Настройка HTTPS: различия между версиями
User (обсуждение | вклад) (Новая страница: «Есть множество вариантов сертификатов и способов их получения. Во всех случаях соединен...») |
User (обсуждение | вклад) |
||
Строка 1: | Строка 1: | ||
Есть множество вариантов сертификатов и способов их получения. Во всех случаях соединение будет зашифровано, но в некоторых случаях браузер будет предупреждать, что соединение не безопасно. Вот несколько из них: | Есть множество вариантов сертификатов и способов их получения. Во всех случаях соединение будет зашифровано, но в некоторых случаях браузер будет предупреждать, что соединение не безопасно. Вот несколько из них: | ||
− | |||
*Самозаверенный сертификат. Это самый простой и быстрый способ создать/установить сертификат. Но в этом случае все браузеры точно будут сообщать о том, что соединение не безопасно. Создать его можно с помощью команды PowerSehll: | *Самозаверенный сертификат. Это самый простой и быстрый способ создать/установить сертификат. Но в этом случае все браузеры точно будут сообщать о том, что соединение не безопасно. Создать его можно с помощью команды PowerSehll: | ||
Строка 9: | Строка 8: | ||
где dnsName - имя компьютера на котором будет развернут сайт DPA (имя, по которому на него будут заходить в браузере). | где dnsName - имя компьютера на котором будет развернут сайт DPA (имя, по которому на него будут заходить в браузере). | ||
− | |||
*Можно создать сертификат, подписанный с помощью корневого сертификата контроллера домена. В этом случае IE будет принимать этот сертификат без предупреждений, другие браузеры будут выдавать предупреждение. И это только на компьютерах, включенных в домен. На всех остальных компьютерах браузер всегда будет предупреждать о небезопасности подключения. Инструкция от Microsoft:<br/> | *Можно создать сертификат, подписанный с помощью корневого сертификата контроллера домена. В этом случае IE будет принимать этот сертификат без предупреждений, другие браузеры будут выдавать предупреждение. И это только на компьютерах, включенных в домен. На всех остальных компьютерах браузер всегда будет предупреждать о небезопасности подключения. Инструкция от Microsoft:<br/> | ||
https://technet.microsoft.com/ru-ru/library/dd362553.aspx?f=255&MSPPError=-2147217396 | https://technet.microsoft.com/ru-ru/library/dd362553.aspx?f=255&MSPPError=-2147217396 | ||
− | |||
*Обратиться в один из центров сертификации и получить "зеленый" сертификат. Будет работать корректно и без предупреждений во всех браузерах. | *Обратиться в один из центров сертификации и получить "зеленый" сертификат. Будет работать корректно и без предупреждений во всех браузерах. |
Версия 01:54, 13 апреля 2020
Есть множество вариантов сертификатов и способов их получения. Во всех случаях соединение будет зашифровано, но в некоторых случаях браузер будет предупреждать, что соединение не безопасно. Вот несколько из них:
- Самозаверенный сертификат. Это самый простой и быстрый способ создать/установить сертификат. Но в этом случае все браузеры точно будут сообщать о том, что соединение не безопасно. Создать его можно с помощью команды PowerSehll:
New-SelfSignedCertificate -DnsName dnsName -CertStoreLocation cert:\LocalMachine\My
где dnsName - имя компьютера на котором будет развернут сайт DPA (имя, по которому на него будут заходить в браузере).
- Можно создать сертификат, подписанный с помощью корневого сертификата контроллера домена. В этом случае IE будет принимать этот сертификат без предупреждений, другие браузеры будут выдавать предупреждение. И это только на компьютерах, включенных в домен. На всех остальных компьютерах браузер всегда будет предупреждать о небезопасности подключения. Инструкция от Microsoft:
https://technet.microsoft.com/ru-ru/library/dd362553.aspx?f=255&MSPPError=-2147217396
- Обратиться в один из центров сертификации и получить "зеленый" сертификат. Будет работать корректно и без предупреждений во всех браузерах.
Перед созданием сертификата необходимо решить: будет ли доступен сайт извне или только внутри локальной сети и под какими dns именами, т.к. сертификат жестко привязан к dns имени.
После того, как сертификат установлен необходимо: 1. Найти сертификат в консоли управления (MMC) и запомнить его отпечаток: a. Win+R b. Mmc c. Файл -> Добавить или удалить оснастку. d. Выбрать сертификаты и нажать кнопку добавить. e. Выбрать учетную запись компьютера и нажать далее. f. Выбрать локальный компьютер и нажать далее. g. Найти нужный сертификат и дважды щелкнуть по нему. h. Перейти на вкладку Состав. i. Найти в списке поле Отпечатки щелкнуть его. j. Скопировать шестнадцатеричные значения из текстового поля (без пробелов). 2. Выполнить привязку SSL-сертификата к номеру порта: a. Запустить консоль с привилегией администратора. b. netsh http add sslcert ipport=0.0.0.0:443 certhash=отпечаток appid={9b370ac4-e875-4a1f-bc11-5c0a39cc4768} где, отпечаток- шестнадцатеричные значения из предыдущего пункта
c. netsh http add urlacl url=https://*:443/ user=”NT AUTHORITY\СИСТЕМА”
3. Настроить службу DPA Host
a. sc stop DPAHost
b. sc delete DPAHost
c. sc create DPAHost binPath= "C:\Program Files\X-tensive\DPA Host\Xtensive.DPA.Web.exe https://*:443" start= auto
d. sc start DPAHost