Het gebruik van het HTTPS-protocol laat toe om de communicatie tussen de gebruiker en de server te encrypteren. Indien de server toegankelijk is via het publieke internet, is het van essentieel belang om dit protocol te activeren. Dit kan geactiveerd worden via de console van Thinfinity® VirtualUI™.
Om dit protocol te activeren, moet men beschikken over een van volgende certificaten:
- Auto-signed: dit wil zeggen zichzelf aangemaakt. Deze optie is niet aangeraden.
- Uitgegeven door een erkende uitgever (CA = Certificate Authority). Wij adviseren punt 4 hieronder.
1. Een auto-signed certificaat aanmaken en gebruiken
Hiervoor moet men klikken op de tweede knop rechts van HTTPS, en klik vervolgens op “Creëer een zelf ondertekend certificaat”. Het daaropvolgende scherm kan vrij ingevuld worden, behalve het veld Common name. Dit veld moet overeenkomen met de hostname van uw server (bijvoorbeeld virtual.mydomain.com)
Bij het gebruik van Mercator in HTML5-modus, zal de browser telkens een ernstige waarschuwing weergeven, dit omdat het vaststelt dat het certificaat niet geleverd werd door een erkende autoriteit. Ook al verloopt de codering van de communicatie op een goede manier.
Sommige browsers laten de herkenning van een auto-signed certificaat toe, zodat dit soort aankondigingen niet meer worden ontvangen. Dit gebruik wordt door ons helemaal niet aangeraden en is uitgesloten uit de informatie die wij hier moeten geven.
2. Gebruik een certificaat van een erkende uitgever, verschillend van LetsEncrypt.org waarover je reeds beschikt
Om te beschikken over een certificaat moet u een bestand met een certificaataanvraag (certificate request) bij een instantie voor certificaten (CA) verzenden. Deze aanvraag kan rechtstreeks ingediend worden via de knop “Creëer een certificaatsaanvraag”. Het scherm is gelijkaardig aan het hierboven vermelde scherm. Het is van essentieel belang dat het veld “Common name” gelijk is aan de hostname van de server waarvoor het certificaat aangevraagd wordt (bijvoorbeeld virtual.mydomain.com). Het proces zal vervolgens twee bestanden aanmaken: de private key (die goed en veilig bewaard moet worden) en de aanvraag van het certificaat. Het tweede bestand moet doorgestuurd worden naar de uitgever van het certificaat.
Na ontvangst van het certificaat, zal het waarschijnlijk nodig zijn om het formaat hiervan om te zetten naar PEM. Dit kan eenvoudig gedaan worden op volgende site https://www.sslshopper.com/ssl-converter.html.
Vervolgens moet het scherm als volgt worden vervolledigd:
- Certificaat-bestand: het PEM-bestand komt overeen met de omzetting van uw certificaat.
- CA:als uw certificat het certificat van de verstuurde autoriteit bevat, herhaal dezelfde informatie. Zo niet, vraag het certificat CA in het formaat PEM aan uw verzender en vermeld het hier.
- Private Ke: duidt het eerst gegenereerde bestand aan tijdens de certificaatsaanvraag.
3. Gebruik een certificaat van een erkende uitgever, verschillend van LetsEncrypt.org waarover je reeds beschikt
Misschien beschikt u reeds over een certificaat, dat al gebruikt wordt in IIS. Dan is dit certificaat geheel geschikt voor gebruik in Thinfinity® VirtualUI™. Om dit op te zetten, moet u volgende procedure volgen:
- mmc.exe uitvoeren
- In het menu “Bestand”, kies je de optie “Add-on toevoegen” (Add Snapin)
- Kies “Certificaten”
- Voeg toe als computer-account. Klik op “Volgende” en dan op “OK”.
- Lokaliseer het gewenste certificaat. Het is waarschijnlijk terug te vinden in “Persoonlijk” of onder “Web hosting”.
- Via rechtsklik “Alle taken” en kies dan “Exporteer”.
- Kies ervoor om de private key te exporteren.
- Kies het formaat “PKCS @12 PFX”
- Zorg ervoor dat de optie “Inclusief alle certificaten…” is aangevinkt.
- Indien nodig, moet je ook het wachtwoord van de private key invullen.
- Genereer een PFX-bestand
- Converteer het PFX-bestand naar een PEM-bestand via volgende website https://www.sslshopper.com/ssl-converter.html.
- In het scherm “Manage SSL certificaat”, moet je dezelfde waarde in de eerste drie velden herhalen, dit moet de naam zijn van het PEM-bestand dat je verkregen hebt in vorige stap.
- In het veld “PassPhrase”, moet het wachtwoord van de private key ingevuld worden.
4. Gebruik een certificaat geleverd door LetsEncrypt.org
Deze oplossing biedt het voordeel dat stappen met betrekking tot de aanvraag en het verkrijgen van het certificaat vereenvoudigd zijn, aangezien dit proces volledig geautomatiseerd kan worden. Bovendien is deze aanvraag volledig gratis. Dit vereist een installatie op dezelfde server waarop IIS geïnstalleerd is en waarop de website zal draaien, waarvan de koppeling gemaakt zal worden met dezelfde naam als de host (bijvoorbeeld virtual.mydomain.com), maar die zal luisteren naar standaardpoort 80 (Niet koppelen met poort 6580 in IIS).
Vervolgens volstaat het om Letsencrypt-win-simple te gebruiken om het certificaat te verkrijgen. Ook zal er een Task aangemaakt worden om automatisch het certificaat te verlengen.
Vervolgens moet men de map localiseren die de door LetsEncrypt gegenereerde certificaten bevat : C:\Users\UserName\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org, hier vind je alle benodigde PEM-bestanden om het scherm “Manage SSL certificate” te vervolledigen.
- Certificate file: het bestand eindigend op -crt.pem
- CA: het bestand beginnend met ca-
- Private Key: het bestand eindigend op -key.pem
- PassPhrase: leeg laten
Opmerkingen :
- Er kunnen ook andere tools gebruikt worden dan https://www.sslshopper.com/ssl-converter.html om de certificaten te converteren. Het is slechts een suggestie van ons.
- De installatie van een certificaat valt altijd buiten de support van Mercator. Deze pagina wordt geschreven als gevolg van eigen research. De uitgever van het certificaat, of Cybele Software, zal hier meer specifieke ondersteuning verlenen