Jak založit self-signed SSL certifikát na lokální IP adresu

Popis

V článku se dozvíte jak si vygenerovat self-signed certifikát pro webovou službu eWay-CRM a jak ho správně aplikovat ve Windows.

Verze

Všechny verze eWay-CRM®

Obtížnost řešení

Střední

Postup řešení

1. Serverová část

Spustíme PowerShell jako administrátor.

Pomocí toho příkazu vytvoříme certifikát pro doménu eway.local a IP adresu 192.168.1.20. Doménu a IP adresu zmeňte podle potřeb. Platnost certifikátu bude 25 let - také možno změnit parametrem NotAfter.

Příkaz použijte celý tak jak je. eWay-CRM bude akceptovat pouze neověřenou certifikační autoritu (ERR_CERT_AUTHORITY_INVALID), jiné chyby jako například ERR_CERT_COMMON_NAME_INVALID zabrání fungování spojení.

New-SelfSignedCertificate -Subject eway.local -TextExtension @("2.5.29.17={text}DNS=eway.local&IPAddress=192.168.1.20") -NotAfter (Get-Date).AddYears(25) -CertStoreLocation cert:\LocalMachine\My

Po zavolání dotazu se zobrazí v konzoli otisk (thumbrint) certifikátu. Ten budeme potřebovat, abychom certifikát vyexportovali. Už v tuto chvíli je certifikát dostupný v IIS v sekci Server Certificate a je možné ho přiřadit webovému serveru.

Export certifikátu provedeme takto. F94032CBE3B4063EE4CF9E1987E6B75CD4407EB2 změnťe za váš vlastní otisk.

Export-Certificate -Cert Cert:\LocalMachine\My\F94032CBE3B4063EE4CF9E1987E6B75CD4407EB2 -FilePath C:\Temp\eway.local.cer

Windows Server 2012 R2 a nižší

Příkaz New-SelfSignedCertificate u starších verzí operačního systému Windows nepodporují parametry Subject a TextExtension.

Certifikát je tedy potřeba vygenerovat na PC s Windows 10 nebo vyšší a poté vyexportovat do souboru PFX pomocí příkazu:

$pwd = ConvertTo-SecureString -String 'StrongPassword' -Force -AsPlainText
Get-ChildItem -Path Cert:\LocalMachine\My\F94032CBE3B4063EE4CF9E1987E6B75CD4407EB2 | Export-PfxCertificate -FilePath C:\Temp\eway.local.pfx -Password $pwd

PFX soubor zkopírujeme na server a v konzoli IIS v sekci Server Certificates naimportujeme pomocí volby Import...

2. Klientské stanice

Certifikát sám o sobě nebude na zařízeních akceptován. Bude potřeba ho vložit do důvěryhodných.

Ve Windows otevřeme vygenerovaný cer soubor.

Klikneme na možnost Install certificate...

Zde zvolíme možnost Local Machine a Next.

Certifikát vložíme do Trusted Root Certification Authorities.

V tuto chvíli by mělo fungovat připojení na adresu webové služby (např. https://192.168.1.20) bez chyby certifikátu.