Jak vytvořit serverový certifikát v MS IIS 8.5

Platforma pro IIS server je MS Windows server 2012. Správu serverových certifikátů najdete v nástroji správy IIS 8.5, když si v levém panelu zvolíte položku serveru:
Certifikáty serveru v IIS8

Po otevření položky se zobrazí okno, ve kterém budete pracovat. V jeho středním panelu jsou zobrazeny údaje o instalovaných certifikátech, které jsou pro webový server k dispozici:
Okno certifikátů serveru

V pravém panelu akcí jsou celkem tři způsoby vytvoření certifikátu. Jde vždy o jednoduchý certifikát neobsahující alternativní názvy (SAN):

Dále se tedy budeme zabývat pouze první možností, kde vytvoříme soubor obsahující jednoduchou žádost o certifikát. Jestliže však položky alternativních názvů předmětu (SAN), tj. webového serveru, potřebujete, je nejvhodnější vytvořit certifikát jinou metodou, popsanou například zde, a importovat ho ze souboru tvaru .PFX/.P12 - v tom případě použijte první možnost panelu akcí - Importovat.

Po přechodu na odkaz "Vytvořit žádost o certifikát..." se otevře dialog, kde zadáte základní údaje o serveru, jeho umístění a firmě:
Údaje certifikátu

Dalším krokem průvodce je zadání souboru, kam se žádost uloží, a délky klíče (tj. síly šifrování). Je vhodné vybrat délku klíče aspoň 2048 bitů:
Zadání délky klíče

V posledním kroku průvodce zadáte umístění a název souboru, kam se žádost uloží:
Uložení do souboru a dokončení tvorby žádosti

Soubor žádosti o certifikát lze vytvořit s jakoukoli příponou (standardně .txt). Kdybyste předložili žádost k podpisu CA službě Microsoftu, můžete zadat dodatečně alternativní názvy předmětu (SAN) - zde internetového názvu (FQDN) webového serveru - do pole přidaných atributů:
Předložení žádosti MS CA a zadání SAN

Pro získání serverového certifikátu od CAcert však musíte obsah žádosti vložit do webového formuláře na webu CAcert.org, což je možné, máte-li alespoň 50 bodů zaručení. Z menu v pravé části okna vyberte "Certifikát serveru" - "Nový".

Na obrázku je výřez z webového formuláře CAcert. Zde ani při zobrazení "Pokročilé možnosti" nelze alternativní názvy (SAN) zadat. Potřebujete-li je, musí být už součástí žádosti o certifikát. V takovém případě musí být žádost připravena jiným způsobem, ne tímto jednoduchým generátorem.

Standardní nastavení nabízí tvorbu haše algoritmem SHA-256 a podpis kořenovým certifikátem třídy 3, který používá modernější algoritmus SHA1 (oproti původnímu MD5). Ponechejte přednastavené hodnoty, zaškrtněte pouze souhlas s dohodou komunity CAcert a stiskněte tlačítko Odeslat.
Zadání CSR do formuláře CAcert

Podrobný postup získání certifikátu pro server najdete zde.

Vystavený certifikát pak instalujete opět v nástroji správy IIS 8.5 použitím funkce "Dokončit žádost o certifikát..." v panelu akcí. Je třeba zadat umístění certifikátu a jeho popisný identifikační název, který si stanovíte:
Dokončení instalace nového certifikátu

Při tomto postupu vznikne privátní klíč přímo na webovém serveru, takže všechny podmínky pro použití nového certifikátu jsou téměř splněny. Je pouze třeba svázat certifikát s protokolem HTTPS.

V levém panelu okna vyberte webový server, který bude pracovat protokolem HTTPS. Pak v pravém panelu zvolte akci "Vazby...". Otevře se dialog, kde zvolíte protokol HTTPS a upravíte ho (panel akcí - "Upravit..."), nebo ho definujete (panel akcí - "Přidat...", pokud tam ještě není HTTPS uveden.
Vazby webu

Tím se otevře další dialog, kde zvolíte nebo upravíte typ "https", vyberete IP adresu (standardně všechny nepřiřazené), port (standardně 443) a certifikát - z těch, které jsou zobrazeny v okně "Certifikáty serveru" Správce IIS. Indikaci názvu serveru (SNI) zaškrtnete, pokud provozujete více virtuálních serverů na téže IP adrese. Název je pak porovnáván se žádostí prohlížeče, aby mohl být vybrán správný web.
Nastavení vazeb HTTPS

Po uzavření dialogů a restartu webové služby na serveru je jeho činnost protokolem HTTPS funkční.

HowTo/CertForIIS85/CZ (last edited 2016-04-16 16:02:28 by AlesKastner)