Como configurar o SSL num ambiente de teste do Windows 2000 IIS 5.0 utilizando o Certificate Server 2.0

Traduções de Artigos Traduções de Artigos
Artigo: 290625 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo passo a passo descreve como definir cópia segura (SSL) num ambiente de laboratório de desenvolvimento do Windows 2000 serviços de informação Internet (IIS) 5.0. Microsoft Certificate Server 2.0 pode criar vários certificados diferentes; este artigo abrange apenas a criação de um certificado de Web padrão.

Criar um pedido de certificado

Para criar um certificado de servidor Web, siga estes passos:
  1. Abra a consola de gestão Microsoft ' Gerenciador de serviços de Internet ' (MMC). Para o fazer, clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em Internet Service Manager .
  2. Faça duplo clique no nome do servidor para que visualizar todos os Web sites.
  3. Clique com o botão direito do rato no qual pretende instalar o certificado do Web site e, em seguida, clique em Propriedades .
  4. Clique no separador Segurança de directórios .

    Verá três métodos de segurança. O que irá utilizar para criar um pedido de certificado é Comunicações seguras .
  5. Clique em certificado de servidor . O Assistente de certificados é iniciado. Clique em seguinte para continuar.
  6. Seleccione criar um novo certificado e, em seguida, clique em seguinte .
  7. Seleccionar preparar o pedido agora, mas enviá-la mais tarde e, em seguida, clique em seguinte .
  8. Escreva um nome para o certificado e, em seguida, seleccione um comprimento de bits. A menos que é necessário para o laboratório, não seleccione a caixa de verificação Certificados SGC . (Para obter mais informações sobre certificados do SGC, consulte a nota no final desta secção.) Clique em seguinte para continuar.
  9. Escreva o nome de organização e a unidade organizacional (por exemplo, desenvolvimento e nome do departamento de empresa). Clique em seguinte .
  10. Nome comum , escreva o nome de domínio totalmente qualificado (FQDN, Fully Qualified Domain Name) ou o nome do servidor. Se estiver a criar um certificado que irá ser utilizado através da Internet, é aconselhável utilizar um FQDN, Fully Qualified Domain Name. Clique em seguinte .
  11. Escreva as informações de localização e, em seguida, clique em seguinte .
  12. Escreva o nome ficheiro e o caminho onde pretende guardar as informações do certificado e, em seguida, clique em seguinte .

    NOTA: Se escrever nada do que a localização predefinida e nome de ficheiro, certifique-se de Tome nota do nome e localização que selecciona, uma vez que for necessário aceder a este ficheiro em passos posteriores.
  13. Verifique as informações que escreveu e, em seguida, clique em seguinte para concluir o processo e criar o pedido de certificado.
  14. Na caixa de diálogo a concluir o Assistente de certificados Web Server , clique em Concluir .
  15. Clique em OK para fechar as propriedades do Web site.
Notas: Os certificados de Gated Cryptography (SGC) de servidor são utilizados com mais frequência por instituições financeiras que requerem ligações de encriptação elevada, mesmo quando estabelecer ligação com os utilizadores internacionais ou browsers que estão limitados a encriptação de 40 bits. Quando ligar a um browser internacional (40 bits), um certificado SGC cria um túnel de 128 bits para permitir a força de encriptação de 128 bits. Quando a ligação segura ou a sessão termina, o túnel certificado intermédio é fechado.

Além disso, o certificado do SGC é estritamente específicas do domínio. Normalmente, o nome de domínio de um certificado não corresponde o domínio do Web site, receberá um aviso a indicar este facto e pode optar por continuar ou não. Um certificado SGC não emitir um aviso ou oferecer opções. A ligação é sem êxito, mas não receberá uma explicação.

Submeter um pedido de certificado

Para submeter uma requisição de certificado, siga estes passos:
  1. Abra um browser e, em seguida, abra http:// YourWebServerName YourWebServerName/certsrv /.
  2. Seleccione Pedir um certificado e, em seguida, clique em seguinte .
  3. Seleccione o Pedido avançado e, em seguida, clique em seguinte .
  4. Seleccione a opção centro, Submeter um pedido de certificado utilizando um Base64 e, em seguida, clique em seguinte .
  5. No bloco de notas, abra o documento pedido que criou no primeira a secção procedimento "Criar uma requisição de certificados".
  6. Copie o conteúdo do documento.

    O conteúdo semelhante à seguinte:
    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIICcjCCAhwCAQAwYjETMBEGA1UEAxMKcm9ic3NlcnZlcjELMAkGA1UECxMCTVMx
    CzAJBgNVBAoTAk1TMREwDwYDVQQHEwhCZWxsZXZ1ZTERMA8GA1UECBMIV2FzaGl0
    b24xCzAJBgNVBAYTAlVTMFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBALYK4sYDNQ7h
    LmSfL0qpIvUfY7Ddw7fNCvDp3rM7z4QqoLhA2c8TkyamqWTBsV0WRHIidf/J6mU4
    wN4wrUzJTLUCAwEAAaCCAVMwGgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMDUG
    CisGAQQBgjcCAQ4xJzAlMA4GA1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEF
    BQcDATCB/QYKKwYBBAGCNw0CAjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0
    ACAAUgBTAEEAIABTAEMAaABhAG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBw
    AGgAaQBjACAAUAByAG8AdgBpAGQAZQByA4GJAGKa0jzBn8fkxScrWsdnU2eUJOMU
    K5Ms87Q+fjP1/pWN3PJnH7x8MBc5isFCjww6YnIjD8c3OfYfjkmWc048ZuGoH7Zo
    D6YNfv/SfAvQmr90eGmKOFFiTD+hl1hM08gu2oxFU7mCvfTQ/2IbXP7KYFGEqaJ6
    wn0Z5yLOByPqblQZAAAAAAAAAAAwDQYJKoZIhvcNAQEFBQADQQCgRCWkaXlY2nVa
    tbn6p5miPwWfrbViYo0B62wkuH0f7J0nSGcxMnn/6Q/iLEIsgHqFhox5PWCzIV0J
    tXKPWrBL
    -----END NEW CERTIFICATE REQUEST-------
    						
    NOTA: se guardar o documento com o nome e localização predefinidos, está localizada em C:\Certreq.txt.

    NOTA: Certifique-se que copia todo o conteúdo tal como mostrado aqui.
  7. Cola o conteúdo do documento na caixa de texto Base64 codificado requisição de certificados do formulário Web. Clique em Submeter .
  8. Se Certificate Server estiver definido para Emitir sempre o certificado , imediatamente são direccionados para a página Certificado emitido . Lê a barra de endereço:
    http:// YourWebServerName /certsrv/certfnsh.asp
    Nesta página, pode transferir o certificado do servidor Web imediatamente. Para o fazer, siga estes passos na página Certificado emitido :

    1. Clique na hiperligação superior, Transferir certificado da autoridade de certificação (não clique em Transferir certificado da autoridade de certificação caminho ).
    2. Quando lhe for pedido, seleccionar Guardar este ficheiro no disco e guardam o certificado para o ambiente de trabalho ou outra localização que se vai lembrar.
    3. Agora, vá directamente para a secção "Instalar o certificado".
  9. Se Certificate Server estiver definido para definir o estado de pedido de certificado como pendente , receberá a seguinte mensagem de "Certificado pendente":
    Certificate Pending.
    Your certificate request has been received. However, you must wait for an administrator to issue the certificate you requested. 
    Please return to this web site in a day or two to retrieve your certificate.
    Note: You must return with this web browser within 10 days to retrieve your certificate.
    						
    para continuar, mover para a secção "Emitir um certificado".
NOTA: Para mais informações sobre como configurar políticas de emissão de certificados, consulte o apêndice a.

Emitir um certificado

A questão (ou seja, autorizar) um certificado no servidor de certificados, siga estes passos:
  1. Abra a autoridade de certificação snap-in da consola de gestão da Microsoft (MMC). Para o fazer, clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em Autoridade de certificação .
  2. Expanda a autoridade de certificação .
  3. Clique na pasta de Requisições pendentes . Os pedidos de certificado pendente aparecem no painel direito.
  4. Clique com o botão direito do rato no pedido de certificado pendente (ou seja, o pedido submetido no procedimento terceiro neste artigo), seleccione Todas as tarefas e, em seguida, clique em emitir .

    Nota : depois de seleccionar o problema , o certificado não é apresentado nesta janela e a pasta. Agora reside na pasta certificados emitidos. NOTA: para obter mais informações sobre como configurar políticas de emissão de certificados, consulte o apêndice a.

Transferir um certificado

Depois de ter emitido e autorizado o certificado, pode devolver à interface Web de servidor de certificados para seleccionar e transferir o certificado:
  1. Abra http:// YourWebServerName YourWebServerName/certsrv /. Nota : tem de utilizar letras minúsculas quando escrever certsrv . Se não o fizer, não consegue visualizar pedidos pendentes.

  2. Na página predefinida, seleccione Verificar certificado pendente e, em seguida, clique em seguinte . Nota : Se seleccionar obter o certificado da autoridade de certificação ou a lista de revogação de certificado a partir da página de boas-vindas predefinida, irá transferir o certificado da autoridade de certificação raiz e não o certificado de servidor Web. Se tentar instalar um certificado de autoridade de certificação de raiz a um Web site, receberá a seguinte mensagem de erro:
    Certificado seleccionado já foi instalado para outro servidor. Escolha outro ficheiro de resposta.
  3. Seleccione o certificado pendente e, em seguida, clique em seguinte para abrir a página de transferência.
  4. Na página de transferência, clique na hiperligação superior, Transferir certificado da autoridade de certificação (não clique caminho Transferir certificado da autoridade de certificação).
  5. Quando lhe for pedido, seleccionar Guardar este ficheiro no disco e guardam o certificado para o ambiente de trabalho ou outra localização que se vai lembrar.
Tiver emitido e transferir o certificado.

O passo seguinte consiste em instalar o certificado e configurar um Web site encriptadas com SSL.

Instalar o certificado

Existem várias formas para instalar e configurar um certificado de SSL: por exemplo, possível duplo clique no certificado e utilize o Assistente de instalação certificados para pré-instalar o certificado, em seguida, ligá-la para o site. Este artigo descreve como instalar o certificado através da utilização da MMC do ' Gerenciador de serviços de Internet ' através do assistente certificados de servidor de Web.

Para instalar um certificado de servidor de certificados, siga estes passos:
  1. Abra o Gestor de serviços Internet e, em seguida, expanda o nome do servidor para que possa ver os Web sites.
  2. Clique com o botão direito do rato no Web site que criou o pedido de certificado para e, em seguida, clique em Propriedades .
  3. Clique no separador Segurança de directórios . Em Comunicações seguras , clique em Certificado de servidor .

    Este procedimento abre o Assistente de instalação de certificados. Clique em seguinte para continuar.
  4. Seleccione a processar o pedido pendente e instalar o certificado e, em seguida, clique em seguinte .
  5. Escreva a localização do certificado que tenha transferido na secção "Transferir um certificado" e, em seguida, clique em seguinte .
  6. Quando o assistente apresenta o resumo do certificado, verifique se as informações está correctas e, em seguida, clique em seguinte para continuar.
  7. Clique em Concluir para concluir o processo.

Configurar e testar o certificado

Para configurar e testar o certificado, siga estes passos:
  1. No separador Segurança de directórios , em Comunicações seguras , note que tem agora três opções disponíveis. Para definir o Web site para pedir ligações seguras, clique em Editar . A caixa de diálogo Comunicações seguras é apresentada.
  2. Seleccione Necessita Secure Channel (SSL) e, em seguida, clique em OK .
  3. Clique em Aplicar e, em seguida, OK para fechar a janela Propriedades.
  4. Localize o site e verificar se funciona:
    1. Aceda ao site através de http, escrevendo http://localhost/Postinfo.html no browser. Receberá uma mensagem de erro semelhante à seguinte:
      HTTP 403.4 - proibido: SSL requerido.
    2. Tente aceder a mesma página Web com uma ligação segura (https), escrevendo https://localhost/postinfo.html no browser. NOTA: Postinfo.HTML A página for uma página HTML padrão que se encontra na raiz do Web site predefinido.

    3. Se receber uma mensagem de segurança que indica que o certificado não é de uma autoridade de certificação de raiz fidedigna, clique em Sim para continuar para a página Web.

      Nota : para aprender a adicionar a autoridade de certificação de raiz à lista de Autoridades de certificação de raiz fidedigna no browser, consulte o apêndice B.
Se conseguir visualizar a página, instalou com êxito o certificado.

Apêndice A: como alterar emissora políticas de certificados

Pode seleccionar se pretende emitir um certificado mediante solicitação do (sem autorização) ou se pretende que todos os pedidos sejam submetidos para pre-authorization através da autoridade de certificação snap-in da MMC. Para o fazer, siga estes passos:
  1. Abra a ferramenta de autoridade de certificação. Para o fazer, clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em Autoridade de certificação .
  2. Clique com o botão direito do rato o nome da autoridade de certificação e, em seguida, clique em Propriedades .
  3. Na janela Propriedades, clique no separador Módulo de política e, em seguida, clique em Configurar .
  4. No separador Acção predefinida , seleccione um dos seguintes procedimentos:
    • Definir estado de pedido de certificado como pendente : O administrador tem explicitamente emitir o certificado.
    • Emitir sempre o certificado : esta emite o certificado imediatamente, com sem autorização requerida. Nota : Se um certificado for reconhecido na rede, seleccione a segunda opção.

Apêndice B: instalar um certificado de autoridade de certificação de raiz na lista de autoridade de certificação de raiz fidedigna no Internet Explorer 5. x

Pode entregar o certificado da autoridade de certificação raiz ao utilizadores do Web site de várias formas. Uma forma é para correio electrónico-lo e os utilizadores instalá-lo da mensagem de correio electrónico. Outra forma consiste em incluir uma página de transferência no Web site com uma hiperligação para o certificado. Uma solução de toda a empresa é utilizar o Internet Explorer Administration Kit (IEAK) para enviar um cliente Internet Explorer com o certificado da autoridade de certificação raiz já instalado na lista de Autoridades de certificação de raiz fidedigna . No entanto, disponibilizar o certificado, um objecto permanece igual: a forma de instalar o certificado na lista de Autoridades de certificação de raiz fidedigna no Internet Explorer, como demonstra neste apêndice.

NOTA: O certificado tem de estar instalado para o Internet Explorer para que o certificado de site não é o certificado que acabou de criar mas o certificado de autoridade de certificação raiz, que foi criado quando instalou o servidor de certificados de fidedignidade.

Para efeitos deste documento, transferir o certificado utilizando a interface Web de servidores de certificados , que está localizada em http:// <YourServerName> certsrv /. Depois de chegou a página de boas-vindas, seleccione obter o certificado da autoridade de certificação ou a lista de revogação de certificado e, em seguida, clique em seguinte .

Agora tem duas opções:
  • instalar este caminho de certificação da autoridade de certificação . Se estiver a instalar o certificado da autoridade de certificação raiz para o browser que está actualmente ligado com, clique na hiperligação instalar este caminho de certificação de autoridade de certificação e o certificado da autoridade de certificação raiz é automaticamente instalado na lista de Autoridades de certificação de raiz fidedigna no browser do Internet Explorer.

    Após a instalação estiver concluída, receberá uma página de confirmação. - ou -

  • Transferir certificado da autoridade de certificação . Se deve instalar o certificado da autoridade de certificação raiz na lista de autoridades de certificação de raiz em qualquer outro browser Internet Explorer, pode transferi-lo e instalá-lo da seguinte forma:
    1. Clique em Transferir certificado da autoridade de certificação .
    2. Seleccione Guardar o ficheiro no disco .
    3. Aceder à localização onde guardou o certificado da autoridade de certificação raiz e, em seguida, faça duplo clique o certificado para abrir a janela Propriedades para esse certificado.
    4. Clique em Instalar certificado para iniciar o assistente. Clique em seguinte para continuar.
    5. Seleccione Coloque todos os certificados no seguinte arquivo .
    6. Clique em Procurar , seleccione Autoridades de certificação de raiz fidedigna e, em seguida, clique em seguinte .
    7. Verifique as definições e, em seguida, clique em Concluir .

      Receber a seguinte mensagem:
      A importação foi bem sucedida.
    8. Clique em OK para fechar esta mensagem e, em seguida, clique em OK para fechar a janela Propriedades.
    Para ver se receberá raiz fidedigna aviso de autoridade de certificação novamente, feche e reabra o browser e, em seguida, abra o seguinte Web site:
    https:// <MySecureWebsite> /Postinfo.html
    Nota : Postinfo.HTML A página for uma página HTML padrão que se encontra na raiz do Web site predefinido.

    Se conseguir abrir este site, com êxito adicionou autoridade de certificação de raiz à lista de Autoridades de certificação de raiz fidedigna no browser do Internet Explorer.

Referências

Para obter informações adicionais sobre como utilizar certificados com o IIS 5.0, clique os números de artigo existente abaixo para visualizar os artigos na base de dados de conhecimento da Microsoft:
232136Como cópia anterior de um certificado de servidor no IIS 5.0
Resumo: Quando utiliza o IIS 5.0, poderá de cópias de segurança de certificados de servidor. Windows 2000 facilita este processo com o novo snap-in de certificados.

232137Como importar um certificado de servidor para utilização no Internet Information Services 5.0
Resumo: Quando utiliza o IIS versão 5.0, poderá restaurar um certificado de servidor (por exemplo, se estiver a migrar um Web site para outro servidor Web farm). Esta tarefa é muito fácil fazê-lo com o Assistente de certificados de Web sites e o Assistente para importar gestor de certificados incluído no Windows 2000 e o IIS 5.0.
248107Criar certificados de servidor com formulários Web de serviços de certificados
Resumo: Quando activar comunicações seguras, tais como SSL e segurança da camada de transporte (TLS, Transport Layer Security) num computador IIS 5.0, tem primeiro de obter um certificado de servidor. A integração de certificados no Windows 2000 e novas adições ao IIS 5.0 fornecem várias formas de obter um certificado de servidor.
227888Importar um ficheiro de cópia de segurança de chave para utilizar no Internet Information Services 5.0
Resumo: Depois de instalar o IIS 5.0, poderá importar um ficheiro chave cópia de segurança de uma versão mais antiga do Internet Information Server (IIS). Quando o fizer, pode utilizar as capacidades SSL no novo servidor (e substituir o antigo).
295298INFO: O IIS 5: o que verificar pendente pedidos?
Resumo: Este artigo descreve resumidamente o que acontece quando é submetida uma requisição de certificado ao Certificate Services 2.0 através da Web dos serviços de certificados páginas e o que acontece quando visualiza o pedido pendente nas páginas Web de serviços de certificados.
323470Como criar um directório de publicação do WebDAV seguro
Resumo: Este artigo passo a passo descreve como criar um seguro Web Distributed Authoring e Versioning (WebDAV) directório de publicação.
313071Como configurar listas fidedignas de certificados no IIS 5.0
Resumo: Este artigo passo a passo descreve como criar e configurar listas fidedignas de certificados (CTL, Certificate Trust List), utilizando o Assistente de lista fidedigna de certificados no IIS versão 5.0.

Propriedades

Artigo: 290625 - Última revisão: 21 de novembro de 2006 - Revisão: 2.3
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Services 5.0
  • Microsoft Certificate Services 2.0
Palavras-chave: 
kbmt kbhowto kbhowtomaster KB290625 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 290625
Exclusão de Responsabilidade para Conteúdo sem Suporte na KB
Este artigo foi escrito sobre produtos para os quais a Microsoft já não fornece suporte. Por conseguinte, este artigo é oferecido "tal como está" e deixará de ser actualizado.

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com