Glengamoi (Forum) · AspHeute · .NET Heute (RSS-Suche) · AspxFiles (Wiki) · .NET Blogs

Verwendung von SSL Test-Certificates

Geschrieben von: Christoph Wille
Kategorie: Sicherheit

This printed page brought to you by AlphaSierraPapa

Sie entwickeln gerade eine eCommerce Site für einen Kunden, und der Shop soll natürlich mit SSL (Secure Socket Layer) abgesichert werden. Für SSL braucht man aber ein Certificate, und das kostet fast USD 300 - ein Grund, das Testen der SSL Funktionalität bis zum Start der Website am Liveserver zu verschieben - wo man ein gültiges Certificate sowieso braucht.

Daß es keine gute Idee ist, das Testen der Sicherheitsfunktionen so lange hinauszuschieben, brauche ich wohl nicht zu betonen. Aus diesem Gründen sollte man sich für den Entwicklungsserver ein Testcertificate besorgen - und das Gute an der Sache ist, daß diese Certificates sogar gratis sind!

Dieser Artikel zeigt alle Schritte - von der Generierung des Antrags, Abholen des Testcertificates und anschließendem Installieren. Bis auf den Schritt des Abholens des Testcertificates können Sie das Wissen, das Sie in diesem Artikel erwerben, auch für die Generierung der Live-Certificates anwenden.

Generierung eines CSR

Der erste Schritt am Weg zum Certificate ist es, am Webserver für die in Frage kommende Website einen Certificate Signing Request (CSR) zu erstellen. Dieser wird dann später verwendet, um bei einer CA (Certificate Authority) das Certificate zu beantragen.

Wählen Sie die Website, für die Sie das Certificate beantragen wollen, im Internet Services Manager aus. Öffnen Sie die Eigenschaften der Website und gehen zum Directory Security Tab. Dort klicken Sie auf Server Certificate.

Der IIS Certificate Wizard wird gestartet. Die erste Seite ist eine reine Informationsseite, und kann getrost übersprungen werden. Interessanter ist da schon die nachfolgende Seite: was der Wizard für uns tun soll - wir wollen "Create New ..." durchführen, die standardmäßig ausgewählte Option.

Der nächste Punkt des Wizards ist wie wir das Certificate generieren wollen - einen CSR (Certificate Signing Request) anlegen, oder direkt mit einer CA (Certificate Authority) online ein Certificate erstellen. Letzteres geht nur, wenn man im Windows 2000 Netz einen Certificate Server laufen hat - für Internet Websites muß man aufgrund der Vertrauensstellung der Browser sowieso auf bekannte CA's zurückgreifen.

Nun wird es wirklich wichtig - der aktuelle Schritt im Wizard fragt uns, wie wir unser Certificate nennen wollen, und vor allem welche Schlüssellänge der Public Key bekommen soll. Generell gilt: je mehr Bits, desto sicherer und desto langsamer die Verschlüsselungsprozedur.

Weiter geht es mit der Angabe des Firmennamens (Organization) und der Abteilung (Organizational Unit). Für letztere wird man meist Verkauf oder ähnliches angeben.

Eine Falle bei der Erstellung eines Testcertificates kann der Schritt für die Angabe des Common Name des Webservers werden. Für den Releaseserver ist der Common Name www.firmenname.com, aber bei einem Testserver wird es eher die IP Adresse sein.

Der folgende Schritt fragt nach Land (Country), Bundesland (State) sowie Stadt (City). Damit haben wir auch schon alle Infos für den CSR angegeben, es fehlt nur noch der Dateiname, wo der Wizard den CSR hinspeichern soll.

Nach einer kurzen Infoseite was Sie alles eingegeben haben generiert der Wizard den CSR (dies kann je nach Rechner und Schlüssellänge etwas dauern). Das war dann auch schon der erste Schritt zur Generierung eines Certificates.

Beantragen eines Testcertificates

Unter der Seite Test Thawte Certificates kann man sich ein Testcertificate erstellen. Da Thawte sich ja nicht selbst das Geschäft abgraben würde, muß man zuerst für eine explizit als Test-CA gekennzeichnet CA das Root Certificate installieren - damit das Testcertificate vom Browser als gültig anerkannt wird.

Installation des Root Certificates

Der Link zu diesem Root Certificate findet sich auf der oben angeführten Seite. Man muß nur darauf klicken, und schon startet der Installationsprozess für dieses Root Certificate. Wichtig dabei ist, daß man zur Installation Open this file from the current location auswählt - und nicht Save this file to disk. Daraufhin zeigt Internet Explorer einen Certificate Dialog an:

Klicken Sie auf Install Certificate und akzeptieren Sie alle Defaults im Certificate Import Wizard. Beanworten Sie die Frage, ob das Certificate in den Root Store eingefügt werden soll mit Ja. Damit ist der Import abgeschlossen, und Sie können Certificates, die von dieser CA ausgestellt wurden, ab sofort uneingeschränkt verwenden.

Wiederholen Sie diese Prozedur auf allen Rechnern, von denen aus Sie auf die Website zugreifen wollen, die mit dem noch zu generierenden Testcertificate abgesichert ist.

Generieren des Testcertificates

Jetzt haben wir endlich alle Vorarbeiten erledigt, und können uns um die Generierung des Testcertificates kümmern. Dazu gehen Sie bitte auf die Seite Test Thawte Certificates.

Als Erstes müssen wir den mit dem IIS Certificate Wizard generierten CSR in das Textfeld kopieren. Öffnen Sie dazu einfach die CSR Datei (den Namen wissen Sie hoffentlich noch, oder?), markieren alles, und kopieren es in die Zwischenablage. Pasten Sie das dann in das Textfeld. Es sieht zwar wie Datenmüll aus, ist aber nur ein verschlüsseltes Datenpaket (also doch Müll).

Geben Sie danach an, für wie lange das Testcertificate gültig sein soll. Arbeiten Sie an einem längerlaufenden Projekt, kann das Certificate bis zu einem Jahr Länge ausgeben werden (365 Tage). Der Rest der Optionen ist bereits korrekt vorselektiert. Sie müssen nur noch auf Generate Test Certificate am Ende der Seite klicken.

Nach einer kurzen "Nachdenkpause" liefert Ihnen der Thawte Server Ihr neues Testcertificate. Es sieht vermutlich irgendwie so aus:

Here is your certificate:


-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Markieren Sie alles außer der ersten Zeile und speichern es in eine Datei - das ist Ihr Certificate, das Sie nun nur noch im IIS installieren müssen. Ach ja - verwenden Sie bitte .cer als Dateiendung für das Certificate.

Installieren des Certificates

Jetzt geht es ans Installieren des Certificates. Dazu gehen Sie wieder zum Directory Security Tab und klicken auf Server Certificate. Der IIS Certificate Wizard startet, und wenn Sie die Infoseite überspringen, bekommen Sie 2 Optionen: das ausstehende Certificate installieren, oder den Request (CSR) canceln. Wir wählen natürlich ersteres.

Jetzt fragt der Wizard nach der Datei - wählen Sie die Datei, die Sie im vorgegangenem Tutorial gespeichert haben. Der Wizard zeigt Ihnen dann folgende Certificate Übersicht an (Beispiel meines Certificates):

Im letzten Schritt klicken Sie einfach auf Finish und das war's - das Certificate ist installiert!

Obwohl das Certificate installiert ist, gibt es noch eine kleine Hürde zu nehmen - der richtige Serverport für SSL ist noch nicht eingetragen. Der Port für SSL ist 443, und muß auf dem Web Site Tab eingetragen werden. Aber jetzt sind wir wirklich fertig.

Testen des Certificates

Das Testen des Certificates gestaltet sich als relativ einfach - geben Sie einfach die Adresse Ihres gerade abgesicherten Servers ein - mit dem https: Protokoll. Für mein Testcertificate sähe das folgendermaßen aus:

https://192.168.1.104/

Ab sofort kann man alle SSL-gesicherten Teile der Anwendung unter realistischen Bedingungen testen.

Schlußbemerkung

Bis auf das Beantragen bei Thawte sind die vorgestellten Schritte völlig gleich wie wenn man ein "richtiges" Certificate für den eCommerce Server beantragt. Testcertificates sind ein einfacher (und günstiger Weg), die gesamte SSL Funktionalität von Websites auch am Entwicklungsserver adäquat testen zu können.

This printed page brought to you by AlphaSierraPapa

Verwandte Artikel

ASP-basierte Basic Authentication
http:/www.aspheute.com/artikel/20010521.htm
Formular-basierte Basic Authentication
http:/www.aspheute.com/artikel/20010608.htm
Passwörter mit SHA1 absichern
http:/www.aspheute.com/artikel/20010330.htm
Sichere Zahlungen im Internet mit SET
http:/www.aspheute.com/artikel/20000901.htm

Links zu anderen Sites

Thawte
http://www.thawte.com
Verisign
http://www.verisign.com

 

©2000-2006 AspHeute.com
Alle Rechte vorbehalten. Der Inhalt dieser Seiten ist urheberrechtlich geschützt.
Eine Übernahme von Texten (auch nur auszugsweise) oder Graphiken bedarf unserer schriftlichen Zustimmung.