HTTPS hakkında bir yazı yazmaya karar verdim, internet explorer beni çileden çıkardı. Yok sertifika sağlayıcısı güvenilir değil, yok sertifikadaki isimle URL'deki isim birbirini tutmuyor vs daral geldi. Warning popup yüzünden trafiği doğru dürüst izleyemez oldum ve bu uyarıları ortadan kaldırmaya karar verdim. Önce yeni bir sertifika otoritesi kurmakla uğraşmamak için bildik sertifika sağlayıcılarından (verisign,thawte vs) trial ssl sertifikaları alayım dedim, demez olaydım. CSR'ı kabul ediyorlar ama daha sonra verilen bilgiler eksik olduğu için sertifika alma isteğinin tamamlanamadığına dair mailler gönderdiler. Hangi bilginin eksik olduğu bilgisi yok tabi gelen mailde. İş başa düştü, sanal sunucuya Enterprise CA (Ceritificate Authority) rolü ekledim, web sunucu için de bu CA'dan bir SSL sertifikası aldım. Sorunsuz,uyarısız, pop-up'sız HTTPS erişimi için bu CA'in sertifikasının da XP istemcinin "Trusted Root Certification Authorities" deposuna eklenmesi lazım,yoksa aşağıdaki gibi mesaj alırsınız.
Domainle, Grup Politikasıyla uğraşmayım derseniz bu mesajdan kurtulmanın en pratik yolu CA'in web arayüzünü açmak ( Bu özelliğin de kurulu olduğunu kabul ediyorum, herkes kurar merak etmeyin) ki bu da default olarak "https://ca_ip_adresi_yada_ismi
/certsrv"
Kontrolü de basit, Internet Eplorer "Internet Options" menülerinden,
Ya da Certificates MMC Add-in'ini kullanarak da kontrol edebilirsiniz.
Benzer uyarılardan kurtulmak için, uyarı aldığınız pencerede sertifika özelliklerinden "Install Certificate" seçeneğiyle sertifikanın kurulması gerektiğini söyleyenler de vardır piyasada ama bu işlem sizi bu uyarı mesajlarından kurtarmaz,yok böyle bişey, sertifika otoritesinin sertifikasını ekleyeceksiniz başka yolu yok.
Bunu yapmak da tek başına yetmez, eğer URL'de kullandığınız isim, sertifika isteğini yaparken (CR) kullandığınız isimden ( Common Name ) farklı ise bu sefer de aşağıdaki gibi bir uyarı alırsınız
"View Certificate" butonuna basarsanız zaten sertifikanın hangi isme verildiği görülüyor
İsim tutarsızlığı ile ilgili uyarı da almak istemiyorsanız URL'de "Issued to" satırındaki ismi kullanmalısınız.
Nihayet ortam HTTPS trafiğini anlatmak için hazır.
Hiç yorum yok:
Yorum Gönder