Hinweis:

• Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zum Registrieren eines kostenlosen Accounts finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
• Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. Wenn Sie Ihre Übung abgeschlossen haben, ersetzen Sie diese Werte durch spezifische Werte für Ihre Cloud-Umgebung.

Mit dem OCI Certificates-Service ein internes Zertifikat für auf dem IIS-Server gehostete Websites ausstellen

Einführung

Oracle Cloud Infrastructure-(OCI-)Zertifikate sind ein Service zum Erstellen und Verwalten von TLS-(Transport Layer Security-)Zertifikaten. Mit dem Service können Organisationen private Certificate-Authority-(CA-)Hierarchien und TLS-Zertifikate erstellen, die automatisch im Kundenmandanten bereitgestellt und erneuert werden können, integriert in OCI-Services wie OCI Load Balancer und OCI API Gateway. Wir können diesen Dienst auch verwenden, um Zertifikate für unsere internen Webserver zu generieren, die auf Internet Information Services (IIS), Apache oder nginx gehostet werden.

Zielsetzung

In diesem Tutorial wird beschrieben, wie Sie mit OCI Certificates ein internes Zertifikat ausstellen, das zum Hosten einer TLS/SSL-geschützten Website auf einem Windows-IIS-Server verwendet werden soll. Wir werden die beiden Optionen besprechen.

• Erstellen Sie eine Certificate Signing Request (CSR) auf unserem IIS-Server, die von OCI Certificates verwendet wird, um das Zertifikat an unseren IIS-Server auszustellen. Ein CSR ist die sicherste Möglichkeit, digitale Zertifikate zu erhalten. Stellen Sie sich einen CSR als digitales Formular vor, das Sie bei der Beantragung eines Zertifikats ausfüllen. Es enthält wichtige Informationen, die Ihre Identität beweisen und die Legitimität Ihrer Online-Präsenz begründen.

• Geben Sie ein Zertifikat direkt (ohne CSR zu generieren) mit einer OCI Certificates-CA aus. Wenn Sie den Private Key nicht verwalten und diese Verwaltung an die CA übergeben möchten, können wir diesen Ansatz verwenden, um ein von der CA ausgestelltes Zertifikat zusammen mit dem Private Key zu erhalten. Die Verwendung eines CSR ist jedoch der empfohlene Ansatz, da der Private Key auf Ihrem Server generiert wird, auf dem Sie den CSR generieren und den Server nie verlassen.

Voraussetzungen

• Zugriff auf die OCI-Konsole mit Berechtigungen zum Verwalten von OCI-Zertifikaten und OCI Vault.

• Ein IIS-Server mit der Einrichtung Ihrer Website, der auf einem unterstützten Windows-Server mit administrativem Zugriff auf diesen Server gehostet wird.

Hinweis: Geben Sie keine vertraulichen Informationen ein.

Aufgabe 1: Certificate Authority erstellen

Wir müssen eine CA erstellen, unabhängig davon, ob wir ein Zertifikat mit CSR ausstellen oder direkt von OCI Certificates CA. Weitere Informationen zum Konfigurieren einer CA finden Sie unter Certificate Authority erstellen.

Mit OCI-Zertifikaten können Sie eine Root-CA oder eine untergeordnete CA erstellen. Sie benötigen eine Root-CA, um eine untergeordnete CA zu erstellen. Eine Single-Tier-Hierarchie besteht aus einer CA. Die einzelne CA ist sowohl eine Root-CA als auch eine ausstellende CA. Eine Root CA ist der Begriff für den Vertrauensanker der PKI. Alle Anwendungen, Benutzer oder Computer, die der Root-CA vertrauen, vertrauen Zertifikaten, die von der CA-Hierarchie ausgestellt wurden. Die ausstellende CA ist eine CA, die Zertifikate ausgibt, um Entitäten zu beenden. Eine zweistufige Hierarchie ist jedoch ein Design, das die meisten Unternehmensanforderungen erfüllt. In diesem Design gibt es eine Root-CA und eine untergeordnete, die CA ausgibt. Die Sicherheitsebene wird erhöht, da die Rollen der Root-CA und der ausstellenden CA voneinander getrennt sind. Zum Erstellen einer CA benötigen Sie Zugriff auf einen vorhandenen hardwaregeschützten, asymmetrischen Verschlüsselungsschlüssel aus OCI Vault. Weitere Informationen finden Sie unter Überblick über OCI Vault.

1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit.

2. Klicken Sie unter Zertifikate auf Certificate Authoritys.

3. Klicken Sie auf Certificate Authority erstellen.

4. Klicken Sie auf Compartment, und wählen Sie das Compartment aus, in dem Sie die CA erstellen möchten.

5. Wählen Sie unter Certificate Authority-Typ den Typ der CA aus den folgenden Optionen aus.

   1. Root Certificate Authority: Die CA ganz oben in der Hierarchie einer CA-Kette.

   2. Untergeordnete Certificate Authority: Jede CA, die nicht die Root-CA in einer Hierarchie mit anderen CAs ist.

6. Geben Sie einen Anzeigenamen für die CA ein. Dieser Name erleichtert die Identifizierung der CA zu administrativen Zwecken, wird jedoch nicht als Teil des CA-Zertifikats angezeigt.

7. (Optional) Geben Sie eine Beschreibung ein, um die CA zu identifizieren. Diese Beschreibung erleichtert die Identifizierung der CA, wird jedoch nicht als Teil des CA-Zertifikats angezeigt.

8. (Optional) Klicken Sie zum Anwenden von Tags auf Tagging anzeigen. Weitere Informationen finden Sie unter Ressourcentags, und klicken Sie auf Weiter.

9. Geben Sie Subject-Informationen ein, die mindestens einen allgemeinen Namen zur Identifizierung des Eigentümers des CA-Zertifikats enthalten. Je nach beabsichtigter Verwendung des Zertifikats kann das Subject eine Person, eine Organisation oder einen Computerendpunkt identifizieren. Das Format der Subject-Informationen muss den RFC 5280-Standards entsprechen. Sie können Platzhalter verwenden, um ein Zertifikat für mehrere Domain- oder Subdomainnamen auszustellen.

10. (Optional) Geben Sie weitere CA-Betreffinformationen ein, und klicken Sie auf Zusätzliche Felder anzeigen. Um Details zu den einzelnen Werten in einem Distinguished Name für einen Betreff anzuzeigen, klicken Sie auf Weiter.

11. (Optional) Klicken Sie auf Nicht gültig vor, und geben Sie die UTC-Zeit und das Datum an, ab dem Sie die CA verwenden möchten. Wenn Sie kein Datum angeben, beginnt der Gültigkeitszeitraum der CA sofort.

12. Klicken Sie auf Nicht gültig nach, und geben Sie das Datum an, nach dem mit der CA nicht mehr unterstellte CAs oder Zertifikate ausgestellt oder validiert werden können.

    Hinweis: Sie müssen ein Datum angeben, das mindestens einen Tag nach dem Startdatum des Gültigkeitszeitraums liegt. Sie können kein Datum nach dem 31. Dezember 2037 angeben. Die Werte werden auf die nächste Sekunde aufgerundet.

13. Wenn Sie eine untergeordnete CA unter "Aussteller-Certificate Authority" erstellen, geben Sie eine übergeordnete CA zum Ausstellen dieser CA an. Wenn Sie eine Root-CA erstellen, fahren Sie mit dem nächsten Schritt fort.

14. Wählen Sie unter Vault den Vault mit dem Verschlüsselungsschlüssel aus, den Sie für das CA-Zertifikat verwenden möchten. Optional können Sie auf Compartment ändern klicken, um ein anderes Compartment anzugeben.

15. Wählen Sie unter Schlüssel den zu verwendenden Schlüssel im Vault aus. Die Liste enthält nur asymmetrische Schlüssel im Vault, weil Zertifikate nur asymmetrische Schlüssel unterstützen. Sie können Rivest-Shamir-Adleman-(RSA-)Schlüssel mit 2048 Bit oder 4096 Bit auswählen. Sie können auch Elliptic Curve Digital Signature Algorithm-(ECDSA-)Schlüssel mit der ID der elliptischen Kurve NIST_P384 auswählen. Insbesondere enthält die Liste nur asymmetrische Schlüssel, die durch ein Hardware Security Module (HSM) geschützt sind. Certificates unterstützt die Verwendung von softwaregeschützten Schlüsseln nicht.

16. Wählen Sie unter Signaturalgorithmus eine der folgenden Optionen aus, abhängig von der Schlüsselalgorithmusfamilie, und klicken Sie auf Weiter.

    • SHA256_WITH_RSA: RSA-Schlüssel mit Hashfunktion SHA-256

    • SHA384_WITH_RSA: RSA-Schlüssel mit Hashfunktion SHA-384

    • SHA512_WITH_RSA: RSA-Schlüssel mit Hashfunktion SHA-512

    • SHA256_WITH_ECDSA: ECDSA-Schlüssel mit Hashfunktion SHA-256

    • SHA384_WITH_ECDSA: ECDSA-Schlüssel mit Hashfunktion SHA-384

    • SHA512_WITH_ECDSA: ECDSA-Schlüssel mit Hashfunktion SHA-512

17. Konfigurieren Sie die Ablaufregel. Geben Sie unter Maximale Gültigkeitsdauer für Zertifikate (Tage) die maximale Anzahl von Tagen an, die ein von dieser CA ausgestelltes Zertifikat gültig sein kann. Eine Gültigkeitsdauer von maximal 90 Tagen wird dringend empfohlen.

18. Geben Sie unter Maximale Gültigkeitsdauer für untergeordnete CA (Tage) die maximale Anzahl von Tagen an, die eine von dieser CA ausgestellte CA für die Ausstellung anderer CAs oder Zertifikate gültig sein kann, und klicken Sie auf Weiter.

19. Wenn Sie keine Zertifikatsperrliste (CRL) konfigurieren möchten, aktivieren Sie auf der Seite Widerrufkonfiguration das Kontrollkästchen Widerruf überspringen. Um den Zertifikatswiderruf zu konfigurieren, deaktivieren Sie das Kontrollkästchen, und geben Sie einen dedizierten OCI Object Storage-Bucket an, in dem Sie die CRL speichern möchten.

20. (Optional) Klicken Sie auf Compartment ändern, um einen Bucket in einem anderen Compartment zu suchen.

21. Geben Sie unter Object Name Format den Objektnamen an. Mit geschweiften Klammern im Objektnamen können Sie angeben, wo der Service die Versionsnummer der ausstellenden CA einfügen kann. Dadurch wird das Überschreiben vorhandener CRLs verhindert, wenn Sie eine andere CA-Version erstellen.

22. (Optional) Geben Sie unter Benutzerdefinierte formatierte URLs die URL an, über die Sie mit APIs auf das Objekt zugreifen möchten. Diese URL wird in Zertifikaten als CRL Distribution Point (CDP) bezeichnet. Mit geschweiften Klammern in der URL können Sie angeben, wo der Service die Versionsnummer der ausstellenden CA einfügen kann. Durch diese Hinzufügung wird vermieden, dass eine vorhandene CDP überschrieben wird, wenn Sie eine andere CA-Version erstellen. Sie können eine HTTPS-URL nur angeben, wenn bei der Prüfung der HTTPS-Kette keine kreisförmigen Abhängigkeiten vorhanden sind.

23. (Optional) Um einen weiteren CDP anzugeben, klicken Sie auf + Weitere URL, und geben Sie eine weitere URL an, über die Benutzer auf die CRL zugreifen können. Klicken Sie dann auf Weiter.

24. Prüfen Sie die Informationen, und klicken Sie auf Zertifizierungsstelle erstellen.

Das Erstellen von Zertifikatsressourcen kann einige Zeit in Anspruch nehmen. Nachdem die CA erstellt wurde, können Sie eine der folgenden zwei Methoden verwenden, um ein Zertifikat für Ihre IIS-Server zu erhalten.

Aufgabe 2: Ausgestelltes Zertifikat mit CSR abrufen

Erstellen Sie einen CSR auf dem IIS-Server, der auch einen Private Key auf demselben Server erstellt. Dies ist ein empfohlener Ansatz, der uns eine standardisierte Möglichkeit bietet, der CA Ihren Public Key zu senden, sowie einige Informationen, die Ihr Unternehmen und Ihren Domainnamen identifizieren.

1. Erstellen Sie einen CSR mit IIS. Gehen Sie dazu zu Internet Information Services-(IIS-)Manager, und klicken Sie im Menü Verbindungen auf den Servernamen, Serverzertifikate.

   

2. Klicken Sie im Menü Aktionen auf Zertifikatsanforderung erstellen..., und geben Sie alle Details wie unten gezeigt ein. Klicken Sie dann auf Weiter

   

   

3. Geben Sie unter Kryptografische Serviceprovidereigenschaften die folgenden Informationen ein, und klicken Sie auf Weiter.

   

   (Kryptografische Providertypen sind Familien von Anbietern kryptografischer Services, die Datenformate und kryptografische Protokolle gemeinsam nutzen. Zu den Datenformaten gehören Auffüllschemas für Algorithmen, Schlüssellängen und Standardmodi.)

   Microsoft RSA SChannel Cryptographic Provider ist ein empfohlener CSP und sollte verwendet werden, es sei denn, Sie haben einen Grund, einen anderen Wert zu verwenden. Es unterstützt Hashing, Datensignatur und Signaturverifizierung. Die Bitlänge bestimmt die Verschlüsselungsstärke des Zertifikats: Je größer die Länge, desto stärker ist die Sicherheit. 2048 wird für bessere Sicherheit empfohlen.

4. Klicken Sie auf der Seite Dateiname unter Dateinamen für die Zertifikatsanforderung angeben auf ..., um zu einem Speicherort zu navigieren, in dem Sie den CSR speichern möchten (Datei als .pem speichern), der den IIS-Teil vorerst abschließt.

   

5. Wir müssen uns bei unserem OCI-Mandanten anmelden und diesen CSR importieren. Wenn die CSR-Datei das Format .pem aufweist, können Sie zu OCI-Zertifikatservices, Certificate Authority, Zertifikate, Zertifikat erstellen gehen und die Option Von interner CA ausgegeben, extern verwaltet auswählen und die erforderlichen Details wie unten gezeigt eingeben.

   

6. Auf der Seite Zertifikatskonfiguration müssen Sie die in Aufgabe 2.5 erstellte CSR-Datei im Format .pem hochladen. Klicken Sie auf Weiter und dann auf Zertifikat erstellen.

   

   

7. Jetzt müssen wir die .cer des Zertifikats erstellen, das auf unserem IIS-Server verwendet werden kann, um den CSR abzuschließen. Die Datei .cer kann direkt von der OCI-Konsole aus Identität und Sicherheit, Zertifikate, Zertifikat abgerufen werden. Klicken Sie auf Inhalt anzeigen, laden Sie den Inhalt von Zertifikat pem und certificate-chain-pem herunter, und erstellen Sie eine einzelne Datei, indem Sie den Inhalt von beiden mit certificate-pem oben und certificate-chain-pem unten in der Datei kombinieren (speichern Sie die resultierende Datei als .cer).

8. Anschließend können Sie erneut zum IIS-Server gehen und auf Zertifikatsanforderung abschließen klicken, die oben erstellte Datei .cer angeben und einen benutzerfreundlichen Namen angeben. Klicken Sie dann auf Weiter.

   

   

   

9. Das Zertifikat wird unter Serverzertifikate in IIS angezeigt und kann für Ihre auf IIS gehostete Website verwendet werden, indem die Bindungen auf der Website geändert werden. Bearbeiten Sie das Site Binding, und wählen Sie das installierte Zertifikat aus.

   

Aufgabe 3: Zertifikat aus OCI Certificates-Service ohne CSR erstellen

Bei diesem Ansatz übergeben Sie die Verwaltung der privaten Schlüssel an die Certificate Authority. Im Allgemeinen ist CSR die am meisten empfohlene Methode, um ein Zertifikat von der CA zu erhalten. Wenn Sie aus irgendeinem Grund keinen CSR erhalten und ein Zertifikat ausstellen möchten, können Sie diesen Ansatz verwenden. Wir verwenden die oben erstellte CA, um ein Zertifikat für unsere auf IIS gehostete Website auszustellen. Wir werden einige wichtige Informationen zur Verfügung stellen, während wir das Zertifikat ausstellen, wie den Subject Name unserer Website (in meinem Fall iistest.com), den Zertifikatprofiltyp, den Schlüsselalgorithmus und die zu verwendende CA.

1. Navigieren Sie zur OCI-Konsole, und klicken Sie auf Identität und Sicherheit.

2. Klicken Sie unter Zertifikate auf Zertifikat und dann auf Zertifikat erstellen.

3. Wählen Sie unter Compartment das Compartment aus, in dem Sie das Zertifikat erstellen möchten. Das Zertifikat kann in demselben Compartment wie die CA oder in einem anderen Compartment vorhanden sein.

4. Klicken Sie unter Zertifikatstyp auf Von interner CA ausgegeben, um ein Zertifikat von der OCI-Zertifikats-CA auszustellen, die das Zertifikat auch verwaltet.

5. Geben Sie einen Anzeigenamen für das Zertifikat ein.

6. (Optional) Geben Sie eine Beschreibung ein, um das Zertifikat zu identifizieren.

7. (Optional) Um Tags anzuwenden, klicken Sie auf Tagging anzeigen und dann auf Weiter.

8. Geben Sie die Subject-Informationen ein. Dazu gehört ein allgemeiner Name zur Identifizierung des Eigentümers des Zertifikats. Je nach beabsichtigter Verwendung des Zertifikats kann das Subject eine Person, eine Organisation oder einen Computerendpunkt identifizieren. Die Subject-Informationen können auch DNS-Namen oder IP-Adressen als Subject-Alternativnamen enthalten, mit denen der Zertifikatsinhaber ebenfalls bekannt ist. Sie können Platzhalter verwenden, um ein Zertifikat für mehrere Domain- oder Subdomainnamen auszustellen. Geben Sie beim Erstellen des Zertifikats sowohl den allgemeinen Namen als auch den DNS-Namen (unter SAN) an. (Einige Browser ignorieren den allgemeinen Namen und verwenden den Betreffnamen oder den SAN-Namen, um die Betreffinformationen auszuwerten.)

9. (Optional) Um weitere Subject Alternative Names hinzuzufügen, klicken Sie auf + Weiterer Subject Alternative Name, wählen Sie den Adresstyp aus, geben Sie den Namen ein, und klicken Sie auf Weiter.

10. Wählen Sie je nach beabsichtigter Verwendung des Zertifikats einen Zertifikatprofiltyp aus den folgenden Profilen aus.

    • TLS-Server oder -Client: Wird von einem Server oder Client für TLS/SSL-Verbindungen verwendet.

    • TLS-Server: Wird von einem Server für TLS/SSL-Verbindungen verwendet.

    • TLS-Client: Wird von einem Client während TLS/SSL-Verbindungen verwendet.

    • TLS-Codesignatur: Wird von einem Programm zur Validierung seiner Signatur verwendet.

    Da wir das Zertifikat für einen Server ausstellen, sollten wir hier den Profiltyp TLS Server wählen.

11. Um die CA zu ändern, die das Zertifikat ausstellt, klicken Sie auf Issuer-Certificate Authority, und wählen Sie eine CA aus. Klicken Sie bei Bedarf auf Compartment ändern, und wählen Sie ein anderes Compartment aus, wenn sich die CA in einem anderen als dem für das Zertifikat ausgewählten befindet.

12. (Optional) Klicken Sie auf Nicht gültig vor, und geben Sie ein Datum ein, vor dem das Zertifikat nicht zur Validierung der Identität des Inhabers verwendet werden kann. Wenn Sie kein Datum angeben, beginnt der Gültigkeitszeitraum des Zertifikats sofort. Die Werte werden auf die nächste Sekunde aufgerundet.

13. Klicken Sie auf Nicht gültig nach, und ändern Sie das Datum, nach dem das Zertifikat kein gültiger Nachweis für die Identität des Inhabers mehr ist. Das Datum muss mindestens einen Tag nach dem Startdatum des Gültigkeitszeitraums liegen. Das Datum darf nicht nach dem Ablaufdatum der ausstellenden CA liegen. Sie können außerdem kein Datum nach dem 31. Dezember 2037 angeben. Die Werte werden auf die nächste Sekunde aufgerundet. In der Regel werden Zertifikate während ihres gesamten Gültigkeitszeitraums verwendet, es sei denn, ein bestimmter Vorgang erfordert einen Widerruf.

14. Wählen Sie für den Schlüsselalgorithmus die Kombination aus Algorithmus und Schlüssellänge für das Zertifikatschlüsselpaar aus den folgenden Optionen aus.

    • RSA2048: Rivest-Shamir-Adleman-(RSA-)-2048-Bit-Schlüssel

    • RSA4096: RSA-4096-Bit-Schlüssel

    • ECDSA_P256: ECDSA-Schlüssel mit einer Kurven-ID P256

    • ECDSA_P384: ECDSA-Schlüssel mit der Kurven-ID P384

15. (Optional) Klicken Sie auf Zusätzliche Felder anzeigen, und wählen Sie unter Signaturalgorithmus je nach Schlüssel einen der folgenden Signaturalgorithmen aus. Klicken Sie dann auf Weiter.

    • SHA256_WITH_RSA: Rivest-Shamir-Adleman-(RSA-)Schlüssel mit Hashfunktion SHA-256

    • SHA384_WITH_RSA: RSA-Schlüssel mit Hashfunktion SHA-384

    • SHA512_WITH_RSA: RSA-Schlüssel mit Hashfunktion SHA-512

    • SHA256_WITH_ECDSA: ECDSA-Schlüssel mit Hashfunktion SHA-256

    • SHA384_WITH_ECDSA: ECDSA-Schlüssel mit Hashfunktion SHA-384

    • SHA512_WITH_ECDSA: ECDSA-Schlüssel mit Hashfunktion SHA-512

16. Um die automatische Erneuerung des Zertifikats zu konfigurieren und so eine Unterbrechung der Verwendung zu vermeiden, geben Sie einen Wert ungleich Null für die folgenden Einstellungen an, und klicken Sie auf Weiter.

    • Verlängerungsintervall (Tage): Häufigkeit der Verlängerung des Zertifikats.

    • Periode für vorzeitige Erneuerung (Tage): Die Anzahl der Tage vor Ablauf des Zertifikats, an denen die Erneuerung erfolgt.

      Erneuern Sie das Zertifikat vor Ablauf seiner Gültigkeitsdauer und bei Ausfällen mit genügend Verlängerungszeit. Ein Zertifikat, das abläuft, bevor der Service erfolgreich erneuert werden kann, kann zu Serviceunterbrechungen führen.

      Hinweis: Das Zertifikat wird auf dem IIS-Server nicht automatisch erneuert. Sie müssen die neue Version des Zertifikats abrufen und erneut auf den IIS-Server hochladen, wenn das Zertifikat abläuft.

17. Prüfen Sie alle Informationen, und klicken Sie auf Zertifikat erstellen.

18. Nachdem das Zertifikat erstellt wurde, müssen wir das .pem des Zertifikats erstellen, das dann auf unserem IIS-Server installiert werden kann. Um die Datei .pem zu erstellen, müssen Sie cert.pem und die private key.pem des oben erstellten Zertifikats abrufen. Die Datei cert.pem kann direkt aus der OCI-Konsole über Identität und Sicherheit, Zertifikate, Zertifikat, Inhalt anzeigen abgerufen werden. Laden Sie den Inhalt des Zertifikats pem und certificate-chain-pem herunter, und erstellen Sie eine einzelne Datei, indem Sie den Inhalt von beiden mit certificate-pem oben und certificate-chain-pem unten in der Datei kombinieren. Zum Erfassen des Private Keys können Sie die OCI-CLI unserer eigenen OCI Cloud Shell verwenden und den folgenden Befehl ausführen.

    oci certificates certificate-bundle get --certificate-id=ocid1.certificate.XXXXXXX --bundle-type=CERTIFICATE_CONTENT_WITH_PRIVATE_KEY
    

19. Sie müssen den Inhalt der private-key-pem unter dem Datenabschnitt der Befehlsausgabe kopieren und als .pem-Datei speichern (Beispiel: private.pem). Wenn Sie sowohl cert.pem- als auch private.pem-Dateien haben, können Sie OpenSSL verwenden, um eine .pfx-Datei zu generieren. Beim Kopieren des Inhalts der Datei private-key-pem müssen Sie möglicherweise das Zeichen \n entfernen, da dies Formatierungsprobleme verursacht.

    Hinweis: OCI-CLI, OpenSSL und viele andere Tools sind in OCI Cloud Shell vorinstalliert, mit denen diese Vorgänge problemlos ausgeführt werden können.

    Die Private-Key-Datei .pem sollte ungefähr wie folgt aussehen:

    

20. Mit dem folgenden Befehl können Sie die Datei .pem abrufen. Verwenden Sie die native OCI Cloud Shell, um alle diese Befehle auszuführen und ein sicheres Kennwort für Ihren Private Key anzugeben. Sie benötigen dieses Kennwort beim Importieren der .pem.

    openssl pkcs12 -inkey priv.pem -in cert.pem -export -out iis.pem
    

    Diese IIS.pem-Datei muss auf den IIS-Server kopiert werden. Diese IIS.pem muss in den lokalen Rechnerzertifikatspeicher auf dem IIS-Server importiert werden. Ich habe IIS bereits installiert und eine Demo-Website erstellt. Nachdem das Zertifikat importiert wurde, kann ich zu meiner auf IIS gehosteten Website gehen, das Site Binding bearbeiten und das installierte Zertifikat auswählen. Jetzt sind wir bereit, die Website mit https (gesichertes http) zu testen.

    

Aufgabe 4: IIS-gehostete Website mit gesichertem HTTP (HTTPS) testen

Wir haben eine einfache Hello World-Website verwendet, um diese Demo zu präsentieren und das Root CA-Zertifikat (kann aus der Certificate-chain-pem exportiert werden) in den Ordner Trusted Root Certification Authority im lokalen Maschinenzertifikatspeicher auf unseren Clientrechnern platziert, die für den Zugriff auf diese Website verwendet werden. Dies geschieht, weil CAs, die von OCI-Zertifikaten erstellt wurden, private CAs sind und daher von den Browsern nicht vertraut werden. Daher müssen wir die Root-CA und die Zwischen-CA (sofern verwendet) im Trusted Root Store/Intermediate Store auf allen lokalen Computern hinzufügen, die versuchen, auf die Website zuzugreifen.

Verwandte Links

• Überblick über Oracle Cloud Infrastructure Certificates

Danksagungen

• Autor - Aqib Javid Bhat (Senior Cloud Engineer)

Weitere Lernressourcen

Lernen Sie andere Übungen auf docs.oracle.com/learn kennen, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning YouTube Channel zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

Use OCI Certificates Service to Issue an Internal Certificate for Website Hosted on IIS Server

F91001-01

January 2024

Copyright © 2024, Oracle and/or its affiliates.