Como alternativa à compra e renovação de um certificado anual, você pode aproveitar a capacidade do seu Windows Server para gerar um certificado autoassinado que seja conveniente, fácil e atenda a esses tipos de necessidades perfeitamente.
Criando um certificado autoassinado no IIS
Embora existam várias maneiras de realizar a tarefa de criar um certificado autoassinado, usaremos o utilitário SelfSSL da Microsoft. Infelizmente, isso não é fornecido com o IIS, mas está disponível gratuitamente como parte do IIS 6.0 Resource Toolkit (link fornecido na parte inferior deste artigo). Apesar do nome “IIS 6.0”, este utilitário funciona bem no IIS 7.
Tudo o que é necessário é extrair o IIS6RT para obter o utilitário selfssl.exe. A partir daqui, você pode copiá-lo para o diretório do Windows ou um caminho de rede / unidade USB para uso futuro em outra máquina (para que você não precise baixar e extrair o IIS6RT completo).
Depois de ter o utilitário SelfSSL implementado, execute o seguinte comando (como o Administrador) substituindo os valores em <> conforme apropriado:
selfssl /N:CN= /V:
O exemplo a seguir produz um certificado de caractere curinga auto-assinado em relação a "mydomain.com" e o define como válido por 9.999 dias. Além disso, respondendo sim ao prompt, este certificado é configurado automaticamente para vincular à porta 443 dentro do site da Web padrão do IIS.
Vá para Iniciar> Executar (ou Tecla do Windows + R) e digite "mmc". Você pode receber um prompt do UAC, aceitá-lo e um Console de Gerenciamento vazio será aberto.
Exportando o certificado
Se você estiver acessando um site que usa o certificado SSL autoassinado em qualquer computador cliente (ou seja, qualquer computador que não seja o servidor), para evitar um possível ataque de erros de certificado e avisos, o certificado autoassinado deve ser instalado em cada uma das máquinas clientes (que discutiremos em detalhes abaixo). Para fazer isso, primeiro precisamos exportar o respectivo certificado para que possa ser instalado nos clientes.
Dentro do console com o Gerenciamento de Certificados carregado, navegue até Autoridades de certificação raiz confiáveis> Certificados. Localize o certificado, clique com o botão direito e selecione Todas as tarefas> Exportar.
Quando solicitado a exportar a chave privada, selecione Sim. Clique em Next.
Implantando em máquinas cliente
Depois de ter criado o certificado no lado do servidor e ter tudo funcionando, você poderá perceber que, quando uma máquina cliente se conecta à respectiva URL, um aviso de certificado é exibido. Isso acontece porque a autoridade de certificação (seu servidor) não é uma fonte confiável para certificados SSL no cliente.
Dependendo do navegador que você usa, esse processo pode variar. Tanto o IE quanto o Chrome são lidos na loja de certificados do Windows; no entanto, o Firefox tem um método personalizado de lidar com certificados de segurança.
Nota importante: Você deve Nunca instale um certificado de segurança de uma fonte desconhecida. Na prática, você só deve instalar um certificado localmente se você o gerou. Nenhum site legítimo exigiria que você executasse essas etapas.
Internet Explorer e Google Chrome - Instalando o certificado localmente
Nota: Embora o Firefox não use o armazenamento de certificados nativos do Windows, essa ainda é uma etapa recomendada.
Copie o certificado que foi exportado do servidor (o arquivo PFX) para a máquina cliente ou assegure-se de que esteja disponível em um caminho de rede.
Abra o gerenciamento de armazenamento de certificados local na máquina cliente usando exatamente as mesmas etapas acima.Você acabará por acabar em uma tela como a abaixo.
Firefox - Permitindo Exceções
O Firefox lida com esse processo de maneira um pouco diferente, pois não lê as informações do certificado no armazenamento do Windows. Em vez de instalar certificados (per-se), ele permite definir exceções para certificados SSL em sites específicos.
Quando você visita um site que tem um erro de certificado, você receberá um aviso como o abaixo. A área em azul indicará o respectivo URL que você está tentando acessar. Para criar uma exceção para ignorar esse aviso no respectivo URL, clique no botão Adicionar exceção.
Conclusão
Vale a pena repetir o aviso acima que você deve Nunca instale um certificado de segurança de uma fonte desconhecida. Na prática, você só deve instalar um certificado localmente se você o gerou. Nenhum site legítimo exigiria que você executasse essas etapas.
Links
Baixe o IIS 6.0 Resource Toolkit (inclui o utilitário SelfSSL) da Microsoft