Запуск 1С8 + IIS + HTTPS авторизация по сертификату при помощи OpenSSL

1) Создадим корневой self-signed сертификат:
 
openssl req -new -x509 -newkey rsa:2048 -days 5000 -out c:\iis\ca.crt -keyout c:\iis\ca.key
 
* -new означает что мы хотим создать новый запрос
* -x509 что сразу хотим самоподписанный сертификат
* -newkey rsa:2048 Пусть тут же и ключик нам сгенерирует длиной 2048 бит. вместо rsa:<кол-во бит>, кстати, можно указывать dsa:<файл с параметрами> или ec:<файл с параметрами>
* -days 5000 — сертификат истечет через 5000 дней
* -out и -keyout указывают куда сохранить сертификат и закрытый ключ от него
 
При попытки сгенировать сертификат выходит ошибка:
 
WARNING: can't open config file: /usr/local/ssl/openssl.cnf
Unable to load config info from /usr/local/ssl/openssl.cnf
 
Решение:
* Открыть командную строку с административными правами
set OPENSSL_CONF=c:\openssl\bin\openssl.cfg

logoff
 
где C:\openssl — путь куда был установлен OpenSSL
 
 
 
 
Отвечаем на вопросы, в принципе можно заполнять поля чем угодно – главное не забудьте пароль
После серии несложных вопросов в папке iis появятся сертификат ca.crt и закрытый ключ от него ca.key
 
Теперь, чтобы IIS узнавал все сертификаты, подписанные корневым, нужноустановить корневой сертификат в хранилище доверенных центров сертификатов компьютера:
1. Запускаем mmc
2. Добавляем оснастку сертификаты и указываем, что она будет управлять сертификатами для учетной записи компьютера, иначе ничего не заведется.
3. Открываем «Доверенные корневые центры сертификации» и импортируем туда наш CA:
 
 
2) В консоли управления IIS нужно зайти в «Сертификаты сервера», вызвать меню по правой кнопке и нажать создать новый запрос сертификата. Сохраните его в c:\iis как server.csr
 
Теперь подпишем запрос сертификата сервера корневым сертификатом:
 
openssl ca -days 1000 -policy policy_anything -keyfile c:\iis\ca.key -cert c:\iis\ca.crt -in c:\iis\server.csr -out c:\iis\server.cer
 
-policy policy_anything означает, что сертификату будут предоставлены все возможные политики применения. Самый простой вариант. Остальные параметры, полагаю, в пояснении не нуждаются. Главное, не запутаться где какой файл указывать.
После этого у нас в c:\iis появится сертификат сервера server.cer, которы нужно установить в IIS.
Для этого мы опять идем в «сертификаты сервера», выбираем «Запрос установки сертификата» и там указываем c:\iis\server.cer.
Всё, сертификат у сервера есть. 
Теперь нужно в привязках для узла создать новую https привязку и выбрать из списка наш серверный сертификат:
 

После этого нужно в настройках SSL для узла выставить опции следующим образом:

 
 
Источник: Habrahabr
Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 2

Если статья оказалась вам полезна, пожалуйста, отблагодарите посильной суммой :)

Еще есть вопросы? Отправить запрос

0 Комментарии

Войдите в службу, чтобы оставить комментарий.
На базе технологии Zendesk