IIS 8.0, 8.5 & 10.0 SSL Administration

Download PDF

Introduktion

 

Ved bestilling af et SSL-certifikat kræves en Certificate Signing Request (CSR), denne genereres ud fra en privat nøgle.

 

Hvis du selv laver CSR-filen, så følg Installation fra CSR.

Hvis du ikke selv laver CSR-filen, f.eks hvis du bruger CSR-service eller har eksporteret fra en anden server, så følg Installation fra .PFX fil.

Installation fra CSR

Installation af SSL certifikat ud fra egengenereret CSR på serveren.

 

  1. Generering af CSR direkte på den server certifikatet skal installeres på.
  2. Installation af certifikat bestilt via CSR på den server CSR'en er genereret på.
  3. Tildeling af certifikat til default website for at konfigurere websitet til at bruge det nye certifikat.
  4. Tildeling af certifikat til yderligere websites skal anvendes for at bruge flere websites med Server Name Indication (SNI).

Installation fra .PFX fil

Installation af SSL certifikat fra en .PFX fil f.eks. modtaget via CSR-service.

 

  1. Installation af certifikat via import af .PFX fil fra CSR-service eller en eksport fra anden server.
  2. Tildeling af certifikat til default website for at konfigurere websitet til at bruge det nye certifikat.
  3. Tildeling af certifikat til yderligere websites skal anvendes for at bruge flere websites med Server Name Indication (SNI).

Eksport af certifikat til .PFX fil

Eksport af installeret SSL certifikat til .PFX fil f.eks. som backup hvis en server skal rulles tilbage.

 

  1. Eksport af certifikat til .PFX fil til f.eks. installation på anden server.

 

Generering af CSR

 

  1. Log ind på serveren med en administrator konto.

 

  1. Tryk på windowstast + r

Skriv inetmgr

Tryk på OK.

 

 

  1. Under Connections i venstre side klik på den server hvorpå du vil lave en CSR.

I midten dobbeltklik på Server Certificates.

 

 

  1. Under Actions i højre side klik på Create Certificate Request.

 

 

  1. Udfyld informationerne til certifikatet som følger:

 

    • Common Name (CN): Det primære fulde internet domænenavn. F.eks.: www.fairssl.dk
    • Organization Name (O): Det fulde gyldige firmanavn, præcis som det står i CVR. F.eks.: FairSSL A/S
    • Organizational Unit (OU): Afdelingen som skal bruge certifikatet. Må ikke kunne forveksles med et andet firma. Kan anbefales at efterlade den tom, eller at bruge firmanavnet. F.eks.: FairSSL A/S
    • Locality (L): Bynavn. F.eks.: Ørum Djurs
    • State (S): Stat eller kommune, i Danmark anvendes kommunen. F.eks.: Norddjurs
    • Country (C): ISO-standard to-bogstavs landekode, skal være store bogstaver. F.eks.: DK

 

Klik på Next.

 

 

  1. Angiv følgende:

 

    • Cryptographic service provider: Microsoft RSA SChannel Cryptographic Provider
    • Bit Length: 2048

 

Klik på Next.

 

 

  1. Angiv en sti og filnavn til at gemme CSR-filen.

Klik på Finish.

 

 

  1. Åben CSR-filen med en teksteditor (f.eks notepad), kopier hele teksten, inkl. alle bindestreger før og efter.

Under certifikat bestillingen skal du indsætte teksten i CSR-feltet.

Følgende er et eksempel på en komplet CSR-tekst:

 

 

En CSR indeholder ingen fortrolige oplysninger og der er ingen sikkerhedsrisiko ved f.eks. at sende en CSR via ukrypteret e-mail til os.

 

Installation af certifikat bestilt via CSR

 

Vi anbefaler at du starter med at installere mellemudsteder (intermediate) certifikat.

Du har modtaget dette sammen med dit server certifikat.

 

Installation af mellemudsteder certifikat

 

  1. Log ind på serveren med en administrator konto.

 

  1. Åben en teksteditor som notepad.

Kopier teksten med mellemudsteder certifikatet (Intermediate certificate) fra emailen med dit nye certifikat (Husk alle bindestreger før og efter).

Gem filen som mellemudsteder.cer på skrivebordet.

 

  1. Tryk på windowstast + r

Skriv mmc.exe

Tryk på OK.

 

 

  1. Under File klik på Add/Remove Snap-in.

 

 

  1. Vælg Certificates.

Klik på Add.

 

 

  1. Vælg Computer account.

Klik på Next.

 

 

  1. Vælg Local Computer.

Klik på Next.

 

 

  1. Udvid Certificates (Local Computer).

Udvid Intermidiate Certificate Authorities.

Højreklik på Certificates.

Vælg All Tasks.

Klik på Import.

 

 

  1. Klik på Browse og find hvor du gemte filen.

Vælg filen og klik på Open.

Klik på Next.

 

 

  1. Vælg Automatically select the certificate store based on the type of certificate.

Klik på Finish.

 

 

Vær opmærksom på at det kan være nødvendigt at genstarte services eller serveren før de forskellige services kan finde certifikatet.

 

Her kan du finde mellemudstedercertifikater fra de forskellige udstedere.

Vi anbefaler at du bruger det medsendte mellemudstedercertifikat, og kun henter herfra hvis du mister det, da det medsendte altid vil være det korrekte til det bestilte server certifikat.

 

Mellemudstedercertifikater

 

Installation af server certifikat

 

  1. Log ind på serveren med en administrator konto.

Tryk på windowstast + r

Skriv inetmgr

Tryk på OK.

 

 

  1. Under Connections i venstre side klik på den server hvorpå du vil lave en CSR.

I midten dobbeltklik på Server Certificates.

 

 

  1. Under Actions i højre side klik på Complete Certificate Request.

 

 

  1. Klik på de tre prikker og find der hvor certifikatet ligger og klik på Open.

Angiv følgende informationer:

 

    • Friendly name: Her kan du angive et navn eller beskrivelse der gør det lettere at identificere certifikatet blandt mange. Dette kan senere ændres og er ikke en integreret del af certifikatet
    • Select a certificate store for the new certificate: vælg Personal

 

Klik på derefter på OK for at installere certifikatet på serveren.

 

 

Nu er certifikatet installeret på serveren, men det er stadigt nødvendigt at tildele certifikatet til det korrekte website i IIS Manageren.

 

Installation af certifikat via import af .PFX fil

 

  1. Log ind på serveren med en administrator konto

Gem den modtagne fil et sted hvor det er let at finde den f.eks. skrivebordet.

 

  1. Tryk på windowstast + r

Skriv mmc.exe

Tryk på OK.

 

 

  1. Under File klik på Add/Remove Snap-in.

 

 

  1. Vælg Certificates.

Klik på Add.

 

 

  1. Vælg Computer account.

Klik på Next.

 

 

  1. Vælg Local computer.

Klik på Finish.

 

 

  1. Udvid træstrukturen indtil mappen Personal bliver synlig.

Højreklik på Personal.

Vælg All Tasks.

Klik på Import.

 

 

  1. Klik på Browse og find dér hvor du har gemt .PFX filen.

 

 

  1. Skift format til Personal Information Exchange (*..PFX;*.p12) i nederste højre hjørne og vælg den korrekte fil.

Klik på Open.

Klik på Next.

 

 

  1. Hvis filen er beskyttet af en kode (normalt), skal du indtaste den her.

Ved CSR-service har du modtaget koden på SMS.

Klik på Next.

 

 

  1. Vælg Automatically select the certificate store based on the type of certificate.

Klik på Next.

Klik på Finish.

 

 

Tildeling af certifikat til websites

 

Hvis du har forskellige certifikater til de forskellige websites skal disse selvfølgelig også installeres på serveren.

 

Giv de forskellige certifikater et Friendly name der gør det let for dig at finde ud af hvilke websites det skal bruges med, så du kan finde det korrekte certifikat når du skal bruge det.

 

Tildeling af certifikat til default website

 

  1. Log ind på serveren med en administrator konto

 

  1. Tryk på windowstast + r

Skriv inetmgr

Tryk på OK.

 

 

  1. I IIS Manageren under Connections i venstre side, vælg serveren hvor certifikatet er blevet installeret.

Udvid træstrukturen og vælg det website som skal bruge certifikatet.

Under Actions i højre side klik på Bindings.

 

 

  1. Klik på Add.

Hvis der allerede er en https binding, markér den og klik på Edit.

 

 

  1. Udfyld følgende informationer:

 

    • Type: vælg https
    • IP address: Vælg All Unassigned (default) eller serverens IP adresse
    • Port: Angiv portnummer for servicen (Typisk 443 for https)
    • Host name: Skal efterlades tom på default websitet. Det er kun muligt at have et default websites på hver IP/port. Alle andre websites på samme IP/port, vil anvende SNI og have et host name
    • Require Server Name Indication: Skal være tom
    • SSL certificate: Vælg det certifikat du netop har installeret, hvis flere minder om hinanden kan du klikke på View for at bekræfte det valgte certifikat

 

Klik på OK.

Klik på Close.

 

 

 

Websitet er nu konfigureret til at acceptere sikre forbindelser over HTTPS.

Vi anbefaler at du tester installationen med vores server tester på: https://www.fairssl.dk/da/ssltest

 

Tildeling af certifikat til yderligere websites

 

  1. Log ind på serveren med en administrator konto

 

  1. Tryk på windowstast + r

Skriv inetmgr

Tryk på OK.

 

 

  1. Under Connections i venstre side a IIS Manageren udvid træstrukturen ved den server certifikatet er installeret på.

Under Sites vælg det website som skal bruge certifikatet.

Under Actions i højre side klik på Bindings.

 

 

  1. Klik på Add.

Hvis der allerede er en https binding, markér den og klik på Edit.

 

 

  1. Udfyld følgende informationer:

 

    • Type: vælg https
    • IP address: Vælg All Unassigned (default) eller serverens IP adresse
    • Port: Angiv portnummer for servicen (Typisk 443 for https)
    • Host name: det DNS navn som denne binding skal reagere på
    • Require Server Name Indication: sæt flueben
    • SSL certificate: Vælg det certifikat du netop har installeret, hvis flere minder om hinanden kan du klikke på View for at bekræfte det valgte certifikat

 

Klik på OK.

 

 

Gentag indtil alle websites er konfigureret med bindings.

NOTE: Hvis du har et website med flere navne, f.eks. www.fairssl.dk og fairssl.dk skal der oprettes en binding for hver navn websitet skal virke med.

 

 

Alle websites er nu konfigureret til at acceptere sikre forbindelser over HTTPS.

Vi anbefaler at du tester installationen med vores server tester på: https://www.fairssl.dk/da/ssltest

 

Opdatering af sikkerhed

 

Når en server bliver installeret kommer den med standard indstillinger på sikkerheden, som ikke automatisk bliver opdateret.

Selv når man har sat indstillingerne til best practice vil indstillingerne blive forældet som tiden går og sikkerheds huller bliver fundet.

 

Derfor anbefaler vi du kontrollerer og opdaterer dine sikkerhedsindstillinger hver gang du opdaterer dit certifikat, så du altid har de bedste indstillinger.

 

Til hjælp for dette anbefaler vi at du bruger IIS Crypto, som du kan downloade gratis hos Nartac Software.

 

Vi har en guide til at bruge IIS Crypto her.

 

Eksport af certifikat til .PFX backup

 

  1. Log ind på serveren med en administrator konto.

 

  1. Tryk på windowstast + r

Skriv mmc.exe

Tryk på OK.

 

 

  1. Under File klik på Add/Remove Snap-in.

 

 

  1. Vælg Certificates.

Klik på Add.

 

 

  1. Vælg Computer account.

Klik på Next.

 

 

  1. Vælg Local computer.

Klik på Finish.

 

 

  1. Udvid træstrukturen indtil mappen Certificates under Personal bliver synlig og klik på den.

Højreklik på det certifikat du gerne vil eksportere.

Vælg All Tasks.

Klik på Export.

 

 

  1. Vælg Yes, export the private key.

Klik på Next.

 

 

  1. Vælg Personal Information Exchage - PKCS #12 (.PFX).

Klik på Next.

 

 

  1. Markér Password: og skriv et password som .PFX filen vil blive beskyttet med (Husk at gemme passwordet et sikkert sted).

Klik på Next.

 

 

  1. Vælg et sted og et navn til at gemme .PFX filen, giv den et navn så det er let at huske hvad den er til.

Klik på Next.

Klik på Finish.