SSL e IIS 5

di
y2ksw
il
11 risposte
Y
y2ksw
Molto attivo
Iscritto da
lug, 2003
Messaggi:
741

SSL e IIS 5

Non è una domanda, ma una risposta

Per creare un certificato trusted e applicabile sul vostro server HTTP, scaricatevi <b>makecert.exe</b> dalla Microsoft e digitate in una finestra DOS:

makecert -r -pe -n "CN=www.yourserver.co" -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -ss my -sr localMachine -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12

Importante: il flag -sp "..." può essere omesso, ma se c'è, deve contenere c'ò che è scritto lì.

Il certificato sarà salvato nei certificati personali, da cui si deve esportare con mmc.exe/Certificati in formato pfx con la chiave privata. Poi si importa nei certificati attendibili, in modo che risulta applicabile.

Dopo di ché si va nell'IIS, certificati server, si seleziona uno che esiste, appunto il nostro, e si passa poi alla configurazione del firewall, delle cartelle ecc. per abilitare https.

Lo svantaggio è che chiunque si connette a un server con ip dinamico, ha sempre un messaggio di avviso, ma per chi deve sicurare un canale tutto suo, può anche accettare questo piccolo difetto, anziché pagare da $50-250$ all'anno a Verisign.

In caso di una macchina con ip dinamico, si deve indicare, al posto di 'www.yourserver.co' il nome del computer, ad esempio 'miopc'.

Makecert si trova al link:

http://download.microsoft.com/download/platformsdk/Update/5.131.3617.0/NT45XP/EN-US/makecert.exe

Cercando sul msdn per 'makecert', si trovano poi altre utility che con SSL sono davvero una chicca in più, come ad esempio la firma dei propri componenti per asp/php.

Vi auguro buon divertimento, e vi raccomando: pazienza. Ci vogliono anche delle giornate intere per capire come funziona tutto

PS: -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 abilita l'autenticazione del server e del client, -eku 1.3.6.1.5.5.7.3.1 soltanto il server.

Per creare una CA vostra senza alcuna root CA, avete bisogno utilizzare il vecchio makecert, che cercando... si trova sempre sul sito msdn, e che ha un'altra sintassi e qualche bug che ve lo permette fare

Giovanni
---
Ducunt fata volentem, nolentem trahunt

11 Risposte

  • Y
    y2ksw
    Molto attivo
    Iscritto da
    lug, 2003
    Messaggi:
    741

    Re: SSL e IIS 5

    Appendice A:

    Lato client, per gli ip dinamici, basta installare il certificato, per evitare che vi propone ogni volta la maschera con l'avviso che il certificato è valido ma non appartiene al server rilasciato. Così andrete subito in connessione.

    Lato IIS c'è da impostare nessuna restrizione per l'accesso, altrimenti vi chiede di selezionare un certificato per la connessione. Se invece desiderate di utilizzare un certificato, dovete generarlo, con l'opzione self-signed, oppure crearvi una CA che firma i certificati da voi generati.

    Giovanni
    ---
    Ducunt fata volentem, nolentem trahunt
  • M
    Marzy
    Pochi posts
    Iscritto da
    nov, 2004
    Messaggi:
    2

    Re: SSL e IIS 5

    <BLOCKQUOTE id=quote><!--<font size= face="" id=quote>-->quote:<hr height=1 noshade id=quote>
    Non è una domanda, ma una risposta

    Per creare un certificato trusted e applicabile sul vostro server HTTP, scaricatevi <b>makecert.exe</b> dalla Microsoft e digitate in una finestra DOS:

    makecert -r -pe -n "CN=www.yourserver.co" -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -ss my -sr localMachine -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12

    Importante: il flag -sp "..." può essere omesso, ma se c'è, deve contenere c'ò che è scritto lì.

    Il certificato sarà salvato nei certificati personali, da cui si deve esportare con mmc.exe/Certificati in formato pfx con la chiave privata. Poi si importa nei certificati attendibili, in modo che risulta applicabile.

    Dopo di ché si va nell'IIS, certificati server, si seleziona uno che esiste, appunto il nostro, e si passa poi alla configurazione del firewall, delle cartelle ecc. per abilitare https.

    Lo svantaggio è che chiunque si connette a un server con ip dinamico, ha sempre un messaggio di avviso, ma per chi deve sicurare un canale tutto suo, può anche accettare questo piccolo difetto, anziché pagare da $50-250$ all'anno a Verisign.

    In caso di una macchina con ip dinamico, si deve indicare, al posto di 'www.yourserver.co' il nome del computer, ad esempio 'miopc'.

    Makecert si trova al link:

    http://download.microsoft.com/download/platformsdk/Update/5.131.3617.0/NT45XP/EN-US/makecert.exe

    Cercando sul msdn per 'makecert', si trovano poi altre utility che con SSL sono davvero una chicca in più, come ad esempio la firma dei propri componenti per asp/php.

    Vi auguro buon divertimento, e vi raccomando: pazienza. Ci vogliono anche delle giornate intere per capire come funziona tutto

    PS: -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 abilita l'autenticazione del server e del client, -eku 1.3.6.1.5.5.7.3.1 soltanto il server.

    Per creare una CA vostra senza alcuna root CA, avete bisogno utilizzare il vecchio makecert, che cercando... si trova sempre sul sito msdn, e che ha un'altra sintassi e qualche bug che ve lo permette fare

    Giovanni
    ---
    Ducunt fata volentem, nolentem trahunt
    <hr height=1 noshade id=quote></BLOCKQUOTE id=quote><!--</font id=quote><font face="" size= id=quote>-->
  • M
    Marzy
    Pochi posts
    Iscritto da
    nov, 2004
    Messaggi:
    2

    Re: SSL e IIS 5

    Ciao! sono nuova di queste parti....
    Ho un piccolo problemino....vi sarei grata se mi poteste aiutare.
    Il problema è il seguente:
    sto scivendo uno script in VBA che ha la necessità di vedere quali certificati sono stati installati dall'utente per poi veventualmente installarne altri sotto consenso dell'utente ovviamente.
    Vorrei sapere in quale cartella del filesystem vengono collocati i certificati self-signed dell'utente e se posso accedervi tramite uno script che mi dica quali certificati sono già istallati.


    Grazie mille!!!!
  • Y
    y2ksw
    Molto attivo
    Iscritto da
    lug, 2003
    Messaggi:
    741

    Re: SSL e IIS 5

    Tu vuoi il cielo in terra

    I certificati non sono accessibili tramite file system, almeno da partire da w2000. L'installazione di nuovi certificati è un'operazione manuale, e per richiamare la finestra e gestione relativa, devi usare l'API ShellExecute, ad esempio:

    Call ShellExecute(0, "open", "mio_certificato.cer", vbNullString, vbNullString, vbNormal)

    Se chiami ShellExecute da una finestra, esegui:

    Call ShellExecute(hWnd, "open", ...)

    In questo modo assicuri che alla chiusura della finestra venga chiuso anche ShellExecute.

    Per il reso ci sono anche delle API, nella DLL cryptoapi, ma è *molto* complicato e non descrivibile se non in una discussione da 300 pagine.

    Giovanni
    ---
    http://www.y2ksw.com/vbulletin
  • Z
    zanza67
    Pochi posts
    Iscritto da
    nov, 2004
    Messaggi:
    1

    Re: SSL e IIS 5

    Ciao a tutti

    vorrei attivare SSL su IIS con windows 2000 professional

    è possibile o si può fare solo su 2000 server?
    se è possibile qualcuno mi dice i passi per fare ciò o qualche sito dove posso trovare documentazione?

    grazie
    Z.
  • Y
    y2ksw
    Molto attivo
    Iscritto da
    lug, 2003
    Messaggi:
    741

    Re: SSL e IIS 5

    SSL è una tipica impostazione IIS, per cui non dovrebbe dare problemi su un qualsiasi sistema. La differenza principale fra "Server" e "X" è che il server può gestire un numero elevato di connessioni contemporanei, mentre "X" gestisce solo un numero limitato, solitamente fra 5 e 10 connessioni WAN.

    Giovanni
    ---
    http://www.y2ksw.com/vbulletin
  • G
    gbraccini
    Pochi posts
    Iscritto da
    gen, 2005
    Messaggi:
    1

    Re: SSL e IIS 5

    Grazie per l'aiuto questo tread è stato molto utile, io ho sviluppato una applicazione C++ che utilizza RPC, ed adesso stavo tentando di implementare RPC secure tramite SSL. Io credo che la sua logica di funzionamento, per quanto concerne i certificati, sia molto simile a SSL e IIS. La mia domanda è la seguente, come siete riusciti su un windows 2000 professional a far si che solamente dei client autorizzati effettuassero l'accesso. Mi spiego meglio, è possibile senza utilizzare windows 2000 server, installando IIS su un 2000 pro consegnare all'utente un certificato e far si che soltanto quell'utente, in possesso del certificato, possa accedere al sito?
    spero di essere stato chiaro, e grazie ancora a tutti

    Gianluca
  • Y
    y2ksw
    Molto attivo
    Iscritto da
    lug, 2003
    Messaggi:
    741

    Re: SSL e IIS 5

    Sì, esatto, funziona così. Non mi ricordo però quali passi ho fatto con i certificati. Credo che da qualche parte si può impostare il server in modo che non invii il certificato durante la connessione, ma che sia necessario che l'utente lo abbia con sé sul floppy ecc.

    Giovanni
    ---
    http://www.y2ksw.com/vbulletin
  • S
    studiocolina
    Pochi posts
    Iscritto da
    lug, 2005
    Messaggi:
    2

    Re: SSL e IIS 5

    <BLOCKQUOTE id=quote><!--<font size= face="" id=quote>-->quote:<hr height=1 noshade id=quote>
    <BLOCKQUOTE id=quote><!--<font size= face="" id=quote>-->quote:<hr height=1 noshade id=quote>
    Non è una domanda, ma una risposta

    Per creare un certificato trusted e applicabile sul vostro server HTTP, scaricatevi <b>makecert.exe</b> dalla Microsoft e digitate in una finestra DOS:

    makecert -r -pe -n "CN=www.yourserver.co" -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -ss my -sr localMachine -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12

    Importante: il flag -sp "..." può essere omesso, ma se c'è, deve contenere c'ò che è scritto lì.

    Il certificato sarà salvato nei certificati personali, da cui si deve esportare con mmc.exe/Certificati in formato pfx con la chiave privata. Poi si importa nei certificati attendibili, in modo che risulta applicabile.

    Dopo di ché si va nell'IIS, certificati server, si seleziona uno che esiste, appunto il nostro, e si passa poi alla configurazione del firewall, delle cartelle ecc. per abilitare https.

    Lo svantaggio è che chiunque si connette a un server con ip dinamico, ha sempre un messaggio di avviso, ma per chi deve sicurare un canale tutto suo, può anche accettare questo piccolo difetto, anziché pagare da $50-250$ all'anno a Verisign.

    In caso di una macchina con ip dinamico, si deve indicare, al posto di 'www.yourserver.co' il nome del computer, ad esempio 'miopc'.

    Makecert si trova al link:

    http://download.microsoft.com/download/platformsdk/Update/5.131.3617.0/NT45XP/EN-US/makecert.exe

    Cercando sul msdn per 'makecert', si trovano poi altre utility che con SSL sono davvero una chicca in più, come ad esempio la firma dei propri componenti per asp/php.

    Vi auguro buon divertimento, e vi raccomando: pazienza. Ci vogliono anche delle giornate intere per capire come funziona tutto

    PS: -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 abilita l'autenticazione del server e del client, -eku 1.3.6.1.5.5.7.3.1 soltanto il server.

    Per creare una CA vostra senza alcuna root CA, avete bisogno utilizzare il vecchio makecert, che cercando... si trova sempre sul sito msdn, e che ha un'altra sintassi e qualche bug che ve lo permette fare

    Giovanni
    ---
    Ducunt fata volentem, nolentem trahunt
    <hr height=1 noshade id=quote></BLOCKQUOTE id=quote><!--</font id=quote><font face="" size= id=quote>-->


    <hr height=1 noshade id=quote></BLOCKQUOTE id=quote><!--</font id=quote><font face="" size= id=quote>-->
  • S
    studiocolina
    Pochi posts
    Iscritto da
    lug, 2005
    Messaggi:
    2

    Re: SSL e IIS 5

    Ho provato per genere il certificato seguendo le istruzioni, ma non funziona, probabilmente c'è qualche errore. Ho creato il certificato solo utilizzando i parametri -r e -n , ma ho un problema : dopo aver cliccato sul certificato ed installato seguendo la procedura guidata non riesco a capire come esportare con mmc.exe. Da esegui, digito mmc.exe mi si apre una console vuota ma non capisco come fare per prodere ed esportare il certificato in formato pfx ...

    !!! cosa devo fare ...

    ciao
    Angelo

    <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<

    Non è una domanda, ma una risposta

    Per creare un certificato trusted e applicabile sul vostro server HTTP, scaricatevi <b>makecert.exe</b> dalla Microsoft e digitate in una finestra DOS:

    makecert -r -pe -n "CN=www.yourserver.co" -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -ss my -sr localMachine -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12

    Importante: il flag -sp "..." può essere omesso, ma se c'è, deve contenere c'ò che è scritto lì.

    Il certificato sarà salvato nei certificati personali, da cui si deve esportare con mmc.exe/Certificati in formato pfx con la chiave privata. Poi si importa nei certificati attendibili, in modo che risulta applicabile.

    Dopo di ché si va nell'IIS, certificati server, si seleziona uno che esiste, appunto il nostro, e si passa poi alla configurazione del firewall, delle cartelle ecc. per abilitare https.

    Lo svantaggio è che chiunque si connette a un server con ip dinamico, ha sempre un messaggio di avviso, ma per chi deve sicurare un canale tutto suo, può anche accettare questo piccolo difetto, anziché pagare da $50-250$ all'anno a Verisign.

    In caso di una macchina con ip dinamico, si deve indicare, al posto di 'www.yourserver.co' il nome del computer, ad esempio 'miopc'.

    Makecert si trova al link:

    http://download.microsoft.com/download/platformsdk/Update/5.131.3617.0/NT45XP/EN-US/makecert.exe

    Cercando sul msdn per 'makecert', si trovano poi altre utility che con SSL sono davvero una chicca in più, come ad esempio la firma dei propri componenti per asp/php.

    Vi auguro buon divertimento, e vi raccomando: pazienza. Ci vogliono anche delle giornate intere per capire come funziona tutto

    PS: -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 abilita l'autenticazione del server e del client, -eku 1.3.6.1.5.5.7.3.1 soltanto il server.

    Per creare una CA vostra senza alcuna root CA, avete bisogno utilizzare il vecchio makecert, che cercando... si trova sempre sul sito msdn, e che ha un'altra sintassi e qualche bug che ve lo permette fare

    Giovanni
    ---
    Ducunt fata volentem, nolentem trahunt
    <hr height=1 noshade id=quote></BLOCKQUOTE id=quote><!--</font id=quote><font face="" size= id=quote>-->
  • Y
    y2ksw
    Molto attivo
    Iscritto da
    lug, 2003
    Messaggi:
    741

    Re: SSL e IIS 5

    Per coloro che non si trovano con makecert, ho creato il tutorial OpenSSL all pagina: http://www.y2ksw.com/vbulletin/showthread.php?p=1375#post1375

    L'importazione del certificato da esegui - mmc è piuttosto complicata. Molto meglio andare su IIS - Server web - Proprietà - Protezione directory - Certificato server, e seguire le istruzioni.

    Comunque, da mmc si esegue:
    1. Aggiungi snap-in
    2. Aggiungi ...
    3. Certificati
    4. Account del computer
    5. Locale
    6. Chiudere tutto tranne la console mmc
    7. Autorità di certificazione fonti attendibili
    8. Certificati
    9. Tutte le attività (mouse destro) - Importa - selezionare il certificato - ok
    10. Pronto
    11. Salvare la console per l'accesso rapido la prossima volta

    Giovanni
    ---
    http://www.y2ksw.com/vbulletin
Devi accedere o registrarti per scrivere nel forum
11 risposte