Verwendung von SSL Test-Certificates
Geschrieben von: Christoph Wille Sie entwickeln gerade eine eCommerce Site für einen Kunden, und der Shop soll natürlich mit SSL (Secure Socket Layer) abgesichert werden. Für SSL braucht man aber ein Certificate, und das kostet fast USD 300 - ein Grund, das Testen der SSL Funktionalität bis zum Start der Website am Liveserver zu verschieben - wo man ein gültiges Certificate sowieso braucht. Daß es keine gute Idee ist, das Testen der Sicherheitsfunktionen so lange hinauszuschieben, brauche ich wohl nicht zu betonen. Aus diesem Gründen sollte man sich für den Entwicklungsserver ein Testcertificate besorgen - und das Gute an der Sache ist, daß diese Certificates sogar gratis sind! Dieser Artikel zeigt alle Schritte - von der Generierung des Antrags, Abholen des Testcertificates und anschließendem Installieren. Bis auf den Schritt des Abholens des Testcertificates können Sie das Wissen, das Sie in diesem Artikel erwerben, auch für die Generierung der Live-Certificates anwenden. Generierung eines CSRDer erste Schritt am Weg zum Certificate ist es, am Webserver für die in Frage kommende Website einen Certificate Signing Request (CSR) zu erstellen. Dieser wird dann später verwendet, um bei einer CA (Certificate Authority) das Certificate zu beantragen. Wählen Sie die Website, für die Sie das Certificate beantragen wollen, im Internet Services Manager aus. Öffnen Sie die Eigenschaften der Website und gehen zum Directory Security Tab. Dort klicken Sie auf Server Certificate. Der IIS Certificate Wizard wird gestartet. Die erste Seite ist eine reine Informationsseite, und kann getrost übersprungen werden. Interessanter ist da schon die nachfolgende Seite: was der Wizard für uns tun soll - wir wollen "Create New ..." durchführen, die standardmäßig ausgewählte Option. Der nächste Punkt des Wizards ist wie wir das Certificate generieren wollen - einen CSR (Certificate Signing Request) anlegen, oder direkt mit einer CA (Certificate Authority) online ein Certificate erstellen. Letzteres geht nur, wenn man im Windows 2000 Netz einen Certificate Server laufen hat - für Internet Websites muß man aufgrund der Vertrauensstellung der Browser sowieso auf bekannte CA's zurückgreifen. Nun wird es wirklich wichtig - der aktuelle Schritt im Wizard fragt uns, wie wir unser Certificate nennen wollen, und vor allem welche Schlüssellänge der Public Key bekommen soll. Generell gilt: je mehr Bits, desto sicherer und desto langsamer die Verschlüsselungsprozedur. Weiter geht es mit der Angabe des Firmennamens (Organization) und der Abteilung (Organizational Unit). Für letztere wird man meist Verkauf oder ähnliches angeben. Eine Falle bei der Erstellung eines Testcertificates kann der Schritt für die Angabe des Common Name des Webservers werden. Für den Releaseserver ist der Common Name www.firmenname.com, aber bei einem Testserver wird es eher die IP Adresse sein. Der folgende Schritt fragt nach Land (Country), Bundesland (State) sowie Stadt (City). Damit haben wir auch schon alle Infos für den CSR angegeben, es fehlt nur noch der Dateiname, wo der Wizard den CSR hinspeichern soll. Nach einer kurzen Infoseite was Sie alles eingegeben haben generiert der Wizard den CSR (dies kann je nach Rechner und Schlüssellänge etwas dauern). Das war dann auch schon der erste Schritt zur Generierung eines Certificates. Beantragen eines TestcertificatesUnter der Seite Test Thawte Certificates kann man sich ein Testcertificate erstellen. Da Thawte sich ja nicht selbst das Geschäft abgraben würde, muß man zuerst für eine explizit als Test-CA gekennzeichnet CA das Root Certificate installieren - damit das Testcertificate vom Browser als gültig anerkannt wird. Installation des Root CertificatesDer Link zu diesem Root Certificate findet sich auf der oben angeführten Seite. Man muß nur darauf klicken, und schon startet der Installationsprozess für dieses Root Certificate. Wichtig dabei ist, daß man zur Installation Open this file from the current location auswählt - und nicht Save this file to disk. Daraufhin zeigt Internet Explorer einen Certificate Dialog an: Klicken Sie auf Install Certificate und akzeptieren Sie alle Defaults im Certificate Import Wizard. Beanworten Sie die Frage, ob das Certificate in den Root Store eingefügt werden soll mit Ja. Damit ist der Import abgeschlossen, und Sie können Certificates, die von dieser CA ausgestellt wurden, ab sofort uneingeschränkt verwenden. Wiederholen Sie diese Prozedur auf allen Rechnern, von denen aus Sie auf die Website zugreifen wollen, die mit dem noch zu generierenden Testcertificate abgesichert ist. Generieren des TestcertificatesJetzt haben wir endlich alle Vorarbeiten erledigt, und können uns um die Generierung des Testcertificates kümmern. Dazu gehen Sie bitte auf die Seite Test Thawte Certificates. Als Erstes müssen wir den mit dem IIS Certificate Wizard generierten CSR in das Textfeld kopieren. Öffnen Sie dazu einfach die CSR Datei (den Namen wissen Sie hoffentlich noch, oder?), markieren alles, und kopieren es in die Zwischenablage. Pasten Sie das dann in das Textfeld. Es sieht zwar wie Datenmüll aus, ist aber nur ein verschlüsseltes Datenpaket (also doch Müll). Geben Sie danach an, für wie lange das Testcertificate gültig sein soll. Arbeiten Sie an einem längerlaufenden Projekt, kann das Certificate bis zu einem Jahr Länge ausgeben werden (365 Tage). Der Rest der Optionen ist bereits korrekt vorselektiert. Sie müssen nur noch auf Generate Test Certificate am Ende der Seite klicken. Nach einer kurzen "Nachdenkpause" liefert Ihnen der Thawte Server Ihr neues Testcertificate. Es sieht vermutlich irgendwie so aus: Here is your certificate: -----BEGIN CERTIFICATE----- MIIEIDCCA4mgAwIBAgIDekbyMA0GCSqGSIb3DQEBBAUAMIGHMQswCQYDVQQGEwJa QTEiMCAGA1UECBMZRk9SIFRFU1RJTkcgUFVSUE9TRVMgT05MWTEdMBsGA1UEChMU VGhhd3RlIENlcnRpZmljYXRpb24xFzAVBgNVBAsTDlRFU1QgVEVTVCBURVNUMRww GgYDVQQDExNUaGF3dGUgVGVzdCBDQSBSb290MB4XDTAwMDYyOTIwMjI0NVoXDTAw MDczMDIwMjI0NVowdzEWMBQGA1UEAxMNMTkyLjE2OC4xLjEwNDEUMBIGA1UECxML RGV2ZWxvcG1lbnQxGDAWBgNVBAoTD0FscGhhU2llcnJhUGFwYTEPMA0GA1UEBxMG TGVvYmVuMQ8wDQYDVQQIEwZTdHlyaWExCzAJBgNVBAYTAkFUMIICIjANBgkqhkiG 9w0BAQEFAAOCAg8AMIICCgKCAgEAnDSj+CyMRiFm9WjlONTGl6Tms9iaFd6k3jYf c06gD9YDKH4/+n2XeqFaK7T+3jcRzb38UlP5qPmJVTi6o1MARmo5uUdHVohYZLgk krXVmvdYYGHxqI5kLV1xgHXJ5YwRfe3SErWZsb9ScXtkZa8xHxs7Znj3aChzpoTA s4JDQ5hOUeDOhLAaXo4iDB+4Iu5bvY+k8Yp8FjaxZFsfXTtohbliNHDFWdDYBf5p q+UP3hQ3glwjdze7x8Oxl9yqJe8FFu1ggD6tpv94IqcsWDMut/8+VX/AyIgZ/7vg 4NlYXqsZUdymybtXRW7jGh3qNTmuQWjFy1cihGfDKKprcPzxpIrHiJpW65BRqoPd OEiASfQgZynPDTYYmjShBki7f39ytK32reZkso4UUA8FiCl6l162gc/HSGcIEXVj UcD5KtzbaHEaPsLjUH1LDzWL8id2ZmDN+I4DdrSmzq65Rpg20P4k5rSKd52Y2LQK jOHVaNQy/1z86egnwJvYrQ+jdnvM+ErClpFnN9+tYofY1r5T96GdN9LAzlkow5Du Mk0g4FhnG2QW7iiWkghZ1E/HVrfYlJvBqWm8jPsscGPPd4Gq6cY1rS2spG+2hy0R yweweWuGqa76bugzGvyrZnvgYb1Zssgri9r981j4wEQqwWGs7x9NYf5fc1vhJl11 9OSC408CAwEAAaMlMCMwEwYDVR0lBAwwCgYIKwYBBQUHAwEwDAYDVR0TAQH/BAIw ADANBgkqhkiG9w0BAQQFAAOBgQCttvc0N07UJBJ2tDa6ps+u2RUHgCN6UqcNcU8s VktvdkeZeloWnNvdYv/JLJpPDc2LW9UPb4FleweWEbSaA/faON3Q2eIcmoD6vi/f rmaqql8KuX1AXNqUBhzgBrJ///1msrMxjyhkrtsK0KguIagomibVQeL+saaWV86E jamC5w== -----END CERTIFICATE----- Markieren Sie alles außer der ersten Zeile und speichern es in eine Datei - das ist Ihr Certificate, das Sie nun nur noch im IIS installieren müssen. Ach ja - verwenden Sie bitte .cer als Dateiendung für das Certificate. Installieren des CertificatesJetzt geht es ans Installieren des Certificates. Dazu gehen Sie wieder zum Directory Security Tab und klicken auf Server Certificate. Der IIS Certificate Wizard startet, und wenn Sie die Infoseite überspringen, bekommen Sie 2 Optionen: das ausstehende Certificate installieren, oder den Request (CSR) canceln. Wir wählen natürlich ersteres. Jetzt fragt der Wizard nach der Datei - wählen Sie die Datei, die Sie im vorgegangenem Tutorial gespeichert haben. Der Wizard zeigt Ihnen dann folgende Certificate Übersicht an (Beispiel meines Certificates): Im letzten Schritt klicken Sie einfach auf Finish und das war's - das Certificate ist installiert! Obwohl das Certificate installiert ist, gibt es noch eine kleine Hürde zu nehmen - der richtige Serverport für SSL ist noch nicht eingetragen. Der Port für SSL ist 443, und muß auf dem Web Site Tab eingetragen werden. Aber jetzt sind wir wirklich fertig. Testen des CertificatesDas Testen des Certificates gestaltet sich als relativ einfach - geben Sie einfach die Adresse Ihres gerade abgesicherten Servers ein - mit dem https: Protokoll. Für mein Testcertificate sähe das folgendermaßen aus: https://192.168.1.104/ Ab sofort kann man alle SSL-gesicherten Teile der Anwendung unter realistischen Bedingungen testen. SchlußbemerkungBis auf das Beantragen bei Thawte sind die vorgestellten Schritte völlig gleich wie wenn man ein "richtiges" Certificate für den eCommerce Server beantragt. Testcertificates sind ein einfacher (und günstiger Weg), die gesamte SSL Funktionalität von Websites auch am Entwicklungsserver adäquat testen zu können. Verwandte Artikel
ASP-basierte Basic Authentication Links zu anderen SitesWenn Sie jetzt Fragen haben...Wenn Sie Fragen rund um die in diesem Artikel vorgestellte Technologie haben, dann schauen Sie einfach bei uns in den Community Foren der deutschen .NET Community vorbei. Die Teilnehmer helfen Ihnen gerne, wenn Sie sich zur im Artikel vorgestellten Technologie weiterbilden möchten. Haben Sie Fragen die sich direkt auf den Inhalt des Artikels beziehen, dann schreiben Sie dem Autor! Unsere Autoren freuen sich über Feedback zu ihren Artikeln. Ein einfacher Klick auf die Autor kontaktieren Schaltfläche (weiter unten) und schon haben Sie ein für diesen Artikel personalisiertes Anfrageformular.
Und zu guter Letzt möchten wir Sie bitten, den Artikel zu bewerten. Damit helfen Sie uns, die Qualität der Artikel zu verbessern - und anderen Lesern bei der Auswahl der Artikel, die sie lesen sollten.
©2000-2006 AspHeute.com |