WPROWADZENIE
Administrator środowiska Microsoft SharePoint Server 2007 (MOSS 2007) od pewnego czasu dostaje informacje od użytkowników portalu, że podczas logowania się do witryny firmowego intranetu, za każdym razem dostają komunikat, który nie jest dla nich specjalnie interesujący, ale po prostu przeszkadza w pracy:
Po kilku telefonach okazało się, że pracownik działu bezpieczeństwa wymienił certyfikaty w firmie na nowe (na przykład z powodu zmiany nazwy domeny, lub działu) zapominając o wcześniejszym poinformowaniu innych działów (takie sytuacje niestety się zdarzają). Efektem takiego działania jest konieczność szybkiej wymiany certyfikatu – najlepiej zanim problem pojawi się na ekranie dyrektorskiego laptopa. Wprawdzie w niektórych środowiskach da się z tym pracować (brak ważnego certyfikatu nie musi być powodem odmowy dostępu do witryny – choć powinien) i po zaakceptowaniu wyjątku uda nam się dostac do witryny, ale przesyłana treść nie będzie zabezpieczona, o czym każda mądra przeglądarka łaskawie nam przypomni:
DZIAŁANIE
Za poprawną obsługę certyfikatów SSL zapewniających połączenie szyfrowane do witryny MOSS 2007 odpowiada fragment Internet Information Services [IIS] 6.0 (przy domyślnej instalacji). Aby poprawnie wymienić certyfikat obsługujący witrynę musimy otrzymać z urzędu certyfikacji [CA] dwa certyfikaty:
* certyfikat główny [Trusted Root Certification Authorities]
* certyfikat witryny [Intermediate Certification Authority] + hasło
Kiedy już wgramy certyfikaty (w odpowiedniej kolejności i do konkretnych katalogów) możemy zająć się naszym IIS. Na serwerze, na którym pracuje aplikacja (w przypadku farmy): uruchamiamy IIS 6.0 Manager – menedżera usług internetowych, następnie odnajdujemy naszą witrynę główną (server_name/web_sites/intranet) i wybieramy właściwości:
Możemy podejrzeć nasz obecny certyfikat, aby upewnić się, że to z nim właśnie mamy kłopot (z obrazka, jak również następnych, wycięte zostały informacje wrażliwe typu nazwa firmy, domeny, ca itp):
Klikamy na Server Certificate co pozwoli nam na uruchomienie kreatora obsługi certyfikatów, zaś w nim jest kilka opcji (zmieniających się w zależności od stanów naszych certyfikatów):
Wybieramy opcję Remove the Current Certificate oraz dla bezpieczeństwa potwierdzamy właściwości certyfikatu:
Efektem naszej pracy powinien być brak certyfikatu, a wiec i niemożność jego podejrzenia:
Uruchamiamy kreatora obsługi certyfikatów jeszcze raz i tym razem wybieramy opcję przypisania istniejącego certyfikatu (pamiętacie, że wgraliśmy go na samym początku) do naszej witryny:
Wybieramy nasz certyfikat…
…i port po jakim łączymy się z naszą witryną (zazwyczaj jest to 443):
I generalnie jest już po całej akcji. Pozostaje nam tylko zrestartowanie usługi (ja osobiście lubię tego IISa restartować – linia komend: iisreset). Po wszystkim, każdy użytkownik witryny, który ma aktualne firmowe certyfikaty na stacji roboczej, nie powinien mieć żadnych problemów z logowaniem (pierwsze logowanie może trwać odrobinę dłużej), zaś efekt powinien być taki, jaki zaplanowaliśmy:
Brak czerwonego paska – OK! Żółta kłódeczka gdzie podejrzymy certyfikat – SUPER! Brak maili i telefonów od użytkowników – BEZCENNE!
PS.: Co ważne całość procesu przeprowadzamy bez przestoju środowiska, co jest najwiekszą wartością dla naszego administratora.
