आईटी: एक स्व-हस्ताक्षरित सुरक्षा (एसएसएल) प्रमाणपत्र कैसे बनाएं और इसे क्लाइंट मशीनों पर तैनात करें

2024 लेखक: Geoffrey Carr | [email protected]. अंतिम बार संशोधित: 2024-02-02 12:12

डेवलपर्स और आईटी प्रशासकों को कोई संदेह नहीं है कि एसएसएल प्रमाण पत्र का उपयोग कर एचटीटीपीएस के माध्यम से कुछ वेबसाइट तैनात करने की आवश्यकता है। हालांकि, यह प्रक्रिया उत्पादन साइट के लिए बहुत सरल है, विकास और परीक्षण के प्रयोजनों के लिए आपको यहां एक एसएसएल प्रमाणपत्र का उपयोग करने की आवश्यकता भी मिल सकती है।

एक वार्षिक प्रमाणपत्र खरीदने और नवीनीकरण करने के विकल्प के रूप में, आप अपने विंडोज सर्वर की एक स्व-हस्ताक्षरित प्रमाणपत्र उत्पन्न करने की क्षमता का लाभ उठा सकते हैं जो सुविधाजनक, आसान है और इन प्रकार की आवश्यकताओं को पूरी तरह से पूरा करना चाहिए।

आईआईएस पर एक स्व हस्ताक्षरित प्रमाणपत्र बनाना

जबकि स्वयं हस्ताक्षरित प्रमाणपत्र बनाने के कार्य को पूरा करने के कई तरीके हैं, हम माइक्रोसॉफ्ट से सेल्फएसएसएल उपयोगिता का उपयोग करेंगे। दुर्भाग्यवश, यह आईआईएस के साथ नहीं भेजता है लेकिन यह आईआईएस 6.0 संसाधन टूलकिट (इस आलेख के नीचे दिए गए लिंक) के हिस्से के रूप में स्वतंत्र रूप से उपलब्ध है। "आईआईएस 6.0" नाम के बावजूद यह उपयोगिता आईआईएस 7 में ठीक काम करती है।

Selfssl.exe उपयोगिता प्राप्त करने के लिए IIS6RT निकालने की आवश्यकता है। यहां से आप इसे किसी अन्य मशीन पर भविष्य के उपयोग के लिए अपनी विंडोज निर्देशिका या नेटवर्क पथ / यूएसबी ड्राइव पर कॉपी कर सकते हैं (इसलिए आपको पूर्ण IIS6RT को डाउनलोड और निकालने की आवश्यकता नहीं है)।

एक बार जब आपके पास SelfSSL उपयोगिता हो, तो निम्न आदेश (व्यवस्थापक के रूप में) को मानों को <> उचित में बदलकर चलाएं:


selfssl /N:CN= /V:

नीचे दिया गया उदाहरण "mydomain.com" के खिलाफ एक स्वयं हस्ताक्षरित वाइल्डकार्ड प्रमाणपत्र बनाता है और इसे 9, 999 दिनों के लिए वैध मानता है। इसके अतिरिक्त, प्रॉम्प्ट पर हाँ का उत्तर देकर, यह प्रमाणपत्र स्वचालित रूप से आईआईएस की डिफ़ॉल्ट वेब साइट के अंदर पोर्ट 443 से जुड़ने के लिए कॉन्फ़िगर किया गया है।

इस बिंदु पर प्रमाणपत्र उपयोग करने के लिए तैयार है, यह केवल सर्वर पर व्यक्तिगत प्रमाणपत्र स्टोर में संग्रहीत है। यह प्रमाणपत्र भी विश्वसनीय रूट में सेट करने का सबसे अच्छा अभ्यास है।

स्टार्ट> रन (या विंडोज कुंजी + आर) पर जाएं और "एमएमसी" दर्ज करें। आप एक यूएसी प्रॉम्प्ट प्राप्त कर सकते हैं, इसे स्वीकार कर सकते हैं और एक खाली प्रबंधन कंसोल खुल जाएगा।

कंसोल में, फ़ाइल> स्नैप-इन जोड़ें / निकालें पर जाएं।

कंप्यूटर खाता का चयन करें।

स्थानीय प्रमाणपत्र स्टोर देखने के लिए ठीक क्लिक करें।

व्यक्तिगत> प्रमाण पत्र पर नेविगेट करें और स्वयंसेवी उपयोगिता का उपयोग करके सेटअप किए गए प्रमाणपत्र का पता लगाएं। प्रमाणपत्र पर राइट-क्लिक करें और कॉपी करें का चयन करें।

विश्वसनीय रूट प्रमाणीकरण प्राधिकरण> प्रमाण पत्र पर नेविगेट करें। प्रमाणपत्र फ़ोल्डर पर राइट-क्लिक करें और पेस्ट का चयन करें।

एसएसएल प्रमाणपत्र के लिए एक प्रविष्टि सूची में दिखाई देनी चाहिए।

इस बिंदु पर, आपके सर्वर को स्वयं हस्ताक्षरित प्रमाणपत्र के साथ काम करने में कोई समस्या नहीं होनी चाहिए।

सर्टिफिकेट निर्यात करना

यदि आप ऐसी साइट तक पहुंचने जा रहे हैं जो प्रमाण पत्र त्रुटियों और चेतावनियों के संभावित हमले से बचने के लिए किसी भी क्लाइंट मशीन (यानी कोई भी कंप्यूटर जो सर्वर नहीं है) पर स्वयं हस्ताक्षरित SSL प्रमाणपत्र का उपयोग करता है, तो स्वयं हस्ताक्षरित प्रमाणपत्र स्थापित होना चाहिए प्रत्येक ग्राहक मशीन पर (जिसे हम नीचे विस्तार से चर्चा करेंगे)। ऐसा करने के लिए, हमें पहले संबंधित प्रमाणपत्र निर्यात करने की आवश्यकता है ताकि इसे ग्राहकों पर इंस्टॉल किया जा सके।

प्रमाण पत्र प्रबंधन के साथ कंसोल के अंदर, विश्वसनीय रूट प्रमाणीकरण प्राधिकरण> प्रमाण पत्र पर नेविगेट करें। प्रमाण पत्र का पता लगाएं, राइट-क्लिक करें और सभी कार्य> निर्यात का चयन करें।

निजी कुंजी निर्यात करने के लिए संकेत मिलने पर, हां का चयन करें। अगला पर क्लिक करें।

फ़ाइल प्रारूप के लिए डिफ़ॉल्ट चयन छोड़ दें और अगला क्लिक करें।

पासवर्ड ङालें। इसका उपयोग प्रमाणपत्र की सुरक्षा के लिए किया जाएगा और उपयोगकर्ता इस पासवर्ड को दर्ज किये बिना इसे स्थानीय रूप से आयात करने में सक्षम नहीं होंगे।

प्रमाणपत्र फ़ाइल निर्यात करने के लिए एक स्थान दर्ज करें। यह पीएफएक्स प्रारूप में होगा।

अपनी सेटिंग्स की पुष्टि करें और समाप्त क्लिक करें।

परिणामस्वरूप पीएफएक्स फ़ाइल आपके क्लाइंट मशीनों को यह बताने के लिए इंस्टॉल की जाएगी कि आपका स्वयं का हस्ताक्षरित प्रमाणपत्र विश्वसनीय स्रोत से है।

ग्राहक मशीनों पर तैनाती

एक बार जब आप सर्वर की ओर से प्रमाण पत्र बनाते हैं और सबकुछ काम कर रहा है, तो आप देख सकते हैं कि जब कोई क्लाइंट मशीन संबंधित यूआरएल से जुड़ती है, तो प्रमाणपत्र चेतावनी प्रदर्शित होती है। ऐसा इसलिए होता है क्योंकि प्रमाण पत्र प्राधिकरण (आपका सर्वर) क्लाइंट पर SSL प्रमाणपत्रों के लिए एक विश्वसनीय स्रोत नहीं है।

आप चेतावनियों के माध्यम से क्लिक कर सकते हैं और साइट तक पहुंच सकते हैं, हालांकि आपको हाइलाइट किए गए यूआरएल बार के रूप में बार-बार नोटिस मिल सकते हैं या प्रमाणपत्र चेतावनियों को दोहरा सकते हैं। इस परेशानी से बचने के लिए, आपको बस क्लाइंट मशीन पर कस्टम एसएसएल सुरक्षा प्रमाणपत्र स्थापित करने की आवश्यकता है।

आपके द्वारा उपयोग किए जाने वाले ब्राउज़र के आधार पर, यह प्रक्रिया भिन्न हो सकती है। आईई और क्रोम दोनों विंडोज सर्टिफिकेट स्टोर से पढ़ते हैं, हालांकि फ़ायरफ़ॉक्स में सुरक्षा प्रमाणपत्रों को संभालने का एक कस्टम तरीका है।

महत्वपूर्ण लेख: तुम्हे करना चाहिए कभी नहीँ किसी अज्ञात स्रोत से सुरक्षा प्रमाणपत्र स्थापित करें। व्यावहारिक रूप से, यदि आप इसे उत्पन्न करते हैं तो आपको केवल स्थानीय रूप से प्रमाण पत्र स्थापित करना चाहिए। इन चरणों को करने के लिए आपको कोई वैध वेबसाइट की आवश्यकता नहीं होगी।

इंटरनेट एक्सप्लोरर और Google क्रोम - स्थानीय रूप से प्रमाणपत्र स्थापित करना

नोट: भले ही फ़ायरफ़ॉक्स देशी विंडोज प्रमाणपत्र स्टोर का उपयोग नहीं करता है, फिर भी यह एक अनुशंसित कदम है।

सर्वर (पीएफएक्स फ़ाइल) से क्लाइंट मशीन पर निर्यात किए गए प्रमाण पत्र की प्रतिलिपि बनाएँ या यह सुनिश्चित करें कि यह नेटवर्क पथ में उपलब्ध है।

क्लाइंट मशीन पर स्थानीय प्रमाणपत्र स्टोर प्रबंधन को ऊपर के समान चरणों का उपयोग करके खोलें।अंततः आप नीचे की तरह एक स्क्रीन पर खत्म हो जाएगा।

बाईं तरफ, सर्टिफिकेट> विश्वसनीय रूट प्रमाणन प्राधिकरणों का विस्तार करें। प्रमाणपत्र फ़ोल्डर पर राइट क्लिक करें और सभी कार्य> आयात करें का चयन करें।

उस प्रमाणपत्र का चयन करें जिसे आपकी मशीन पर स्थानीय रूप से कॉपी किया गया था।

सर्टिफिकेट सर्वर से निर्यात किए जाने पर आवंटित सुरक्षा पासवर्ड दर्ज करें।

स्टोर "विश्वसनीय रूट प्रमाणन प्राधिकरण" गंतव्य के रूप में prefilled किया जाना चाहिए। अगला पर क्लिक करें।

सेटिंग्स की समीक्षा करें और समाप्त क्लिक करें।

विश्वसनीय रूट प्रमाणीकरण प्राधिकरणों> प्रमाणपत्र फ़ोल्डर के अपने दृश्य को ताज़ा करें और आपको स्टोर में सूचीबद्ध सर्वर का स्वयं हस्ताक्षरित प्रमाणपत्र देखना चाहिए।

ऐसा करने के बाद, आपको एक HTTPS साइट पर ब्राउज़ करने में सक्षम होना चाहिए जो इन प्रमाणपत्रों का उपयोग करता है और कोई चेतावनी या संकेत नहीं देता है।

फ़ायरफ़ॉक्स - अपवाद की अनुमति

फ़ायरफ़ॉक्स इस प्रक्रिया को थोड़ा अलग तरीके से संभालता है क्योंकि यह विंडोज स्टोर से प्रमाणपत्र जानकारी नहीं पढ़ता है। प्रमाण पत्र (प्रति-से) स्थापित करने के बजाय, यह आपको विशेष साइटों पर SSL प्रमाणपत्रों के लिए अपवाद परिभाषित करने की अनुमति देता है।

जब आप ऐसी साइट पर जाते हैं जिसमें प्रमाण पत्र त्रुटि होती है, तो आपको नीचे दी गई चेतावनी मिल जाएगी। नीले रंग का क्षेत्र उस संबंधित यूआरएल का नाम देगा जिसे आप एक्सेस करने का प्रयास कर रहे हैं। संबंधित यूआरएल पर इस चेतावनी को बाईपास करने के लिए अपवाद बनाने के लिए, अपवाद जोड़ें बटन पर क्लिक करें।

सुरक्षा अपवाद संवाद में, स्थानीय रूप से इस अपवाद को कॉन्फ़िगर करने के लिए सुरक्षा अपवाद की पुष्टि करें पर क्लिक करें।

ध्यान दें कि यदि कोई विशेष साइट उपडोमेन में स्वयं से रीडायरेक्ट की जाती है, तो आपको कई सुरक्षा चेतावनी संकेत मिल सकते हैं (URL प्रत्येक बार थोड़ा अलग होने के साथ)। ऊपर दिए गए चरणों का उपयोग करके उन यूआरएल के लिए अपवाद जोड़ें।

निष्कर्ष

उपर्युक्त नोटिस दोहराए जाने के लायक है कि आपको चाहिए कभी नहीँ किसी अज्ञात स्रोत से सुरक्षा प्रमाणपत्र स्थापित करें। व्यावहारिक रूप से, यदि आप इसे उत्पन्न करते हैं तो आपको केवल स्थानीय रूप से प्रमाण पत्र स्थापित करना चाहिए। इन चरणों को करने के लिए आपको कोई वैध वेबसाइट की आवश्यकता नहीं होगी।