Настройка HTTPS: различия между версиями

Материал из DPA
Перейти к навигации Перейти к поиску
Строка 18: Строка 18:
  
 
После того, как сертификат установлен необходимо:
 
После того, как сертификат установлен необходимо:
1. Найти сертификат в консоли управления (MMC) и запомнить его отпечаток:
+
#Найти сертификат в консоли управления (MMC) и запомнить его отпечаток:
a. Win+R
+
##win+R
b. Mmc
+
##mmc
c. Файл -> Добавить или удалить оснастку.
+
##Файл -> Добавить или удалить оснастку.
d. Выбрать сертификаты и нажать кнопку добавить.
+
##Выбрать сертификаты и нажать кнопку добавить.
e. Выбрать учетную запись компьютера и нажать далее.
+
##Выбрать учетную запись компьютера и нажать далее.
f. Выбрать локальный компьютер и нажать далее.
+
##Выбрать локальный компьютер и нажать далее.
g. Найти нужный сертификат и дважды щелкнуть по нему.
+
##Найти нужный сертификат и дважды щелкнуть по нему.
h. Перейти на вкладку Состав.
+
##Перейти на вкладку "Состав".
i. Найти в списке поле Отпечатки щелкнуть его.
+
##Найти в списке поле "Отпечатки", щелкнуть его.
j. Скопировать шестнадцатеричные значения из текстового поля (без пробелов).
+
##Скопировать шестнадцатеричные значения из текстового поля (без пробелов).
2. Выполнить привязку SSL-сертификата к номеру порта:
+
#Выполнить привязку SSL-сертификата к номеру порта:
a. Запустить консоль с привилегией администратора.
+
##Запустить консоль с привилегией администратора.  
b. netsh http add sslcert ipport=0.0.0.0:443  certhash=отпечаток appid={9b370ac4-e875-4a1f-bc11-5c0a39cc4768} где, отпечаток- шестнадцатеричные значения из предыдущего пункта
+
##Выполнить команду: <pre>netsh http add sslcert ipport=0.0.0.0:443  certhash=отпечаток appid={9b370ac4-e875-4a1f-bc11-5c0a39cc4768}</pre> где, отпечаток - шестнадцатеричные значения из предыдущего пункта.
 
+
##Выполнить команду: <pre>netsh http add urlacl url=https://*:443/ user=”NT AUTHORITY\SYSTEM”</pre>.
 
+
#Настроить службу DPA Host
c. netsh http add urlacl url=https://*:443/ user=”NT AUTHORITY\СИСТЕМА”
+
<pre>
3. Настроить службу DPA Host
+
sc stop DPAHost
a. sc stop DPAHost
+
sc delete DPAHost
 
+
sc create DPAHost binPath= "C:\Program Files\X-tensive\DPA Host\Xtensive.DPA.Web.exe https://*:443" start= auto
b. sc delete DPAHost
+
sc start DPAHost
 
+
</pre>
c. sc create DPAHost binPath= "C:\Program Files\X-tensive\DPA Host\Xtensive.DPA.Web.exe https://*:443" start= auto
 
 
 
d. sc start DPAHost
 

Версия 01:59, 13 апреля 2020

Есть множество вариантов сертификатов и способов их получения. Во всех случаях соединение будет зашифровано, но в некоторых случаях браузер будет предупреждать, что соединение не безопасно. Вот несколько из них:

  • Самозаверенный сертификат. Это самый простой и быстрый способ создать/установить сертификат. Но в этом случае все браузеры точно будут сообщать о том, что соединение не безопасно. Создать его можно с помощью команды PowerShell:
New-SelfSignedCertificate -DnsName dnsName -CertStoreLocation cert:\LocalMachine\My 

где dnsName - имя компьютера на котором будет развернут сайт DPA - имя, по которому на него будут заходить в браузере.

  • Можно создать сертификат, подписанный с помощью корневого сертификата контроллера домена. В этом случае IE будет принимать этот сертификат без предупреждений, другие браузеры будут выдавать предупреждение. И это только на компьютерах, включенных в домен. На всех остальных компьютерах браузер всегда будет предупреждать о небезопасности подключения. Инструкция от Microsoft:

https://technet.microsoft.com/ru-ru/library/dd362553.aspx?f=255&MSPPError=-2147217396

  • Обратиться в один из центров сертификации и получить "зеленый" сертификат. Будет работать корректно и без предупреждений во всех браузерах.


Перед созданием сертификата необходимо решить: будет ли доступен сайт извне или только внутри локальной сети и под какими dns именами, т.к. сертификат жестко привязан к dns имени.

После того, как сертификат установлен необходимо:

  1. Найти сертификат в консоли управления (MMC) и запомнить его отпечаток:
    1. win+R
    2. mmc
    3. Файл -> Добавить или удалить оснастку.
    4. Выбрать сертификаты и нажать кнопку добавить.
    5. Выбрать учетную запись компьютера и нажать далее.
    6. Выбрать локальный компьютер и нажать далее.
    7. Найти нужный сертификат и дважды щелкнуть по нему.
    8. Перейти на вкладку "Состав".
    9. Найти в списке поле "Отпечатки", щелкнуть его.
    10. Скопировать шестнадцатеричные значения из текстового поля (без пробелов).
  2. Выполнить привязку SSL-сертификата к номеру порта:
    1. Запустить консоль с привилегией администратора.
    2. Выполнить команду:
      netsh http add sslcert ipport=0.0.0.0:443  certhash=отпечаток appid={9b370ac4-e875-4a1f-bc11-5c0a39cc4768}
      где, отпечаток - шестнадцатеричные значения из предыдущего пункта.
    3. Выполнить команду:
      netsh http add urlacl url=https://*:443/ user=”NT AUTHORITY\SYSTEM”
      .
  3. Настроить службу DPA Host
sc stop DPAHost
sc delete DPAHost
sc create DPAHost binPath= "C:\Program Files\X-tensive\DPA Host\Xtensive.DPA.Web.exe https://*:443" start= auto
sc start DPAHost