Платные доверенные сертификаты на Windows Server и IIS
Существуют следующие форматы приватного ключа:
- PEM-формат Этот формат чаще всего используется Удостоверяющими центрами. PEM сертификаты чаще всего имеют расширения *.pem, *.crt, *.cer или *.key (для закрытых ключей) и другие. Например, файл пакета SSL.com CA, доступный в таблице загрузок в порядке сертификата, имеет расширение *.ca-bundle. Содержимое файлов зашифровано с помощью Base64 и содержит строки «—–BEGIN CERTIFICATE—–» и «—–END CERTIFICATE—–». Данный формат сертификатов распространён в ОС Linux. Несколько PEM сертификатов и даже приватный ключ могут быть включены в один файл, один под другим. Но большинство серверов, таких как Apache, ожидает, что сертификат и приватный ключ находятся в разных файлах.
- PKCS#7/P7B форматФормат PKCS#7 или P7B сертификаты обычно сохраняются в формате Base64 ACVII и имеют расширение *.p7b или *.p7c. Сертификат P7B содержит строки «—–BEGIN PKCS7—–» и «—–END PKCS7—–». Этот формат содержит только сертификат и цепочку сертификатов, но не приватный ключ. Несколько распространённых платформ поддерживают этот формат, включая Microsoft Windows и Java Tomcat.
- PKCS#12/PFX форматФормат PKCS#12 или PFX – это бинарный формат для сохранения сертификата, любых промежуточных сертификатов и приватного ключа в один зашифрованный файл. PFX файлы обычно сохраняются с расширением *.pfx или *.p12. Как правило, этот формат используется на Windows сертификатах для экспорта/импорта сертификата и приватного ключа2.
Для генерации CSR-запроса в IIS 10 выполните следующие операции.
1.Запустите IIS из командной строки iis.msc или из визуального интерфейса.
2.Выберите в списке Connections свой сервер и кликните по кнопке Server Certificates.
3.На странице Server Certificates кликните в блоке Actions ссылку Create Certificate Request….
4.В окне Request Certificate мастера заполните поля CSR и нажмите кнопку Next:
5.В окне Cryptographic Service Provider Properties мастера выберите требуемый криптопровайдер, в зависимости от нужного алгоритма, и длину ключа, после чего нажмите кнопку Next:
6.В окне File Name мастера укажите путь к создаваемому CSR, после чего нажмите кнопку Finish:
Для отправки созданного CSR в Удостоверяющий центр откройте получившийся файл в текстовом редакторе и скопируйте содержимое в веб-форму поставщика сертификатов.
В результате создания CSR приватный ключ будет создан автоматически средствами IIS. Просмотр доступен на оснастке консоли Certificates в пунктах Personal или Веб Hosting дерева сертификатов.
Оснастка может быть скрыта в консоли. Чтобы её добавить, выполните в Start menu > Run команду mmc и в появившемся окне добавьте оснастку Certificates в список доступных на локальной машине:
Для экспорта приватного ключа с целью резервного копирования или настройки нового сервера выполните следующие действия:
1.Найдите в оснастке Certificates консоли управления созданный сертификат, кликните правой кнопкой мыши по нему, в появившемся контекстном меню кликните по пункту меню All Tasks > Export:
2.В окне Welcome to the Certificate Export Wizard мастера Certificate Export Wizard нажмите Next и далее в окне Export Private Key установите переключатель в положение Yes, export the private key, после чего нажмите кнопку Next:
3.В окне Export File Format мастера выберите тип пункт Personal Information Exchange – PKCS #12 (.PFX) и установите чекбокс Include all certificates in the certification path if possible., после чего нажмите кнопку Next. Будьте внимательны, если чекбокс Delete the private key if the export is successful будет отмечен, то созданный приватный ключ на текущем сервере будет удалён после экспорта:
4.В окне Security мастера поставьте чекбокс Password и дважды введите пароль для защиты приватного ключа. Он потребуется при последующем импорте. Дополнительно рекомендуется ограничить пользователей или группы Active Directory, которые имеют возможность использовать приватный ключ. Для этого поставьте чекбокс Group or user name и выберите требуемые группы или пользователей, после чего нажмите кнопку Next:
5.В окне File to Export мастера укажите путь к экспортируемому файлу с приватным ключом и его имя. Для этого введите его вручную или воспользуйтесь системным диалоговым окном поиска файла, после чего нажмите кнопку Next:
6.В окне File to Export мастера укажите путь к экспортируемому файлу с приватным ключом и его имя. Для этого введите его вручную или воспользуйтесь системным диалоговым окном поиска файла, после чего нажмите кнопку Next. В следующем окне Completing the Certificate Export Wizard будет приведён перечень установленных настроек. Нажмите в нём кнопку Finish. Экспортированный файл появится в указанной директории.
Для настройки SSL в IIS выполните следующие действия:
1.Запустите IIS из командной строки iis.msc или из визуального интерфейса.
2.Выберите в списке Connections свой сервер и кликните по ссылке Bindings… в блоке Actions.
3.В окне Site Bindings нажмите кнопку Add.
4.В окне Add Site Bindings заполните следующие поля и нажмите кнопку OK:
- IP address – выберите в выпадающем списке IP-адреса серверов, с которыми нужно связать сертификат или нажмите кнопку All Unassigned для связывания сертификата со всеми серверами.
- Port – оставьте значение 443. Это стандартный порт SSL.
- SSL certificate – в выпадающем списке выберите нужный SSL-сертификат.
Настройка закончена, можно проверять работу веб-сервиса. Если приватный ключ отсутствует, то импортируйте его в оснастке Certificates консоли управления. Для этого выберите нужный ресурс, кликните правой кнопкой мыши по нему, в появившемся контекстном меню кликните по пункту меню All Tasks > Import, далее следуйте инструкциям мастера.
