web-dev-qa-db-ja.com

IISからの自己署名証明書を信頼する

Webサイトを実行する外部でホストされているIISWebサーバーがあります。このWebサイトに自己署名証明書を追加し、ローカルクライアントで信頼して、ブラウザから「安全でない接続」を削除したいと思います。

私がこれまでにしたことは次のとおりです

  1. IISで自己署名証明書を作成しました:[サーバー証明書]-> [自己署名証明書の作成]。証明書は、「ABCD01」などのサーバー名に発行されます。
  2. 自己署名証明書を使用して、httpsバインディングを使用してWebサイトを作成しました。
  3. 自己署名証明書をIIS using:Server Certificates-> Exportからエクスポートしました。これにより、.pfxファイルが作成されました。
  4. ローカルクライアントに.pfx証明書ファイルをインポートしました:コンピューター証明書の管理->信頼されたルート証明機関->インポート
  5. ホストのホスト名(ABCD01)とIPをhostsファイルに追加しました:C:\ Windows\System32\drivers\etc\hosts

FirefoxでWebサイトを開こうとすると( https:// ABCD01 を使用)、「接続が安全ではありません」というメッセージが表示されます。何が足りないのですか?

iiscertificatessl-certificateiis-8
7
Thomas Schneiter

複数の問題があります:

  1. IIS証明書ジェネレーターは、最近のブラウザーでは廃止されたSHA1署名アルゴリズムを使用して自己署名証明書を作成します。テスト証明書を作成するには、さまざまなツールを使用する必要があります。たとえば、署名アルゴリズムを指定できるPowerShell New-SelfSignedCertificateコマンドレットを使用します。例を取得するには、この投稿を見てください: https://stackoverflow.com/a/45284368/3997611
 New-SelfSignedCertificate` 
-DnsName "ABCD01" `
-CertStoreLocation" cert:\ LocalMachine\My "` 
-FriendlyName "test dev cert" `
-TextExtension "2.5.29.37 = {text} 1.3.6.1.5.5.7.3.1" `
-KeyUsage DigitalSignature、KeyEncipherment、DataEncipherment` 
-Provider" Microsoft RSA SChannel Cryptographicプロバイダー "` 
-HashAlgorithm "SHA256"

  1. IIS証明書ジェネレーターは、GoogleChromeで必要なSAN(サブジェクト代替名))証明書拡張子を持つ証明書を作成できません。テスト証明書を作成するには、さまざまなツールを使用する必要があります。上記の例を参照してください。

  2. Google Chromeは組み込みのWindows証明書ストアを使用して信頼を確立しますが、FireFoxは独自の証明書ストアを使用します。したがって、証明書をWindows証明書ストアに追加した後、テスト証明書をにインポートする必要があります。手動でFireFox。

11
Crypt32