IIS 8.0, 8.5 & 10.0 SSL Administration

Download PDF

Introduktion

 

Denne vejledning er opdelt efter om du selv laver en CSR og installerer, eller om en anden har lavet CSR'en, f.eks. via FairCSR service så du får certifikat og nøgle samlet.

 

Hvis du selv laver CSR filen, så følg Installation fra CSR.

Hvis du ikke selv laver CSR filen, f.eks hvis du bruger CSR service eller har eksporteret fra en anden server, så følg Installation fra PFX fil.

Installation fra CSR

Installation af SSL certifikat ud fra egengenereret CSR på serveren.

 

  1. Generering af CSR direkte på den server certifikatet skal installeres på.
  2. Installation af certifikat bestilt via CSR på den server CSR'en er genereret på.
  3. Tildeling af certifikat til default website for at konfigurere websitet til at bruge det nye certifikat.
  4. Tildeling af certifikat til yderligere websites skal anvendes for at bruge flere websites med SNI (Server Name Indication)

 

 

Installation fra PFX fil

Installation af SSL certifikat fra en PFX fil f.eks. modtaget via FairCSR service

 

  1. Installation af certifikat fra PFX fil fra FairCSR service eller en eksport fra anden server.
  2. Tildeling af certifikat til default website for at konfigurere websitet til at bruge det nye certifikat.
  3. Tildeling af certifikat til yderligere websites skal anvendes for at bruge flere websites med SNI (Server Name Indication)

 

 

Eksport af certifikat til PFX fil

Eksport af installeret SSL certifikat til PFX fil f.eks. som backup hvis en server skal rulles tilbage

 

  1. Eksport af certifikat til PFX fil til f.eks. installation på anden server.

 

Generering af CSR

 

  1. Log på serveren med administrator rettigheder.

Tryk windows tast + r.

Skriv inetmgr

Tryk på OK.

 

 

  1. Under Connections i venstre side klik på den server hvorpå du vil lave en CSR.

I det midten dobbeltklik på Server Certificates.

 

 

  1. Under Actions i højre side klik på Create Certificate Request.

 

 

  1. Udfyld informationerne til certifikatet som følger:

 

    • Common name (CN): Dette er typisk det fulde DNS navn som du bestiller certifikatet til (f.eks. www.fairssl.dk).

Vil du bestille et wildcard certifikat skal der i stedet stå *.fairssl.dk.

    • Organization (O): Firmanavn præcis som det står i CVR.
    • Organizational unit (OU): Navn på afdeling (kan efterlades tom).
    • Locality (L): Bynavn fra CVR.
    • State (ST): Stat, i Danmark angives navnet på kommunen.
    • Country (C): To-bogstavs landekode, DK/SE/NO osv. (skal være store bogstaver).

 

Klik på Next.

 

 

  1. Angiv følgende:

 

    • Cryptographic service provider: Microsoft RSA SChannel Cryptographic Provider.
    • Bit Length: 2048.

 

Klik på Next.

 

 

  1. Angiv en sti og filnavn til at gemme CSR forespørgslen.

Klik på Finish.

 

 

Resultat:

Resultatet af CSR genereringen er en almindelig tekstfil som ser ud som herunder.

Den kan åbnes i en almindelig teksteditor som f.eks. notepad.

Teksten, inkl. alle bindestreger, kan indsættes i bestillingsformularen, eller filen kan vedhæftes i en email.

 

 

En CSR indeholder ingen fortrolige oplysninger og der er ingen sikkerhedsrisiko ved f.eks. at sende en CSR via ukrypteret email.

 

Installation af certifikat bestilt via CSR

 

Vi anbefaler at du starter med at installere mellemudsteder (intermediate) certifikat.

Du har modtaget dette sammen med dit server certifikat.

 

Installation af mellemudsteder certifikat

 

  1. Log ind på serveren med administrator rettigheder.

 

  1. Åben en teksteditor som notepad.

Kopier teksten med mellemudsteder certifikatet (Intermediate certificate) fra emailen med dit nye certifikat (Husk alle bindestreger før og efter).

Gem filen som mellemudsteder.cer på skrivebordet.

 

  1. Tryk windows-key + r.

Skriv mmc.exe

Tryk OK.

 

 

  1. Under File klik på Add/Remove Snap-in.

 

 

  1. Vælg Certificates i listen.

Klik på Add.

 

 

  1. Vælg Computer account.

Klik på Next.

 

 

  1. Vælg Local Computer.

Klik Next.

 

 

  1. Udvid Certificates (Local Computer).

Udvid Intermidiate Certificate Authorities.

Højreklik på Certificates.

Under All Tasks klik på Import.

 

 

  1. Klik på Browse... og bladre ind til der hvor du gemte filen.

Vælg filen og klik Open.

Klik Next.

 

 

  1. Vælg Automatically select the certificate store based on the type of certificate.

Klik på Finish.

 

 

Vær opmærksom på at det kan være nødvendigt at genstarte services eller serveren før de forskellige services kan finde certifikatet.

 

Mellemudstedercertifikater

Her kan du finde mellemudstedercertifikater fra de forskellige udstedere.

Vi anbefaler at du bruger det medsendte mellemudsteder certifikat, og kun henter herfra hvis du mister det, da det medsendte altid vil være det korrekte til det bestilte server certifikat.

 

Certifikater fra forskellige udbydere

 

Installation af server certifikat

 

  1. Log på serveren med administrator rettigheder.

Tryk windows tast + r.

Skriv inetmgr

Tryk på OK.

 

 

  1. Under Connections i venstre side klik på den server hvorpå du vil lave en CSR.

I det midten dobbeltklik på Server Certificates.

 

 

  1. Under Actions i højre side klik på Complete Certificate Request.

 

 

  1. Klik på de tre prikker og find der hvor certifikatet ligger og klik på Open.

Angiv følgende informationer:

    • Friendly name: Her kan du angive et navn eller beskrivelse der gør det lettere at identificere certifikatet blandt mange. Dette kan senere ændres og er ikke en integreret del af certifikatet.
    • Select a certificate store for the new certificate: vælg Personal.

Klik derefter på OK for at installere certifikatet på serveren.

 

 

Nu er certifikatet installeret på serveren, men det er stadigt nødvendigt at tildele certifikatet til det korrekte website i IIS Manageren.

 

Installation af certifikat fra PFX fil

 

  1. Log in på serveren med administrator rettigheder.

Gem den modtagne fil et sted hvor det er let at finde den f.eks. skrivebordet.

 

  1. Tryk windows-key + r.

Skriv mmc.exe

Tryk OK.

 

 

  1. Under File klik på Add/Remove Snap-in.

 

 

  1. Vælg Certificates.

Klik på Add.

 

 

  1. Vælg Computer account.

Klik på Next.

 

 

  1. Vælg Local computer.

Klik Finish.

 

 

  1. Udvid træstrukturen indtil mappen Personal bliver synlig.

Højreklik på Personal.

Under All Tasks klik på Import.

 

 

  1. Klik på Browse... og find dér hvor du har gemt PFX-filen.

 

 

  1. Skift format til Personal Information Exchange (*.pfx;*.p12) i nederste højre hjørne og vælg den korrekte fil.

Klik Open derefter Next.

 

 

  1. Hvis filen er beskyttet af en kode (normalt), skal du indtaste den her.

Ved FairCSR service har du modtaget koden på SMS, da ordren startede.

Efterlad markeringerne som de er og klik Next.

 

 

  1. Vælg Automatically select the certificate store based on the type of certificate.

Klik Next derefter Finish.

 

 

Tildeling af certifikat til websites

 

Hvis du har forskellige certifikater til de forskellige websites skal disse selvfølgelig også installeres på serveren.

 

Giv de forskellige certifikater et "Friendly name" der gør det let for dig at finde ud af hvilke websites det skal bruges med, så du kan finde det korrekte certifikat når du skal bruge det.

 

Tildeling af certifikat til default website

 

  1. Log på serveren med administrator rettigheder.

Tryk windows tast + r.

Skriv inetmgr

Tryk på OK.

 

 

  1. I IIS Manageren under Connections i venstre side, vælg serveren hvor certifikatet er blevet installeret.

Udvid træstrukturen og vælg det website som skal bruge certifikatet.

Under Actions i højre side klik på Bindings.

 

 

  1. Klik på Add.

Hvis der allerede er en https binding, markér den og klik på Edit.

 

 

  1. Udfyld følgende informationer:

 

    • Type: vælg https.
    • IP address: Vælg All Unassigned (default) eller serverens IP adresse.
    • Port: Angiv portnummer for servicen (Typisk 443 for https).
    • SSL certificate: Vælg det certifikat du netop har installeret, hvis flere minder om hinanden, vælg og klik på View for at bekræfte.

 

Klik på OK derefter på Close.

 

 

 

Websitet er nu konfigureret til at acceptere sikre forbindelser over HTTPS.

Vi anbefaler at du tester installationen med vores server tester på: https://www.fairssl.dk/ssltest

 

Tildeling af certifikat til yderligere websites

 

  1. Log på serveren med administrator rettigheder.

Tryk windows tast + r.

Skriv inetmgr

Tryk på OK.

 

 

  1. Under Connections i venstre side a IIS Manageren udvid træstrukturen ved den server certifikatet er installeret på.

Under Sites vælg det website som skal bruge certifikatet.

Under Actions i højre side klik på Bindings.

 

 

  1. Klik på Add.

Hvis der allerede er en https binding, markér den og klik på Edit.

 

 

  1. Udfyld følgende informationer:

 

    • Type: vælg https.
    • IP address: Vælg All Unassigned (default) eller serverens IP adresse.
    • Port: Angiv portnummer for servicen (Typisk 443 for https).
    • Host name: det DNS navn som denne binding skal reagere på.
    • SSL certificate: Vælg det certifikat du netop har installeret, hvis flere minder om hinanden, vælg og klik på View for at bekræfte.
    • Sæt flueben i Require Server Name Indication

 

Klik på OK.

 

 

Gentag indtil alle websites er konfigureret med bindings

NOTE: Hvis du har et website med flere navne, f.eks. www.fairssl.dk og fairssl.dk skal der oprettes en binding for hver navn websitet skal virke med.

 

 

Alle websites er nu konfigureret til at acceptere sikre forbindelser over HTTPS.

Vi anbefaler at du tester installationen med vores server tester på: https://www.fairssl.dk/ssltest

 

Eksport af certifikat til PFX backup

 

  1. Log in på serveren med administrator rettigheder.

Gem den modtagne fil et sted hvor det er let at finde den f.eks. skrivebordet.

 

  1. Tryk windows-key + r.

Skriv mmc.exe

Tryk OK.

 

 

  1. Under File klik på Add/Remove Snap-in.

 

 

  1. Vælg Certificates.

Klik på Add.

 

 

  1. Vælg Computer account.

Klik på Next.

 

 

  1. Vælg Local computer.

Klik Finish.

 

 

  1. Udvid træstrukturen indtil mappen Personal bliver synlig og klik på den.

Højreklik på det certifikat du gerne vil eksportere, under All Tasks vælg Export.

 

 

  1. Vælg Yes, export the private key.

Klik Next.

 

 

  1. Vælg Personal Information Exchage - PKCS #12 (.PFX).

Klik Next.

 

 

  1. Markér Password: og skriv et password som PFX-filen vil blive beskyttet med (Husk at gemme passwordet et sikkert sted).

Klik Next.

 

 

  1. Vælg et sted og et navn til at gemme PFX-filen, giv den et navn så det er let at huske hvad den er til.

Klik Next.

Klik Finish.