte-li alespoň 50 bodů zaručení. Z menu v pravé části okna vyberte "Certifikát serveru" - "Nový".
Na obrázku je výřez z webového formuláře CAcert. Zde ani při zobrazení "Pokročilé možnosti" nelze alternativní názvy (SAN) zadat. Potřebujete-li je, musí být už součástí žádosti o certifikát. V takovém případě musí být žádost připravena jiným způsobem, ne tímto jednoduchým generátorem.
Standardní nastavení nabízí tvorbu haše algoritmem SHA-256 a podpis kořenovým certifikátem třídy 3, který používá modernější algoritmus SHA1 (oproti původnímu MD5). Ponechejte přednastavené hodnoty, zaškrtněte pouze souhlas s dohodou komunity CAcert a stiskněte tlačítko Odeslat.
Podrobný postup získání certifikátu pro server najdete zde.
Vystavený certifikát pak instalujete opět v nástroji správy IIS 8.5 použitím funkce "Dokončit žádost o certifikát..." v panelu akcí. Je třeba zadat umístění certifikátu a jeho popisný identifikační název, který si stanovíte:
Při tomto postupu vznikne privátní klíč přímo na webovém serveru, takže všechny podmínky pro použití nového certifikátu jsou téměř splněny. Je pouze třeba svázat certifikát s protokolem HTTPS.
V levém panelu okna vyberte webový server, který bude pracovat protokolem HTTPS. Pak v pravém panelu zvolte akci "Vazby...". Otevře se dialog, kde zvolíte protokol HTTPS a upravíte ho (panel akcí - "Upravit..."), nebo ho definujete (panel akcí - "Přidat...", pokud tam ještě není HTTPS uveden.
Tím se otevře další dialog, kde zvolíte nebo upravíte typ "https", vyberete IP adresu (standardně všechny nepřiřazené), port (standardně 443) a certifikát - z těch, které jsou zobrazeny v okně "Certifikáty serveru" Správce IIS. Indikaci názvu serveru (SNI) zaškrtnete, pokud provozujete více virtuálních serverů na téže IP adrese. Název je pak porovnáván se žádostí prohlížeče, aby mohl být vybrán správný web.
Po uzavření dialogů a restartu webové služby na serveru je jeho činnost protokolem HTTPS funkční.