ssl zabezpieczenia wizulizacja

Ostatnio udało mi się poprawnie ogarnąć SSL na blogu i mam zielony pasek. Sam proces wymagał ode mnie mnóstwo research’u, więc postanowiłem się z Tobą podzielić w jaki sposób ustawiłem https na stronie i jak możesz to zrobić także Ty.

Swój certyfikat zakupiłem na stronie nazwa.pl, ale proces pewnie jest podobny na innych hostingach. Chciałbym zaznaczyć, że post nie jest w żaden sposób sponsorowany, zakupiłem tam certyfikat, bo miałem tam także domenę 😉.

Screeny z konfiguracji samego certyfikatu będą z centrum pomocy nazwa.pl, ponieważ sam już mam ją za sobą, więc siłą rzeczy nie mogę zrobić zrzutów ekranu.

Po tym wstępie możemy zabrać się do roboty! 😊

Co będzie potrzebne?

Aby sprawić, że pasek Twojej witryny stanie się zielony, potrzebujesz przede wszystkim domeny oraz certyfikatu. Żeby poprawnie skonfigurować certyfikat, będziesz także potrzebował poczty na Twojej domenie i tym zajmiemy się w pierwszej kolejności.

Próbowałem zainstalować kilka różnych serwerów STMP, jednak sam proces, zarówno instalacji jak i późniejszej konfiguracji ewidentnie szedł mi jak po grudzie. Postanowiłem spróbować czegoś innego. Przypomniało mi się, że gmail umożliwia tworzenie poczty na własnych domenach, a skoro potrzebne mi jedynie konto xxx@webdotnet.pl to stwierdziłem, że warto spróbować. 

Aby stworzyć konto „firmowe” zwane także G Suite należy wejść tu: https://gsuite.google.com/ i kliknąć „ROZPOCZNIJ” w prawym górnym rogu.

Formularz jest dość intuicyjny, więc nie będę się w niego zagłębiał. Dochodzimy do tego ekranu:

konfiguracja g-suite 1

Wybieramy oczywiście pierwszą opcję. Kilka ekranów później dochodzimy do tego miejsca:

kongiguracja g-suite 2

W tym miejscu musimy sobie odpowiedzieć na jedno bardzo ważne pytanie: jakie konto mailowe jest potrzebne, by zatwierdzić konfigurację certyfikatu. W moim przypadku było kilka możliwych opcji. Jedną z nich było xxx@webdotnet.pl. Aby dowiedzieć się czego potrzebujesz prawdopodobnie musisz rozpocząć konfigurację w panelu klienta na stronie, w której zakupiłaś/eś certyfikat SSL. Zawsze można dodać konto które będzie potrzebne później 😊

Jeśli wszystko się powiodło, powinien ukazać się Twym oczom taki widok:

konfiguracja g-suite 3

Przejdźmy zatem do dalszej konfiguracji 😊 Niestety ponownie nie dodam screenów, ponieważ mam już ją za sobą… Ale mogę ją opisać! W kolejnym kroku, aby zweryfikować, czy jesteś właścicielem domeny, trzeba wkleić meta tag na swoją stronę. Są alternatywne opcje, które możesz tu wybrać, jednak w przypadku nazwa.pl była to najprostsza opcja i ją właśnie wybrałem. Google sprawdzi czy tag znajduje się na Twojej stronie, po czym poda Ci informacje do konfiguracji DNS Twojej domeny. Nie wiem czy to był problem tylko w panelu nazwa.pl, ale nie działała tam konfiguracja, którą wyświetlał Google. Należy wprowadzić kilka rekordów MX, które zostaną podane po pomyślnej weryfikacji strony. Na ekranie będzie się wyświetlać, że w polu „Nazwa” należy wpisać „@”, a w polu „Wartość” serwer Googla. Jednak panel nazwa.pl nie rozpoznaje „@” i zwraca błąd.

Po zrobieniu research’u zorientowałem się, że „@” oznacza tak właściwie domenę, więc skonfigurowałem to w taki sposób:

konfiguracja DNS

I było to także poprawne. Pamiętaj więc, że jeśli Twój panel także nie przyjmuje „@”, należy po prostu podać domenę. Po około 3 godzinach dostałem maila, że konfiguracja przebiegła pomyślnie i mogłem już korzystać z nowego „firmowego” maila 😊

Konfiguracja w panelu klienta

Kolejnym krokiem jest konfiguracja w panelu klienta, gdy już masz domenowego maila, możemy się za to zabrać. Jak wspomniałem na początku, przykład będzie na podstawie panelu nazwa.pl.

Logujemy się zatem do naszego panelu, przechodzimy do zakładki certyfikatów SSL i klikamy „skonfiguruj” (zakładam oczywiście, że certyfikat został wcześniej nabyty). 

Mamy dostępne trzy opcje, a jeśli nie posiadamy hostingu w nazwa.pl to dwie. Ja nie posiadam, więc najpierw spróbowałem „Wklej CSR, jeżeli certyfikat ma zostać zainstalowany na serwerze poza nazwa.pl lub w innym Panelu Klienta”. Był to jednak błąd. Klucz prywatny, który wygenerowałem w IIS nie miał wszystkich wymaganych rzeczy i wyskakiwał mi błąd. W moim przypadku, pozostała zatem jedna opcja, „Generuj CSR w nazwa.pl”.  Po jej wybraniu pojawi się taki ekran:

konfiguracja klucza ssl nazwa.pl

Źródło screena: http://pomoc.nazwa.pl/baza-wiedzy/produkty-i-uslugi/certyfikaty-ssl/zamowienie-i-aktywacja-certyfikatu-ssl/jak-skonfigurowac-certyfikat-ssl-w-panelu-klienta/

W miejscu Adres e-mail w dropdownie możesz przejrzeć listę maili, które są do wyboru przy potwierdzeniu certyfikatu. To właśnie o tym wspominałem przy konfiguracji G Suite. Jeśli nie posiadasz żadnego z tych kont, trzeba je założyć.

Po wpisaniu wszystkich wymaganych informacji, zostanie wysłany mail z linkiem potwierdzającym. Pojawią się dwa odsyłacze do plików, które należy zapisać u siebie w bezpiecznym miejscu. Klucz prywatny jest szalenie ważny i bez niego nie uda nam się ustawić SSL-a na serwerze, więc nie zgub go! 😉

Jeśli masz już za sobą kliknięcie potwierdzenia, w mailu powinien Ci się zmienić widok po wyświetleniu certyfikatu na taki:

klucz ssl nazwa .pl

Super, konfiguracja klucza zakończona powodzeniem! 😊

Instalacja certyfikatu w IIS

IIS oczekuje certyfikatu w jednym pliku, więc musimy jakoś z naszego certyfikatu i klucza prywatnego stworzyć jeden dokument zawierający oba te elementy.

Potrzebne będzie narzędzie OpenSSL. Link do pobrania na Windowsa znajdziesz poniżej: http://slproweb.com/products/Win32OpenSSL.html

Ściągamy i instalujemy. Możemy teraz korzystać z tego narzędzia przez wiersz poleceń lub PowerShell’a.

Ok, to mamy nasz klucz prywatny w pliku tekstowym. Potrzebny będzie także certyfikat, który należy ściągnąć z panelu i ja dla ułatwienia również przerzuciłem go do pliku tekstowego.

Mam więc 2 pliki: jeden z kluczem prywatnym, a drugi z certyfikatem:

pliki z kluczami

Umieść oba w tym samym folderze i wierszem poleceń otwórz ścieżkę, w której oba te pliki się znajdują (możesz to zrobić przez przytrzymanie klawisza „shift” i kliknięciu prawym przyciskiem w wolnym miejscu. Powinna pojawić się tam opcja „Otwórz okno polecenia tutaj”:

Otwieranie wiersza poleceń w lokalizacji folderu

Wpisz teraz polecenie:

  
    pkcs12 -export -out certificate.pfx -inkey privatekey.txt -in certificate.txt
  

OpenSSL stworzy jeden plik z tych dwóch kluczy o nazwie „certificate.pfx” i to właśnie o niego nam chodzi 😉

Przejdź teraz do swojego serwera, skopiuj tam plik z pfx, otwórz IIS-a. Kliknij w drzewie na swój serwer i wybierz z komponentów „Server Certificates”

IIS dodawanie certyfikatu

Po prawej stronie wybierz „Complete Certificate Request”, wybierz plik .pfx i nadaj mu przyjazną nazwę, by łatwiej było go ustawiać na stronach. Jeśli wszystko się powiodło (a powinno), certyfikat powinien pojawić się na liście.

Przejdź teraz do swojej strony w IIS’e, kliknij „Bindings” i z dropdowna wybierz „https” i na dole certyfikat, który chcesz użyć:

Dodawanie SSL do domeny IIS

Dodaj również wersję www, jeśli trzeba. I to tyle, powinno działać😊 Aha! Warto pamiętać o odblokowaniu portu 443 na serwerze, ponieważ jest on używany do połączeń szyfrowanych domyślnie.

Uff, trochę jest z tym roboty, ale za to w efekcie mam zielony pasek! (satysfakcja równa uczniowskiemu czerwonemu 😊)

Zielony pasek po ssl

Jako, że coraz więcej stron i aplikacji wymaga szyfrowanego połączenia, myślę, że warto rozważyć jego zakup i konfigurację (zwłaszcza, że są dość tanie).

Udanego ustawiania SSL na serwerach!  

 

Data publikacji: 14.06.2017