内容简介:在某些内部测试环境中我们需要用到自签名证书,比如给某个内部网站启用https。以前可能需要用到certutil.exe 或者OpenSSl工具,现在新版本的PowerShell已经有完整的命令提供支持了。主要会用到New-SelfSignedCertificate,Export-PfxCertificate,Export-Certificate,Import-PfxCertificate,Import-Certificate等命令。上面的DnsName我使用了两个域名,让该证书可以匹配验证多个域名,后面测
背景
在某些内部测试环境中我们需要用到自签名证书,比如给某个内部网站启用https。以前可能需要用到certutil.exe 或者OpenSSl工具,现在新版本的PowerShell已经有完整的命令提供支持了。主要会用到New-SelfSignedCertificate,Export-PfxCertificate,Export-Certificate,Import-PfxCertificate,Import-Certificate等命令。
生成自签名证书
PS> New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My\ -DnsName 'site.pstips.net','site2.pstips.net' PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\My Thumbprint Subject ---------- ------- 8479F41A61D98234837404C16E7C3B376EF215AB CN=site.pstips.net
上面的DnsName我使用了两个域名,让该证书可以匹配验证多个域名,后面测试会用到。
导出并保存自签名证书
使用Export-PfxCertificate命令导出证书是 完整导出 ,默认含私钥和扩展属性。
PS C:\> $certPwd = ConvertTo-SecureString -String ‘pwd2018’ -Force -AsPlainText
PS C:\> $thumbprint = '8479F41A61D98234837404C16E7C3B376EF215AB'
PS C:\> $cerPath = Get-Item Cert:\LocalMachine\My\$thumbprint
PS C:\> Export-PfxCertificate -Cert $cerPath -Force d:\site.pstips.net.pfx -Password $certPwd
Directory: D:\
Mode LastWriteTime Length Name
---- ------------- ------ ----
-a---- 9/4/2018 4:59 PM 2733 site.pstips.net.pfx
仅导出公钥证书
使用Export-Certificate命令导出的证书后缀名为.cer,不包含私钥。
适用于这样的场景:比如管理员在服务器上使用上述的生成的自签名证书部署了一个网站,但是因为该证书是自签名证书不受CA认证,在浏览器会有红色的证书错误提示,像曾经的12306订票网站。此时,管理员需要把自签名证书对应的 CA公钥证书 发送给自己团队的其他成员,其他成员可以把该证书在自己机器上 安装为根证书,作为信任证书 。
导出证书
PS C:\> Export-Certificate -Cert $cerPath -FilePath d:\site.pstips.net.cer
Directory: D:\
Mode LastWriteTime Length Name
---- ------------- ------ ----
-a---- 9/4/2018 5:31 PM 832 site.pstips.net.cer
给IIS中的网站添加ssl证书,启用https绑定
如何启用IIS不是本篇重点,可以参考《 使用PowerShell启用IIS 》,这里我们只讲如何绑定证书。
查看网站
PS C:\> Get-Website -Name 'Default Web Site' | Get-WebBinding protocol bindingInformation sslFlags -------- ------------------ -------- http *:80: 0
启用https
PS C:\> New-WebBinding -Name $site.name -Protocol https -Port 443 -IPAddress * -HostHeader site.pstips.net -SslFlags 1 PS C:\> New-WebBinding -Name $site.name -Protocol https -Port 443 -IPAddress * -HostHeader site2.pstips.net -SslFlags 1
绑定ssl证书
$cert = Get-Item Cert:\LocalMachine\My\$thumbprint
PS C:\> New-Item -Path IIS:\SslBindings\!443!site.pstips.net -Value $cert -SSLFlags 1
IP Address Port Host Name Store Sites
---------- ---- --------- ----- -----
443 site.pstips.net My Default Web Site
PS C:\> New-Item -Path IIS:\SslBindings\!443!site2.pstips.net -Value $cert -SSLFlags 1
WARNING: Binding host name 'site2.pstips.net' is not equals to certificate subject name 'site.pstips.net'. Client may
not be able to connect to the site using HTTPS protocol.
IP Address Port Host Name Store Sites
---------- ---- --------- ----- -----
443 site2.pstips.net My Default Web Site
验证https网站的证书
修改网站域名的DNS指向
测试环境我们可以直接可以通过增加hosts文件记录的方式:
10.X.X.X site.pstips.net 10.X.X.X site2.pstips.net
通过浏览器地址访问,证书不受信任
结果符合预期,提示证书错误。
安装根证书后,验证成功
在上文中我们已经通过命令Export-Certificate导出了一个公钥证书site.pstips.net.cer,现在通过PowerShell把该证书导入到根证书存储区,current user和local machine两个位置都是可以的。以current user为例:
PS C:\> Import-Certificate D:\site.pstips.net.cer -CertStoreLocation Cert:\CurrentUser\Root\ PSParentPath: Microsoft.PowerShell.Security\Certificate::CurrentUser\Root Thumbprint Subject ---------- ------- 8479F41A61D98234837404C16E7C3B376EF215AB CN=site.pstips.net
刷新浏览器,可以访问https://site.pstips.net/ 或者https://site2.pstips.net/站点,证书验证通过,大功告成。
× 用微信扫描并分享
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
HTTPS权威指南
[英] Ivan Risti? / 杨洋、李振宇、蒋锷、周辉、陈传文 / 人民邮电出版社 / 2016-9 / 99.00元
本书是集理论、协议细节、漏洞分析、部署建议于一体的详尽Web应用安全指南。书中具体内容包括:密码学基础,TLS协议,PKI体系及其安全性,HTTP和浏览器问题,协议漏洞;最新的攻击形式,如BEAST、CRIME、BREACH、Lucky 13等;详尽的部署建议;如何使用OpenSSL生成密钥和确认信息;如何使用Apache httpd、IIS、Nginx等进行安全配置。一起来看看 《HTTPS权威指南》 这本书的介绍吧!
