Настройка HTTPS: различия между версиями

Текущая версия на 01:37, 27 сентября 2022

Сертификат

Есть множество вариантов сертификатов и способов их получения. Во всех случаях соединение будет зашифровано, но в некоторых случаях браузер будет предупреждать, что соединение не безопасно. Вот несколько из них:

Самозаверенный сертификат. Это самый простой и быстрый способ создать/установить сертификат. Но в этом случае все браузеры точно будут сообщать о том, что соединение не безопасно. Создать его можно с помощью команды PowerShell, который следует запустить с правами администратора:

New-SelfSignedCertificate -DnsName dnsName -CertStoreLocation cert:\LocalMachine\My

где dnsName - имя компьютера на котором будет развернут сайт DPA - имя, по которому на него будут заходить в браузере.

Можно создать сертификат, подписанный с помощью корневого сертификата контроллера домена. В этом случае IE будет принимать этот сертификат без предупреждений, другие браузеры будут выдавать предупреждение. И это только на компьютерах, включенных в домен. На всех остальных компьютерах браузер всегда будет предупреждать о небезопасности подключения. Инструкция от Microsoft: https://docs.microsoft.com/en-us/previous-versions/system-center/operations-manager-2007-r2/dd362553(v=technet.10)

Обратиться в один из центров сертификации и получить "зеленый" сертификат. Будет работать корректно и без предупреждений во всех браузерах. Например, можно воспользоваться бесплатным сервисом сертификации LetsEncrypt для получения сертификата сроком до 90 дней, после истечения можно продлевать.

Перед созданием сертификата необходимо решить: будет ли доступен сайт извне или только внутри локальной сети и под какими dns именами, т.к. сертификат жестко привязан к dns имени.

Настройка DPA

После того, как сертификат установлен необходимо:

Найти сертификат в консоли управления MMC и запомнить его отпечаток:
- win+R
- mmc
- Файл -> Добавить или удалить оснастку.
- Выбрать "Сертификаты" и нажать кнопку добавить.
- Выбрать учетную запись компьютера и нажать далее.
- Выбрать локальный компьютер и нажать далее.
- Найти нужный сертификат и дважды щелкнуть по нему.
- Перейти на вкладку "Состав".
- Найти в списке поле "Отпечатки", щелкнуть его.
- Скопировать шестнадцатеричные значения из текстового поля - без пробелов!
Выполнить привязку SSL-сертификата к номеру порта:
- Запустить консоль с привилегией администратора.
- Выполнить команду:
```
netsh http add sslcert ipport=0.0.0.0:443 certhash=отпечаток appid={9b370ac4-e875-4a1f-bc11-5c0a39cc4768}
```
  где "отпечаток" - шестнадцатеричные значения из предыдущего пункта.
- Выполнить команду:
```
netsh http add urlacl url=https://*:443/ user=”NT AUTHORITY\SYSTEM”
```
Выбрать HTTPS при установке

Нажать на кнопку выбора адреса

Выбрать протокол HTTPS

@@ Строка 1: / Строка 1: @@
+==Сертификат==
 Есть множество вариантов сертификатов и способов их получения. Во всех случаях соединение будет зашифровано, но в некоторых случаях браузер будет предупреждать, что соединение не безопасно. Вот несколько из них:
+*Самозаверенный сертификат. Это самый простой и быстрый способ создать/установить сертификат. Но в этом случае все браузеры точно будут сообщать о том, что соединение не безопасно. Создать его можно с помощью команды PowerShell, который следует запустить с правами администратора:
-*Самозаверенный сертификат. Это самый простой и быстрый способ создать/установить сертификат. Но в этом случае все браузеры точно будут сообщать о том, что соединение не безопасно. Создать его можно с помощью команды PowerSehll:
 <pre>
@@ Строка 8: / Строка 9: @@
 </pre>
-где dnsName - имя компьютера на котором будет развернут сайт DPA (имя, по которому на него будут заходить в браузере).
+где dnsName - имя компьютера на котором будет развернут сайт DPA - имя, по которому на него будут заходить в браузере.
+*Можно создать сертификат, подписанный с помощью корневого сертификата контроллера домена. В этом случае IE будет принимать этот сертификат без предупреждений, другие браузеры будут выдавать предупреждение. И это только на компьютерах, включенных в домен. На всех остальных компьютерах браузер всегда будет предупреждать о небезопасности подключения. Инструкция от Microsoft: https://docs.microsoft.com/en-us/previous-versions/system-center/operations-manager-2007-r2/dd362553(v=technet.10)
-*Можно создать сертификат, подписанный с помощью корневого сертификата контроллера домена. В этом случае IE будет принимать этот сертификат без предупреждений, другие браузеры будут выдавать предупреждение. И это только на компьютерах, включенных в домен. На всех остальных компьютерах браузер всегда будет предупреждать о небезопасности подключения. Инструкция от Microsoft:<br/>
+*Обратиться в один из центров сертификации и получить "зеленый" сертификат. Будет работать корректно и без предупреждений во всех браузерах. Например, можно воспользоваться бесплатным сервисом сертификации [https://letsencrypt.org/ LetsEncrypt] для получения сертификата сроком до 90 дней, после истечения можно продлевать.
-https://technet.microsoft.com/ru-ru/library/dd362553.aspx?f=255&MSPPError=-2147217396
-*Обратиться в один из центров сертификации и получить "зеленый" сертификат. Будет работать корректно и без предупреждений во всех браузерах.
+Перед созданием сертификата необходимо решить: будет ли доступен сайт извне или только внутри локальной сети и под какими dns именами, т.к. сертификат жестко привязан к dns имени.
-Перед созданием сертификата необходимо решить: будет ли доступен сайт извне или только внутри локальной сети и под какими dns именами, т.к. сертификат жестко привязан к dns имени.
+==Настройка DPA==
 После того, как сертификат установлен необходимо:
-.	Найти сертификат в консоли управления (MMC) и запомнить его отпечаток:
+#Найти сертификат в консоли управления MMC и запомнить его отпечаток:
-a.	Win+R
+#*win+R
-b.	Mmc
+#*mmc
-c.	Файл -> Добавить или удалить оснастку.
+#*Файл -> Добавить или удалить оснастку.
-d.	Выбрать сертификаты и нажать кнопку добавить.
+#*Выбрать "Сертификаты" и нажать кнопку добавить.
-e.	Выбрать учетную запись компьютера и нажать далее.
+#*Выбрать учетную запись компьютера и нажать далее.
-f.	Выбрать локальный компьютер и нажать далее.
+#*Выбрать локальный компьютер и нажать далее.
-g.	Найти нужный сертификат и дважды щелкнуть по нему.
+#*Найти нужный сертификат и дважды щелкнуть по нему.
-h.	Перейти на вкладку Состав.
+#*Перейти на вкладку "Состав".
-i.	Найти в списке поле Отпечатки щелкнуть его.
+#*Найти в списке поле "Отпечатки", щелкнуть его.
-j.	Скопировать шестнадцатеричные значения из текстового поля (без пробелов).
+#*Скопировать шестнадцатеричные значения из текстового поля - без пробелов!
-.	Выполнить привязку SSL-сертификата к номеру порта:
+#Выполнить привязку SSL-сертификата к номеру порта:
-a.	Запустить консоль с привилегией администратора.
+#*Запустить консоль с привилегией администратора.
-b.	netsh http add sslcert ipport=0.0.0.0:443  certhash=отпечаток appid={9b370ac4-e875-4a1f-bc11-5c0a39cc4768} где, отпечаток- шестнадцатеричные значения из предыдущего пункта
+#*Выполнить команду: <pre>netsh http add sslcert ipport=0.0.0.0:443 certhash=отпечаток appid={9b370ac4-e875-4a1f-bc11-5c0a39cc4768}</pre> где "отпечаток" - шестнадцатеричные значения из предыдущего пункта.
+#*Выполнить команду: <pre>netsh http add urlacl url=https://*:443/ user=”NT AUTHORITY\SYSTEM”</pre>
+#Выбрать HTTPS при установке
-c.	netsh http add urlacl url=https://*:443/ user=”NT AUTHORITY\СИСТЕМА”
+Нажать на кнопку выбора адреса
-.	Настроить службу DPA Host
-a.	sc stop DPAHost
-b.	sc delete DPAHost
+[[file:Https_setup.png | 600px]]
-c.	sc create DPAHost binPath= "C:\Program Files\X-tensive\DPA Host\Xtensive.DPA.Web.exe https://*:443" start= auto
+Выбрать протокол HTTPS
-d.	sc start DPAHost
+[[file:Https_add.png]]

Настройка HTTPS: различия между версиями

Текущая версия на 01:37, 27 сентября 2022

Сертификат

Настройка DPA

Навигация

Персональные инструменты

Пространства имён

Варианты

Просмотры

Ещё

Поиск

Навигация

Инструменты