Configurazione di SSL in un ambiente di test di Windows 2000 IIS 5.0 mediante Certificate Server 2.0

Traduzione articoli Traduzione articoli
Identificativo articolo: 290625 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo viene descritto come impostare su SSL (Secure Sockets Layer) in un ambiente di laboratorio di sviluppo Windows 2000 Internet Information Services (IIS) 5.0. Microsoft Certificate Server 2.0 pu˛ creare molti certificati differenti, ma in questo articolo descrive solo la creazione di un certificato Web standard.

Creare una richiesta di certificato

Per creare un certificato server Web, attenersi alla seguente procedura:
  1. Consente di aprire Gestione servizio Internet Microsoft Management Console (MMC). Per effettuare questa operazione, fare clic su Start , scegliere programmi , Strumenti di amministrazione e quindi Gestione servizi Internet .
  2. In modo da visualizzare tutti i siti Web, sul nome del server.
  3. Fare clic con il pulsante destro del mouse sul sito Web in cui si desidera installare il certificato e quindi fare clic su ProprietÓ .
  4. Fare clic sulla scheda Protezione Directory .

    ╚ visualizzare tre metodi di protezione. Quello che sarÓ utilizzato per creare una richiesta di certificato Ŕ Comunicazioni protette .
  5. Fare clic su certificato server . Certificato non guidata. Fare clic su Avanti per continuare.
  6. Selezionare Crea un nuovo certificato e quindi fare clic su Avanti .
  7. Selezionare Preparare la richiesta, per l'invio posticipato , quindi Avanti .
  8. Digitare un nome per il certificato e quindi selezionare una lunghezza in bit. A meno che non Ŕ necessario per l'ambiente, non selezionare la casella di controllo Certificato SGC . (Per ulteriori informazioni sui certificati SGC, vedere la nota alla fine di questa sezione). Fare clic su Avanti per continuare.
  9. Consente di digitare il nome dell'organizzazione e l'unitÓ organizzativa (ad esempio, nome e lo sviluppo reparto). Fare clic su Avanti .
  10. Nome comune digitare il nome di dominio completo (FQDN) o il nome del server. Se si sta creando un certificato che verrÓ utilizzato su Internet, Ŕ preferibile utilizzare un nome di dominio completo. Fare clic su Avanti .
  11. Digitare le informazioni di percorso e quindi fare clic su Avanti .
  12. Digitare il percorso e il file il nome in cui si desidera salvare le informazioni del certificato e quindi fare clic su Avanti .

    Nota: Se si digita qualsiasi percorso predefinito e nome del file, assicurarsi di prendere nota del nome e della posizione che si seleziona, perchÚ Ŕ necessario accedere a questo file nelle fasi successive.
  13. Verificare di avere digitato le informazioni e quindi fare clic su Avanti per completare il processo e creare la richiesta di certificato.
  14. Nella finestra di dialogo completamento del guidata di certificati Server Web fare clic su Fine .
  15. Fare clic su OK per chiudere la finestra delle proprietÓ sito Web.
NOTES: I certificati di porte Cryptography (SGC) del server vengono utilizzati pi¨ di frequente da istituti finanziari che richiedono connessioni di crittografia elevata, anche quando la connessione con gli utenti internazionali o dai browser sono limitati a crittografia a 40 bit. Quando la connessione a un browser internazionale (40 bit), un certificato SGC crea un tunnel di 128 bit per consentire il livello di crittografia a 128 bit. Quando la connessione protetta o la sessione termina, viene chiuso il tunnel di certificazione intermedie.

Inoltre, il certificato SGC Ŕ strettamente specifici del dominio. In genere, se il nome di dominio di un certificato non corrisponde a del dominio del sito Web, viene visualizzato un avviso che indica il fatto e quindi Ŕ possibile scegliere di continuare o meno. Un certificato SGC non Ŕ visualizzato un avviso o offrono opzioni. La connessione Ŕ riuscita, ma non viene visualizzato una spiegazione.

Inviare una richiesta di certificato

Per inviare una richiesta di certificato, attenersi alla seguente procedura:
  1. Aprire un browser e aprire http:// YourWebServerName NomeProprioServerWeb/certsrv /.
  2. Selezionare Richiedi un certificato e quindi fare clic su Avanti .
  3. Selezionare la Richiesta avanzata e quindi fare clic su Avanti .
  4. Selezionare l'opzione di centro, Invia una richiesta di certificato utilizzando un Base64 e quindi fare clic su Avanti .
  5. Nel blocco note aprire il documento di richiesta creato nella prima sezione di routine, "Crea una richiesta di certificato".
  6. Copiare il contenuto del documento.

    Il contenuto simile al seguente:
    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIICcjCCAhwCAQAwYjETMBEGA1UEAxMKcm9ic3NlcnZlcjELMAkGA1UECxMCTVMx
    CzAJBgNVBAoTAk1TMREwDwYDVQQHEwhCZWxsZXZ1ZTERMA8GA1UECBMIV2FzaGl0
    b24xCzAJBgNVBAYTAlVTMFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBALYK4sYDNQ7h
    LmSfL0qpIvUfY7Ddw7fNCvDp3rM7z4QqoLhA2c8TkyamqWTBsV0WRHIidf/J6mU4
    wN4wrUzJTLUCAwEAAaCCAVMwGgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMDUG
    CisGAQQBgjcCAQ4xJzAlMA4GA1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEF
    BQcDATCB/QYKKwYBBAGCNw0CAjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0
    ACAAUgBTAEEAIABTAEMAaABhAG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBw
    AGgAaQBjACAAUAByAG8AdgBpAGQAZQByA4GJAGKa0jzBn8fkxScrWsdnU2eUJOMU
    K5Ms87Q+fjP1/pWN3PJnH7x8MBc5isFCjww6YnIjD8c3OfYfjkmWc048ZuGoH7Zo
    D6YNfv/SfAvQmr90eGmKOFFiTD+hl1hM08gu2oxFU7mCvfTQ/2IbXP7KYFGEqaJ6
    wn0Z5yLOByPqblQZAAAAAAAAAAAwDQYJKoZIhvcNAQEFBQADQQCgRCWkaXlY2nVa
    tbn6p5miPwWfrbViYo0B62wkuH0f7J0nSGcxMnn/6Q/iLEIsgHqFhox5PWCzIV0J
    tXKPWrBL
    -----END NEW CERTIFICATE REQUEST-------
    						
    Nota: se si salva il documento con il nome predefinito e il percorso, si trova in C:\certreq.txt.

    Nota: Assicurarsi di copiare tutto il contenuto come illustrato di seguito.
  7. Incollare il contenuto del documento nella casella Base 64 richiesta di certificato codificato del modulo Web. Fare clic su Invia .
  8. Se Certificate Server Ŕ impostato su numero sempre il certificato , si viene indirizzati immediatamente la pagina Certificato emesso . Legge la barra degli indirizzi:
    /certsrv/certfnsh.asp YourWebServerName http://
    In questa pagina, Ŕ possibile scaricare immediatamente il certificato del server Web. Per effettuare questa operazione, attenersi alla seguente procedura nella pagina Certificato emesso :

    1. Fare clic sul primo collegamento, Esegui Download certificato autoritÓ di certificazione fare clic sul (non opzione di Download certificazione autoritÓ percorso certificati) .
    2. Quando richiesto, selezionare Salva il file su disco e salvare il certificato sul desktop o un altro percorso in cui verrÓ memorizzata.
    3. A questo punto, passare direttamente alla "Installa il certificato" sezione.
  9. Se il server dei certificati Ŕ impostata per impostare lo stato della richiesta certificato su in sospeso , verrÓ visualizzato il seguente messaggio di "Certificato in sospeso":
    Certificate Pending.
    Your certificate request has been received. However, you must wait for an administrator to issue the certificate you requested. 
    Please return to this web site in a day or two to retrieve your certificate.
    Note: You must return with this web browser within 10 days to retrieve your certificate.
    						
    per continuare, si sposta alla sezione "Invia un certificato".
Nota: Per ulteriori informazioni sulla configurazione dei criteri di emissione del certificato, vedere l'appendice a.

Emettere un certificato

Problema (ovvero autorizzare) un certificato in Certificate Server, attenersi alla seguente procedura:
  1. Aprire l'autoritÓ di certificazione snap-in Microsoft Management Console (MMC). Per effettuare questa operazione, fare clic su Start , scegliere programmi , Strumenti di amministrazione e quindi fare clic su AutoritÓ di certificazione .
  2. Espandere AutoritÓ di certificazione .
  3. Fare clic sulla cartella Richieste in sospeso . Le richieste di certificato in sospeso visualizzati nel riquadro destro.
  4. Fare clic con il pulsante destro del mouse sulla richiesta di certificato in sospeso (vale a dire richiesta inviati nella terza procedura in questo articolo), scegliere Tutte le attivitÓ , quindi scegliere Emetti .

    Nota : dopo che si seleziona il problema , il certificato non visualizzato in questa finestra e la cartella. Trova nella cartella certificati emessi. Nota: per ulteriori informazioni sulla configurazione dei criteri di emissione del certificato, vedere l'appendice a.

Scaricare un certificato

Dopo aver emesso e autorizzato il certificato, Ŕ possibile restituire all'interfaccia Web di certificati server per selezionare e scaricare il certificato:
  1. Aprire http:// YourWebServerName NomeProprioServerWeb/certsrv /. Nota : ╚ necessario utilizzare le lettere minuscole quando si digita certsrv . In caso contrario, non Ŕ possibile visualizzare le richieste in sospeso.

  2. Nella pagina predefinita, selezionare la verifica su un certificato in sospeso e quindi fare clic su Avanti . Nota : se si seleziona recuperare il certificato di autoritÓ di certificazione o l'elenco di revoche di certificati dalla pagina iniziale predefinita, verrÓ scaricato il certificato di autoritÓ di certificazione principale e non il certificato del server Web. Se si tenta di installare un certificato di autoritÓ di certificazione principale a un sito Web, verrÓ visualizzato il seguente messaggio di errore:
    Certificato selezionato Ŕ giÓ installato in un altro server. Scegliere un altro file di risposta.
  3. Selezionare il certificato in sospeso e quindi scegliere Avanti per aprire la pagina di download.
  4. Nella pagina di download, fare clic sul collegamento ipertestuale superiore, Esegui Download certificato autoritÓ di certificazione (non fare clic su percorso Esegui Download certificato autoritÓ di certificazione).
  5. Quando richiesto, selezionare Salva il file su disco e salvare il certificato sul desktop o un altro percorso in cui verrÓ memorizzata.
Aver emesso e scaricato il certificato.

Il passaggio successivo consiste nell'installare il certificato e configurare un sito Web con crittografia SSL.

INSTALLAZIONE DEL CERTIFICATO

Esistono diversi modi per installare e configurare un certificato SSL: ad esempio, fare doppio clic sul certificato e utilizzare l'installazione guidata di certificati per preinstallare il certificato, quindi associarlo al sito. In questo articolo viene descritto come installare il certificato utilizzando MMC Gestione servizio Internet mediante guidata certificati Server Web.

Per installare un certificato in Certificate Server, attenersi alla seguente procedura:
  1. Aprire Gestione servizio Internet e quindi espandere il nome del server in modo da visualizzare i siti Web.
  2. Fare clic con il pulsante destro del mouse sul creati la richiesta di certificato per sito Web e quindi fare clic su ProprietÓ .
  3. Fare clic sulla scheda Protezione Directory . In Comunicazioni protette fare clic su Certificato Server .

    VerrÓ visualizzata certificati installazione guidata. Fare clic su Avanti per continuare.
  4. Selezionare Elabora la richiesta in sospeso e installa il certificato e quindi fare clic su Avanti .
  5. Digitare il percorso del certificato Ŕ stato scaricato nella sezione "Download di un certificato" e quindi fare clic su Avanti .
  6. Quando la procedura guidata viene visualizzato il riepilogo certificato, verificare che le informazioni sia corrette e quindi fare clic su Avanti per continuare.
  7. Fare clic su Fine per completare il processo.

Configurazione e verifica del certificato

Per configurare e verificare il certificato, attenersi alla seguente procedura:
  1. Nella scheda Protezione Directory , in Comunicazioni protette , considerare che occorre ora tre opzioni disponibili. Per impostare il sito Web per richiedere connessioni protette, selezionare la Modifica . VerrÓ visualizzata la finestra di dialogo Comunicazioni protette .
  2. Selezionare Richiedi un canale protetto (SSL) e quindi fare clic su OK .
  3. Fare clic su Applica e quindi su OK per chiudere la finestra ProprietÓ.
  4. Individuare il sito e verificarne il corretto funzionamento:
    1. Accedere al sito tramite http digitando http://localhost/Postinfo.HTML il browser. ╚ visualizzato un messaggio di errore analogo al seguente:
      HTTP 403.4 - operazione non consentita: Necessario SSL.
    2. Tentativo di accesso stessa pagina Web con una connessione protetta (https) digitando https://localhost/postinfo.html nella finestra del browser. Nota: pagina di Postinfo.html il Ŕ una pagina HTML standard presente nella directory principale del sito predefinito.

    3. Se si riceve un messaggio di protezione indicante che il certificato non sia da un'autoritÓ di certificazione principale attendibile, fare clic su per continuare la pagina Web.

      Nota : per informazioni su come aggiungere l'autoritÓ di certificazione all'elenco di AutoritÓ di certificazione principale attendibili nel browser, vedere l'appendice b.
Se Ŕ possibile visualizzare la pagina, aver installato il certificato.

Appendice A: come modificare i criteri di emissione di certificati

╚ possibile selezionare se si desidera emettere un certificato su richiesta (nessuna autorizzazione) oppure se si desidera che tutte le richieste di essere inviato per pre-authorization tramite l'autoritÓ di certificazione snap-in. Per effettuare questa operazione, attenersi alla seguente procedura:
  1. Aprire lo strumento AutoritÓ di certificazione. Per effettuare questa operazione, fare clic su Start , scegliere programmi , Strumenti di amministrazione e quindi fare clic su AutoritÓ di certificazione .
  2. Fare clic con il pulsante destro del mouse sul nome dell'autoritÓ di certificazione e quindi fare clic su ProprietÓ .
  3. Nella finestra ProprietÓ, fare clic sulla scheda Modulo criterio e quindi fare clic su Configura .
  4. Nella scheda Azione predefinita , selezionare una delle seguenti operazioni:
    • Imposta lo stato su in sospeso della richiesta certificato : l'amministratore deve esplicitamente emettere il certificato.
    • sempre emettere il certificato : si emette il certificato immediatamente, con nessuna autorizzazione necessaria. Nota : se un certificato viene riconosciuto in rete, selezionare la seconda opzione.

Appendice B: installare un certificato di autoritÓ di certificazione principale nell'elenco delle autoritÓ di certificazione fonti attendibili in Internet Explorer 5. x

╚ possibile distribuire il certificato di autoritÓ di certificazione principale per gli utenti sito Web in diversi modi. ╚ possibile inviarlo tramite posta elettronica e disporre gli utenti installarlo dal messaggio di posta elettronica. ╚ possibile includere una pagina di download sul sito Web con un collegamento per il certificato. Una soluzione a livello aziendale consiste nell'utilizzare Internet Explorer Administration Kit (IEAK) per Internet Explorer un cliente con il certificato di autoritÓ di certificazione principale giÓ installato nell'elenco AutoritÓ di certificazione principale attendibili . Tuttavia, si rende disponibile il certificato, una cosa rimane lo stesso: il modo per installare il certificato nell'elenco AutoritÓ di certificazione principale attendibili di Internet Explorer, come illustrato in questa appendice.

Nota: Il certificato deve essere installato per il trust che il certificato del sito non Ŕ il certificato appena creati ma il certificato di autoritÓ di certificazione principale, che Ŕ stato creato durante l'installazione di certificati server.

Ai fini del presente documento, scaricare il certificato utilizzando l'interfaccia Web di certificati server , che si trova all'indirizzo http:// <YourServerName> /certsrv /. Dopo che si Ŕ arrivati a pagina, selezionare recuperare il certificato di autoritÓ di certificazione o l'elenco di revoche di certificati e quindi fare clic su Avanti .

Sono ora disponibili due opzioni:
  • installare questo percorso di certificazione di autoritÓ di certificazione . Se si installa il certificato di autoritÓ di certificazione principale nel browser in cui si Ŕ attualmente connessi con, fare clic sul collegamento Installa il percorso di certificazione di autoritÓ di certificazione , e il certificato di autoritÓ di certificazione principale viene installato automaticamente nell'elenco AutoritÓ di certificazione principale attendibili in Internet Explorer.

    Dopo l'installazione Ŕ completata, viene visualizzato di una pagina di conferma. - oppure -

  • scaricare il certificato dell'autoritÓ di certificazione . Se Ŕ necessario installare il certificato di autoritÓ di certificazione radice nell'elenco AutoritÓ di certificazione principale nella finestra di qualsiasi altro browser Internet Explorer, Ŕ possibile eseguirne il download e installare il, come indicato di seguito:
    1. Fare clic su download certificato dell'autoritÓ di certificazione .
    2. Selezionare Salva il file su disco .
    3. Accedere al percorso in cui Ŕ stato salvato il certificato di autoritÓ di certificazione principale e quindi fare doppio clic su certificato per aprire la finestra proprietÓ per tale certificato.
    4. Fare clic su Installa certificato per avviare l'importazione guidata certificati. Fare clic su Avanti per continuare.
    5. Selezionare Mettere tutti i certificati nel seguente archivio .
    6. Fare clic su Sfoglia , selezionare l'AutoritÓ di certificazione principale attendibili e quindi fare clic su Avanti .
    7. Verificare le impostazioni e quindi fare clic su Fine .

      ╚ visualizzato il seguente messaggio:
      L'importazione non riuscita.
    8. Fare clic su OK per chiudere questo messaggio e quindi fare clic su OK per chiudere la finestra ProprietÓ.
    Per verificare se Ŕ visualizzato l'attendibili avviso autoritÓ di certificazione, chiudere e riaprire il browser e aprire il seguente sito Web:
    https:// <MySecureWebsite> /Postinfo.html
    Nota : pagina di Postinfo.html il Ŕ una pagina HTML standard presente nella directory principale del sito predefinito.

    Se Ŕ possibile aprire questo sito, sono stati aggiunti correttamente la autoritÓ di certificazione all'elenco di AutoritÓ di certificazione principale attendibili in Internet Explorer.

Riferimenti

Per ulteriori informazioni sull'utilizzo di certificati con IIS 5.0, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
232136Come backup di un certificato server in Internet Information Services 5.0
Riepilogo: Quando si utilizza IIS 5.0, sarÓ necessario eseguire il backup dei certificati server. Windows 2000 semplifica questo processo con il nuovo snap-in certificati.

232137Come importare un certificato server per l'utilizzo in Internet Information Services 5.0
Riepilogo: Quando si utilizza IIS versione 5.0, Ŕ possibile che desideri ripristinare un certificato server (ad esempio, se la migrazione un sito Web a un altro server in una Web farm). Questa attivitÓ Ŕ molto semplice con Web Site Certificate Wizard e importazione guidata gestione certificati Ŕ incluso in Windows 2000 e IIS 5.0.
248107Creazione di certificati server mediante Servizi certificati Web Form
Riepilogo: Quando si attivano comunicazioni protette, ad esempio SSL e TLS (Transport Layer Security) in un computer di IIS 5.0, Ŕ innanzitutto necessario ottenere un certificato server. L'integrazione di certificati in Windows 2000 e le nuove aggiunte a IIS 5.0 forniscono dei diversi modi per ottenere un certificato server.
227888L'importazione di un file di backup di chiavi per utilizzare in Internet Information Services 5.0
Riepilogo: Dopo l'installazione di IIS 5.0, Ŕ possibile che desideri importare un file di backup di chiave da una versione precedente di Internet Information Server (IIS). Quando si esegue questa operazione, Ŕ possibile utilizzare le funzionalitÓ SSL sul nuovo server (e sostituire quella precedente).
295298INFORMAZIONI: IIS 5: cosa verifica su in sospeso richieste fare?
Riepilogo: In questo articolo viene brevemente descritto quello che si verifica quando una richiesta di certificato viene inviata a Certificate Services 2.0 tramite il Web di Servizi certificati di pagine e di quello che si verifica quando si visualizza la richiesta in sospeso nelle pagine Web di Servizi certificati.
323470Come creare una Secure WebDAV Publishing Directory
Riepilogo: In questo articolo viene descritto come creare un protetto Web Distributed Authoring and Versioning (WebDAV) directory di pubblicazione.
313071Configurazione di elenchi di certificati attendibili in Internet Information Services 5.0
Riepilogo: In questo articolo viene descritto come creare e configurare elenchi di certificati attendibili (CTL, Certificate Trust List) utilizzando la gestione guidata dell'elenco di certificati attendibili in IIS versione 5.0.

ProprietÓ

Identificativo articolo: 290625 - Ultima modifica: martedý 21 novembre 2006 - Revisione: 2.3
Le informazioni in questo articolo si applicano a:
  • Microsoft Internet Information Services 5.0
  • Microsoft Certificate Services 2.0
Chiavi:á
kbmt kbhowto kbhowtomaster KB290625 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 290625
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Dichiarazione di non responsabilitÓ per articoli della Microsoft Knowledge Base su prodotti non pi¨ supportati
Questo articolo Ŕ stato scritto sui prodotti per cui Microsoft non offre pi¨ supporto. L?articolo, quindi, viene offerto ?cosý come Ŕ? e non verrÓ pi¨ aggiornato.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com