Настройка HTTPS: различия между версиями

Материал из DPA
Перейти к навигации Перейти к поиску
 
(не показана 21 промежуточная версия 4 участников)
Строка 1: Строка 1:
 +
==Сертификат==
 +
 
Есть множество вариантов сертификатов и способов их получения. Во всех случаях соединение будет зашифровано, но в некоторых случаях браузер будет предупреждать, что соединение не безопасно. Вот несколько из них:
 
Есть множество вариантов сертификатов и способов их получения. Во всех случаях соединение будет зашифровано, но в некоторых случаях браузер будет предупреждать, что соединение не безопасно. Вот несколько из них:
  
*Самозаверенный сертификат. Это самый простой и быстрый способ создать/установить сертификат. Но в этом случае все браузеры точно будут сообщать о том, что соединение не безопасно. Создать его можно с помощью команды PowerShell:
+
*Самозаверенный сертификат. Это самый простой и быстрый способ создать/установить сертификат. Но в этом случае все браузеры точно будут сообщать о том, что соединение не безопасно. Создать его можно с помощью команды PowerShell, который следует запустить с правами администратора:
  
 
<pre>
 
<pre>
Строка 9: Строка 11:
 
где dnsName - имя компьютера на котором будет развернут сайт DPA - имя, по которому на него будут заходить в браузере.
 
где dnsName - имя компьютера на котором будет развернут сайт DPA - имя, по которому на него будут заходить в браузере.
  
*Можно создать сертификат, подписанный с помощью корневого сертификата контроллера домена. В этом случае IE будет принимать этот сертификат без предупреждений, другие браузеры будут выдавать предупреждение. И это только на компьютерах, включенных в домен. На всех остальных компьютерах браузер всегда будет предупреждать о небезопасности подключения. Инструкция от Microsoft:<br/>
+
*Можно создать сертификат, подписанный с помощью корневого сертификата контроллера домена. В этом случае IE будет принимать этот сертификат без предупреждений, другие браузеры будут выдавать предупреждение. И это только на компьютерах, включенных в домен. На всех остальных компьютерах браузер всегда будет предупреждать о небезопасности подключения. Инструкция от Microsoft: https://docs.microsoft.com/en-us/previous-versions/system-center/operations-manager-2007-r2/dd362553(v=technet.10)
https://technet.microsoft.com/ru-ru/library/dd362553.aspx?f=255&MSPPError=-2147217396
 
  
*Обратиться в один из центров сертификации и получить "зеленый" сертификат. Будет работать корректно и без предупреждений во всех браузерах.  
+
*Обратиться в один из центров сертификации и получить "зеленый" сертификат. Будет работать корректно и без предупреждений во всех браузерах. Например, можно воспользоваться бесплатным сервисом сертификации [https://letsencrypt.org/ LetsEncrypt] для получения сертификата сроком до 90 дней, после истечения можно продлевать.
  
 +
Перед созданием сертификата необходимо решить: будет ли доступен сайт извне или только внутри локальной сети и под какими dns именами, т.к. сертификат жестко привязан к dns имени.
  
Перед созданием сертификата необходимо решить: будет ли доступен сайт извне или только внутри локальной сети и под какими dns именами, т.к. сертификат жестко привязан к dns имени.
+
==Настройка DPA==
  
 
После того, как сертификат установлен необходимо:
 
После того, как сертификат установлен необходимо:
#Найти сертификат в консоли управления (MMC) и запомнить его отпечаток:
+
#Найти сертификат в консоли управления MMC и запомнить его отпечаток:
##win+R
+
#*win+R
##mmc
+
#*mmc
##Файл -> Добавить или удалить оснастку.
+
#*Файл -> Добавить или удалить оснастку.
##Выбрать сертификаты и нажать кнопку добавить.
+
#*Выбрать "Сертификаты" и нажать кнопку добавить.
##Выбрать учетную запись компьютера и нажать далее.
+
#*Выбрать учетную запись компьютера и нажать далее.
##Выбрать локальный компьютер и нажать далее.
+
#*Выбрать локальный компьютер и нажать далее.
##Найти нужный сертификат и дважды щелкнуть по нему.
+
#*Найти нужный сертификат и дважды щелкнуть по нему.
##Перейти на вкладку "Состав".
+
#*Перейти на вкладку "Состав".
##Найти в списке поле "Отпечатки", щелкнуть его.
+
#*Найти в списке поле "Отпечатки", щелкнуть его.
##Скопировать шестнадцатеричные значения из текстового поля (без пробелов).
+
#*Скопировать шестнадцатеричные значения из текстового поля - без пробелов!
 
#Выполнить привязку SSL-сертификата к номеру порта:
 
#Выполнить привязку SSL-сертификата к номеру порта:
##Запустить консоль с привилегией администратора.  
+
#*Запустить консоль с привилегией администратора.  
##Выполнить команду: <pre>netsh http add sslcert ipport=0.0.0.0:443 certhash=отпечаток appid={9b370ac4-e875-4a1f-bc11-5c0a39cc4768}</pre> где, отпечаток - шестнадцатеричные значения из предыдущего пункта.
+
#*Выполнить команду: <pre>netsh http add sslcert ipport=0.0.0.0:443 certhash=отпечаток appid={9b370ac4-e875-4a1f-bc11-5c0a39cc4768}</pre> где "отпечаток" - шестнадцатеричные значения из предыдущего пункта.
##Выполнить команду: <pre>netsh http add urlacl url=https://*:443/ user=”NT AUTHORITY\SYSTEM”</pre>.
+
#*Выполнить команду: <pre>netsh http add urlacl url=https://*:443/ user=”NT AUTHORITY\SYSTEM”</pre>
#Настроить службу DPA Host
+
#Выбрать HTTPS при установке
<pre>
+
Нажать на кнопку выбора адреса
sc stop DPAHost
+
 
sc delete DPAHost
+
[[file:Https_setup.png | 600px]]
sc create DPAHost binPath= "C:\Program Files\X-tensive\DPA Host\Xtensive.DPA.Web.exe https://*:443" start= auto
+
 
sc start DPAHost
+
Выбрать протокол HTTPS
</pre>
+
 
 +
[[file:Https_add.png]]

Текущая версия на 00:37, 27 сентября 2022

Сертификат

Есть множество вариантов сертификатов и способов их получения. Во всех случаях соединение будет зашифровано, но в некоторых случаях браузер будет предупреждать, что соединение не безопасно. Вот несколько из них:

  • Самозаверенный сертификат. Это самый простой и быстрый способ создать/установить сертификат. Но в этом случае все браузеры точно будут сообщать о том, что соединение не безопасно. Создать его можно с помощью команды PowerShell, который следует запустить с правами администратора:
New-SelfSignedCertificate -DnsName dnsName -CertStoreLocation cert:\LocalMachine\My 

где dnsName - имя компьютера на котором будет развернут сайт DPA - имя, по которому на него будут заходить в браузере.

  • Можно создать сертификат, подписанный с помощью корневого сертификата контроллера домена. В этом случае IE будет принимать этот сертификат без предупреждений, другие браузеры будут выдавать предупреждение. И это только на компьютерах, включенных в домен. На всех остальных компьютерах браузер всегда будет предупреждать о небезопасности подключения. Инструкция от Microsoft: https://docs.microsoft.com/en-us/previous-versions/system-center/operations-manager-2007-r2/dd362553(v=technet.10)
  • Обратиться в один из центров сертификации и получить "зеленый" сертификат. Будет работать корректно и без предупреждений во всех браузерах. Например, можно воспользоваться бесплатным сервисом сертификации LetsEncrypt для получения сертификата сроком до 90 дней, после истечения можно продлевать.

Перед созданием сертификата необходимо решить: будет ли доступен сайт извне или только внутри локальной сети и под какими dns именами, т.к. сертификат жестко привязан к dns имени.

Настройка DPA

После того, как сертификат установлен необходимо:

  1. Найти сертификат в консоли управления MMC и запомнить его отпечаток:
    • win+R
    • mmc
    • Файл -> Добавить или удалить оснастку.
    • Выбрать "Сертификаты" и нажать кнопку добавить.
    • Выбрать учетную запись компьютера и нажать далее.
    • Выбрать локальный компьютер и нажать далее.
    • Найти нужный сертификат и дважды щелкнуть по нему.
    • Перейти на вкладку "Состав".
    • Найти в списке поле "Отпечатки", щелкнуть его.
    • Скопировать шестнадцатеричные значения из текстового поля - без пробелов!
  2. Выполнить привязку SSL-сертификата к номеру порта:
    • Запустить консоль с привилегией администратора.
    • Выполнить команду:
      netsh http add sslcert ipport=0.0.0.0:443 certhash=отпечаток appid={9b370ac4-e875-4a1f-bc11-5c0a39cc4768}
      где "отпечаток" - шестнадцатеричные значения из предыдущего пункта.
    • Выполнить команду:
      netsh http add urlacl url=https://*:443/ user=”NT AUTHORITY\SYSTEM”
  3. Выбрать HTTPS при установке

Нажать на кнопку выбора адреса

Https setup.png

Выбрать протокол HTTPS

Https add.png