Como criar um certificado SSL curinga auto-assinado para IIS 6?
-
19-08-2019 - |
Pergunta
Eu estou tentando criar um certificado SSL curinga auto-assinado para uso em um número de servidores de desenvolvimento e teste em execução IIS 6. Após vários guias levou a algumas maneiras de gerar os certificados, mas eu não tive alguma sorte fazê-la funcionar. As formas mais bem sucedidas que eu tive estavam seguindo este OpenSSL guiar e usando makecert.exe assim:
makecert.exe -r -b 01/01/2009 -e 01/01/2042 -sr LocalMachine -ss MY -a sha1 -n CN="*.example.com" -sky exchange -pe -eku 1.3.6.1.5.5.7.3.1 -sy 12 -sp "Microsoft RSA SChannel Cryptographic Provider" wildcard.cer
Ambos os quais geram certificados que IIS 6 vai aceitar, mas quando eu realmente tentar ver o site eu recebo o seguinte erro no firefox:
Transferência de Dados Interrompida
A conexão com dev.example.com foi interrompida enquanto a página estava a ser carregada.
IE só dá:
Internet Explorer não pode exibir a página da Web
A maioria das causas prováveis:
- Você não está conectado à Internet.
- O site está encontrando problemas.
- Pode haver um erro de digitação no endereço.
Este erro acontece se eu tentar acessá-lo pelo nome de domínio, nome da máquina, localhost, ip local ou loopback IP.
Então ... como posso criar uma cert curinga auto-assinado que o IIS 6 vai trabalhar? Ou como posso corrigir os problemas que estou enfrentando com os que eu já criou?
Solução
Você pode usar o IIS 6 Resource Kit fornecido pela MS, um aplicativo de linha de comando chamado SelfSSL. Pode gerar a chave SSL e importá-lo para a instalação seu IIS.
Outras dicas
Você pode fazer um certificado curinga com * protocolos SSL .domain.local e múltiplas usando a c: \ inetpub \ adminscripts adsutil.vbs w3svc conjunto [siteid] \ SecureBindings ": 443: name.domain.local"
Será que você percebe que você precisa mudança de "example.com" a alguma coisa mais adequado à sua situação ( "localhost" pode ser um deles durante o teste).
Para o IIS 7 - há uma wzard para fazer isso. Demora cerca de 30 segundos para a instalação.
Para IIS 6 - é um pouco mais complicado. Demora cerca de 30 minutos para a instalação.
Qual deles você está usando?
Eu recomendo fortemente migrar para o IIS 7 -. É muito estranho no início, mas eles fizeram um monte de melhorias
Uma vez que você provavelmente não pode atualizar para o IIS 7, eu tinha que fazer o seguinte para implementar o que você quer em IIS 6.
1) criar servidor de certificados 2) gerar pedido 3) pedido de concessão 4) instalar o certificado
É um pouco de dor para configurar o servidor de autoridade de certificação, mas ele vem com Windows Server e o passo a passo é bastante simples.
Nós descobrimos que a autoridade de certificação não estava sendo confiável por causa de configurações de domínio e estava causando os erros. Acabamos implantação de uma cert estrela gerado por um de confiança CA e que esclareceu os problemas.