Kjøp og bruk av et SSL-sertifikat med jokertegn

I tidligere TechRepublic-innlegg beskrev jeg noen av fallgruvene jeg møtte når jeg fornyer eksisterende SSL-sertifikater, spesielt ett for Exchange på IIS7 og ett for et SSL VPN-apparat. Nylig bestemte vi oss for å kjøpe et jokertegn sertifikat for å oppfylle en rekke krav, så jeg måtte legge en ny streng til SSL-baugen min og finne ut hva jeg skulle gjøre.

Hvorfor jokertegn?

Avgjørelsen om å gå for et jokersertifikat var basert på en kombinasjon av kjøpskostnader og bekvemmelighet.

  • Jeg måtte fornye et eksisterende ett-domenesertifikat på en IIS6-server (si server.companyname.com).
  • Jeg trengte å legge til en til en annen IIS6-server (si server2.companyname.com).
  • Vi skulle trenge en for hovednettstedet vårt (f.eks. Www.companyname.com).
  • Om ett år må jeg fornye den for SSL VPN-apparatet (f.eks. Remote.companyname.com).

Mens tallene ikke helt la på rene kjøpskostnader, gjorde bryderiet med å kjøpe og fornye fire separate sertifikater det verdt å kjøpe wildcard-varianten som dekker alle varianter av "companyname.com" (vanligvis betegnet som * .companyname.com ).

Første kjøp

Min valgte leverandør var Go Daddy. Ja, jeg vet at de hadde problemene sine nylig, men vi bruker dem ikke til webhotell, og jeg var vant til å håndtere dem. I tillegg betaler de ikke ekstra for å sikre flere servere - som et jokertegnssertifikat vil bli brukt til.

Etter å ha logget inn på nettstedet deres valgte jeg det 3-årige wildcard SSL, la inn betalingsinformasjon og ble ført til kvitteringssiden. På dette stadiet alt jeg hadde gjort er å kjøpe et produkt i prinsippet. For å komme i gang gjorde jeg følgende:

  1. Klikk på Min konto, som tok meg til en liste over produktene mine.
  2. Utvidede SSL-sertifikater. Dette viste det nye sertifikatet mitt med en Oppsett-knapp ved siden av.
  3. Klikk på Sett opp. Dette ga en bekreftelsesmelding som ba meg gå tilbake til kontoen for å sette opp sertifikatet. (Jeg syntes dette var ganske rart med tanke på at jeg nettopp hadde klikket på en knapp som heter Set Up!)
  4. Oppdaterte listen over produkter igjen. Nå er jokertegnet merket NYTT SERTIFIKAT og har en startknapp ved siden av.
  5. Klikk på Start. Dette tok meg til siden med Secure Certificate Services.
  6. Ved å bruke "mappetreet" på venstre side, klikket jeg på Credits og deretter Klikk her for å oppdatere listen din. Dette ga skjermen vist i figur A.
Figur A

Klikk på bildet for å forstørre det.

Forespørsel om sertifikatsignering

Ved å klikke på forespørselssertifikat-koblingen som er vist i figur A, åpnes skjermbildet om sertifikatsigneringsforespørsel (CSR), og venter på at jeg skal lime inn CSR-en. For mine tidligere enkeltdomenersertifikater genererte jeg CSR på den spesifikke serveren eller enheten der jeg planla å installere den. For jokersertifikatet var jeg ikke sikker på hva jeg skulle gjøre, siden det i teorien kunne installeres hvor som helst.

For mitt første forsøk prøvde jeg å lage CSR på den første IIS6-serveren der jeg hadde tenkt å bruke jokertegnssertifikatet. Jeg prøvde å følge Go Daddys instruksjoner, men kom helt av fordi det ikke var noe alternativ å opprette et nytt sertifikat; Dette var fordi det var et eksisterende selvsignert sertifikat installert, noe som gjorde alternativene forskjellige. Hvis jeg hadde prøvd å bruke alternativet Forny, ville det gitt meg en CSR for et enkelt domene (dvs. server.companyname.com).

Jeg prøvde på en annen IIS6-server der det ikke var noe sertifikat, og denne gangen fungerte instruksjonene til Go Daddy. Det vanlige navnet er det viktigste feltet for å komme riktig, så jeg sørget for at det var * .companyname.com. Etter å ha navngitt og lagret CSR (bare en tekstfil), limte jeg innholdet inn i Go Daddy-skjemaet. En bekreftelsesskjerm fortalte at jeg hadde bedt om riktig domenenavn. Ved å klikke på Neste ga jeg instruksjoner for å sjekke de ventende forespørslene mine. Dette viser igjen til en av "mappene" på siden Secure Certificate Services.

Bekreftelse

Forespørselen var "avventende" fordi sertifikatet nå måtte gå gjennom en prosedyre for bekreftelse av domenekontroll. Dette var ganske mye en gjentagelse av prosessen jeg beskrev for IIS7-sertifikatet, ved å bruke Domain Zone Control-metoden. Den eneste hikken var at jeg måtte prøve den endelige valideringslenken fire ganger før den fungerte.

Last ned og installer

Jeg fikk to e-poster. Den første e-posten bekreftet godkjenningen, og jeg sjekket at den ventende forespørselen hadde forsvunnet og at det nye sertifikatet mitt ble oppført som gjeldende. Den andre e-postmeldingen bekreftet at sertifikatet hadde blitt utstedt og ga nedlastingsinstruksjoner. Sluttresultatet var en zip-fil som inneholder en .crt-fil og en .p7b-fil.

Når jeg vendte tilbake til Go Daddys kunnskapsbase, hadde jeg en falsk start med å prøve å følge dem på serveren med det selvsignerte sertifikatet. Jeg innså at jeg trengte å installere jokertegnssertifikatet på min andre IIS6-server (der jeg genererte CSR) og deretter eksportere det for bruk på den første.

Wow, jeg er glad dette ikke er komplisert.

Så ... tilbake på den første serveren importerte jeg mellomliggende sertifikat og fulgte deretter trinnene i IIS, og velg alternativet Behandle den ventende forespørselen og installer sertifikatet. Suksess.

For å eksportere fra denne serveren kjørte jeg igjen IIS Certificate Wizard og valgte Export the Current Certificate to A .pfx File. Etter å ha valgt en mappe for å lagre filen, måtte jeg også oppgi et passord for å kryptere .pfx. Deretter fulgte jeg på serveren der jeg virkelig ønsket jokersertifikat, disse instruksjonene for å importere sertifikatet fra .pfx-filen til sertifikatlageret, og oppga passordet når du ble bedt om det. Jeg sjekket også Mark The Key As Exportable, som anbefalt av Microsoft. Til slutt kjørte jeg IIS Certificate Wizard, klikket på Tildel et eksisterende sertifikat, valgte mitt jokertegn og satte det til å bruke port 443. Suksess.

Sammendrag

Ved å bruke et jokertegnssertifikat, lar det oss nå sikre et hvilket som helst antall servere og varianter på domenenavnet vårt. Det er hindringer å overvinne når du kjøper og installerer, men på lang sikt vil dette spare oss for tid og penger.

Nyhetsbrev om innovasjon

Vær kjent med smarte byer, AI, Internet of Things, VR, AR, robotikk, droner, autonom kjøring og mer av de kuleste teknologiske nyvinningene. Leveres onsdager og fredager

Registrer deg i dag

© Copyright 2021 | pepebotifarra.com