IIS 7.5 Criando certificados autoassinados com data de validação de mais de um ano

Você pode fazer isso usando a ferramenta SelfSSL.exe que vem com o IIS6 Resource Kit. Você pode obter o kit de recursos aqui:

http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=17275

O instalador apenas descompacta as ferramentas em uma pasta e não interfere nas configurações da sua máquina. A opção de instalação personalizada também permite escolher quais ferramentas você deseja instalar e em uma pasta de sua preferência.

Abra uma linha de comando do administrador e altere o diretório para onde você instalou a ferramenta de linha de comando SelfSSL .

Para gerar um novo certificado SSL autoassinado que expira em 10 anos, execute o seguinte:

selfssl /n:cn=www.mydomain.com /v:3650 /s:8 /k:2048

Isso gerará um ssl onde:

• /n:cn=www.mydomain.com - o SSL é para www.mydomain.com . O cn= (nome comum) é importante, então não perca.

• /v:3650 - número de dias para os quais o certificado é válido, neste caso, dez anos

• /s:8 - instale o certificado no ID do site 8

• /k:2048 - use um comprimento de chave de 2048 bits.

Infelizmente, não há como enviar o SSL diretamente para um arquivo, você precisa instalá-lo em um site. A boa notícia, porém, é que o certificado é exportável.

Se você quiser que o aviso sobre o SSL não seja confiável ao navegar para sites que usam o SSL auto-assinado para desativá-lo, você poderá corrigir isso também:

1. Exporte o SSL autoassinado para um arquivo .pfx (você precisa definir uma senha, lembre-se dela)
2. Iniciar (na linha de comando ou Iniciar - > Executar) mmc certmgr.msc

3. Navegue para Trusted Root Certificate Authorities -> Certificates e clique com o botão direito para acessar a opção Import... :

   

4. Sigaoassistenteeespecifiqueo.pfxaimportarecliqueempróximo(vocêprecisarádasenhadefinidanaetapa1):

5. Na próxima etapa do assistente, precisamos escolher qual loja usar. Clique no botão Browse... , que abrirá a janela Select Certificate Store . Precisamos ver as lojas físicas, portanto, verifique se há uma marcação em Show physical stores :

   

   ExpandaTrustedRootCertificateAuthoritieseescolhaLocalComputerconformeacapturadetelaacima.Emseguida,cliqueemOKe,emseguida,emNext>

6. CliquenobotãoFinishnopassofinaldoassistentee,setudoestivercerto,vocêdeveráver:

Advertências e armadilhas:

• O SelfSSL pode precisar dos componentes de Compatibilidade com Gerenciamento do IIS6 instalados. Eu não posso dizer, porque minhas próprias máquinas já têm esta instalado e não tenho uma VM útil para testar esta teoria, removendo-os.

• Emita o SSL para cn=www.mydomain.com e não cn=mydomain.com se você quiser adicionar o SSL ao repositório Autoridades de certificação raiz confiáveis.

Tanto quanto eu entendo, o problema com o IIS 7.x é que você não pode definir o cabeçalho do host para a ligação SSL.

Usando o utilitário de linha de comando appcmd, você deve conseguir fazer isso. Os sites podem usar o mesmo certificado, mas terão cabeçalhos de host diferentes.

Se você executar os 2 comandos a seguir com seus dados, configure os cabeçalhos do host.

c:\Windows\System32\inetsrv>appcmd set site /site.name:"local.yourdomain.com" /+bindings.[protocol='https',bindingInformation='*:443:local.yourdomain.com']

c:\Windows\System32\inetsrv>appcmd set site /site.name:"local.dev.yourdomain.com" /+bindings.[protocol='https',bindingInformation='*:443:local.dev.yourdomain.com']

Infelizmente, há algo mais que você precisa fazer para que isso funcione, mas não sei exatamente o quê. Eu sei que fiz algumas redefinições do IIS e selecionei novamente os certificados SSL, mas não tenho certeza da ordem na qual fazer isso. Mas eu sei que não fiz nada 'chique' como usar outra ferramenta.

O OpenSSL também pode ser usado para criar um certificado autoassinado, conforme descrito nesta resposta do Stack Overflow:

link