Como configurar SSL em um ambiente de teste do Windows 2000 IIS 5.0 com o Certificate Server 2.0

Traduções deste artigo Traduções deste artigo
ID do artigo: 290625 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo passo a passo descreve como definir backup SSL (Secure Sockets Layer) em um ambiente de laboratório de desenvolvimento do Windows 2000 Internet Information Services (IIS) 5.0. Microsoft Certificate Server 2.0 pode criar vários certificados diferentes; este artigo aborda apenas a criação de um certificado da Web padrão.

Criar uma solicitação de certificado

Para criar um certificado de servidor Web, siga estas etapas:
  1. Abra o Gerenciador de serviços de Internet Microsoft Management Console (MMC). Para fazer isso, clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em Gerenciador de serviços de Internet .
  2. Clique duas vezes no nome do servidor para que você veja todos os sites.
  3. Clique com o botão direito do mouse no site onde você deseja instalar o certificado e, em seguida, clique em Propriedades .
  4. Clique na guia Segurança de diretório .

    Você verá três métodos de segurança. Que você usará para criar uma solicitação de certificado é Comunicações de segurança .
  5. Clique em certificado do servidor . O Assistente de certificado é iniciado. Clique em Avançar para continuar.
  6. Selecione criar um novo certificado e em seguida, clique em Avançar .
  7. Selecione preparar a solicitação agora, mas enviá-la posteriormente e, em seguida, clique em Avançar .
  8. Digite um nome para o seu certificado e, em seguida, selecione um comprimento de bit. A menos que ele é necessário para o laboratório, não marque a caixa de seleção de Certificado SGC . (Para obter mais informações sobre certificados SGC, consulte a Observação no final desta seção.) Clique em Avançar para continuar.
  9. Digite seu nome de organização e a unidade organizacional (por exemplo, nome e o desenvolvimento departamento empresa). Clique em Avançar .
  10. Nome comum , digite o nome de domínio totalmente qualificado (FQDN) ou o nome do servidor. Se você estiver criando um certificado que será usado pela Internet, é melhor usar um FQDN. Clique em Avançar .
  11. Digite suas informações de local e em seguida, clique em Avançar .
  12. Digite o nome caminho e o arquivo onde você deseja salvar as informações do certificado e, em seguida, clique em Avançar .

    Observação: Se você digitar algo diferente do local padrão e nome de arquivo, certifique-se observar o nome e local que você selecionar, pois você deve acessar esse arquivo em etapas posteriores.
  13. Verifique as informações que você digitou e clique em Avançar para concluir o processo e criar a solicitação de certificado.
  14. Na caixa de diálogo Concluindo o Assistente de certificado Web Server , clique em Concluir .
  15. Clique em OK para fechar as propriedades de site.
Observações: Os certificados de servidor Gated Cryptography (SGC) são usados com mais freqüência por instituições financeiras que exigem conexões de alta criptografia mesmo quando a conexão com usuários internacionais ou navegadores que limitam-se a criptografia de 40 bits. Ao conectar-se para um navegador internacional (40 bits), um certificado SGC cria um encapsulamento de 128 bits para permitir que o nível de criptografia de 128 bits. Quando a conexão segura ou uma sessão termina, o encapsulamento de certificado intermediário é fechado.

Além disso, o certificado SGC é estritamente específicas de domínio. Normalmente, se o nome de domínio de um certificado não coincidir com o domínio do site do, você receberá um aviso indicando esse fato e você pode optar por continuar ou não. Um certificado SGC não lhe dá um aviso ou oferecem opções. A conexão é sem êxito, mas você não receber uma explicação.

Enviar uma solicitação de certificado

Para enviar uma solicitação de certificado, execute estas etapas:
  1. Abra um navegador e, em seguida, abra http:// YourWebServerName YourWebServerName/certsrv /.
  2. Selecione Solicitar um certificado e, em seguida, clique em Avançar .
  3. Selecione a Solicitação avançada e em seguida, clique em Avançar .
  4. Selecione a opção centro, Enviar uma solicitação de certificado usando um Base64 e em seguida, clique em Avançar .
  5. No bloco de notas, abra o documento solicitação que você criou na primeira seção de procedimento, "Criar uma solicitação de certificado".
  6. Copie o conteúdo do documento.

    O conteúdo fique semelhante à seguinte:
    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIICcjCCAhwCAQAwYjETMBEGA1UEAxMKcm9ic3NlcnZlcjELMAkGA1UECxMCTVMx
    CzAJBgNVBAoTAk1TMREwDwYDVQQHEwhCZWxsZXZ1ZTERMA8GA1UECBMIV2FzaGl0
    b24xCzAJBgNVBAYTAlVTMFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBALYK4sYDNQ7h
    LmSfL0qpIvUfY7Ddw7fNCvDp3rM7z4QqoLhA2c8TkyamqWTBsV0WRHIidf/J6mU4
    wN4wrUzJTLUCAwEAAaCCAVMwGgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMDUG
    CisGAQQBgjcCAQ4xJzAlMA4GA1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEF
    BQcDATCB/QYKKwYBBAGCNw0CAjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0
    ACAAUgBTAEEAIABTAEMAaABhAG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBw
    AGgAaQBjACAAUAByAG8AdgBpAGQAZQByA4GJAGKa0jzBn8fkxScrWsdnU2eUJOMU
    K5Ms87Q+fjP1/pWN3PJnH7x8MBc5isFCjww6YnIjD8c3OfYfjkmWc048ZuGoH7Zo
    D6YNfv/SfAvQmr90eGmKOFFiTD+hl1hM08gu2oxFU7mCvfTQ/2IbXP7KYFGEqaJ6
    wn0Z5yLOByPqblQZAAAAAAAAAAAwDQYJKoZIhvcNAQEFBQADQQCgRCWkaXlY2nVa
    tbn6p5miPwWfrbViYo0B62wkuH0f7J0nSGcxMnn/6Q/iLEIsgHqFhox5PWCzIV0J
    tXKPWrBL
    -----END NEW CERTIFICATE REQUEST-------
    						
    Observação: se você salvar o documento com o nome padrão e o local, está localizado em C:\Certreq.txt.

    Observação: Certifique-se de que você copie todo o conteúdo apenas como mostrado aqui.
  7. Cole o conteúdo do documento na caixa de texto Base64 certificado codificado solicitação de formulário da Web. Clique em Enviar .
  8. Se Certificate Server é definido como Sempre emitir o certificado , você será direcionado para a página Certificado emitido imediatamente. Lê a barra de endereços:
    http:// YourWebServerName /certsrv/certfnsh.asp
    Nesta página, você pode baixar o certificado de servidor da Web imediatamente. Para fazer isso, execute essas etapas na página Certificado emitido :

    1. Clique no link superior, Certificado de autoridade de certificação download (não clique em caminho do certificado de autoridade de certificação download ).
    2. Quando você for solicitado, selecione Salvar este arquivo em disco e salvar o certificado para sua área de trabalho ou outro local do qual irá se lembrar.
    3. Agora, vá direto para a seção "Instalar o certificado".
  9. Se Certificate Server é definido para definir o status da solicitação de certificado como pendente , você receberá a seguinte mensagem de "Certificado pendente":
    Certificate Pending.
    Your certificate request has been received. However, you must wait for an administrator to issue the certificate you requested. 
    Please return to this web site in a day or two to retrieve your certificate.
    Note: You must return with this web browser within 10 days to retrieve your certificate.
    						
    para continuar, passar para a seção "Emitir um certificado".
Observação: Para obter mais informações sobre como configurar diretivas de emissão de certificado, consulte o Apêndice a.

Emitir um certificado

A questão (ou seja, autorizar) um certificado no servidor de certificado, execute estas etapas:
  1. Abra a autoridade de certificação snap-in do MMC (Console de gerenciamento da Microsoft). Para fazer isso, clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em Autoridade de certificação .
  2. Expanda a autoridade de certificação .
  3. Clique na pasta Solicitações pendentes . Suas solicitações de certificado pendente aparecem no painel direito.
  4. Clique com o botão direito a solicitação de certificado pendente (ou seja, a solicitação que você enviou no terceiro procedimento neste artigo), selecione Todas as tarefas e, em seguida, clique em questão .

    Observação : após você selecionar o problema , o certificado não será exibido nesta janela e a pasta. Agora ele reside na pasta certificados emitidos. Observação: para obter mais informações sobre como configurar diretivas de emissão de certificado, consulte o Apêndice a.

Baixar um certificado

Após você ter emitido e autorizado o certificado, você pode retornar para a interface da Web de servidor de certificados para selecionar e baixar o certificado:
  1. Abra http:// YourWebServerName YourWebServerName/certsrv /. Observação : você deve usar letras minúsculas quando digitar certsrv . Se você não fizer isso, não é possível ver solicitações pendentes.

  2. Na página padrão, selecione Verificar um certificado pendente e, em seguida, clique em Avançar . Observação : se você selecionar recuperar um certificado de autoridade de certificação de ou lista de certificados revogados da página de boas-vindas padrão, você irá baixar o certificado de autoridade de certificação raiz e não o certificado de servidor Web. Se você tentar instalar um certificado de autoridade de certificação raiz em um site da Web, você receberá a seguinte mensagem de erro:
    Certificado selecionado já foi instalado para outro servidor. Escolha outro arquivo de resposta.
  3. Selecione o certificado pendente e clique em Avançar para abrir a página de download.
  4. Na página de download, clique no hiperlink superior, Certificado de autoridade de certificação download (não clique em caminho de download certificados de autoridade de certificação).
  5. Quando você for solicitado, selecione Salvar este arquivo em disco e salvar o certificado para sua área de trabalho ou outro local do qual irá se lembrar.
Você tiver emitido e baixado seu certificado.

A próxima etapa é instalar o certificado e configurar um site criptografado por SSL.

Instalar o certificado

Para instalar e configurar um certificado SSL de várias maneiras: por exemplo, você pode duas vezes no certificado e use o Assistente para instalação de certificados para pré-instalar o certificado e vinculá-lo para o site. Este artigo descreve como instalar o certificado usando o MMC Gerenciador de serviços de Internet por meio do Web Server Certificate Wizard.

Para instalar um certificado no servidor de certificado, execute essas etapas:
  1. Abra o Gerenciador de serviços de Internet e, em seguida, expanda o nome do servidor para que você pode exibir os sites.
  2. Clique com o botão direito do mouse o site que você criou a solicitação de certificado para e, em seguida, clique em Propriedades .
  3. Clique na guia Segurança de diretório . Em Comunicações de segurança , clique em Certificado do servidor .

    Isso abre o Assistente para instalação de certificados. Clique em Avançar para continuar.
  4. Selecione processar a solicitação pendente e instalar o certificado e em seguida, clique em Avançar .
  5. Digite o local do certificado que você baixou na seção "Baixar um certificado" e, em seguida, clique em Avançar .
  6. Quando o assistente exibe o resumo do certificado, verifique se as informações estão corretas e clique em Avançar para continuar.
  7. Clique em Concluir para concluir o processo.

Configurar e testar o certificado

Para configurar e testar o certificado, execute essas etapas:
  1. Na guia Directory Security , em Comunicações de segurança , observe que agora você tem três opções disponíveis. Para definir o site para exigir conexões seguras, clique em Editar . A caixa de diálogo Comunicações de segurança será exibida.
  2. Selecione Exigir canal de segurança (SSL) e, em seguida, clique em OK .
  3. Clique em Aplicar e em seguida OK para fechar a janela Propriedades.
  4. Localize o site e verificar se ele funciona:
    1. Acesse o site por meio de http digitando http://localhost/Postinfo.html no navegador. Você receber uma mensagem de erro semelhante à seguinte:
      HTTP 403.4 - Proibido: SSL necessário.
    2. Tente acessar a mesma página da Web com uma conexão segura (https) digitando https://localhost/postinfo.html no navegador. Observação: PostInfo.html A página é uma página HTML padrão que é encontrada na raiz do site da Web padrão.

    3. Se você receber uma mensagem de segurança informando que o certificado não é de uma autoridade de certificação raiz confiável, clique em Sim para continuar a página da Web.

      Observação : para saber como adicionar sua autoridade de certificação raiz à lista de Autoridades de certificação raiz confiáveis em seu navegador, consulte o Apêndice B.
Se você pode exibir a página, você instalou com êxito o certificado.

Apêndice A: como alterar diretivas de emissão de certificados

Você pode selecionar se você desejar emitir um certificado de solicitação (autorização) ou se deseja que todas as solicitações para ser enviado para pre-authorization por meio de autoridade de certificação snap-in. Para fazer isso, execute as seguintes etapas:
  1. Abra a ferramenta de autoridade de certificação. Para fazer isso, clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em Autoridade de certificação .
  2. Clique com o botão direito do mouse seu nome de autoridade de certificação e, em seguida, clique em Propriedades .
  3. Na janela Properties, clique na guia Módulo de diretiva e, em seguida, clique em Configurar .
  4. Na guia Ação padrão , selecione um destes procedimentos:
    • definir o status da solicitação de certificado como pendente : O administrador deve emitir explicitamente o certificado.
    • Sempre emitir o certificado : isso emite o certificado imediatamente, com nenhuma autorização necessária. Observação : se um certificado é reconhecido na rede, selecione a segunda opção.

Apêndice B: instalar um certificado de autoridade de certificação raiz na lista de autoridade de certificação raiz confiável no Internet Explorer 5. x

Você pode fornecer o certificado de autoridade de certificação raiz a usuários do site da Web de várias maneiras. Uma maneira é enviá-lo e fazer os usuários instalá-lo do email. Outra maneira é incluir uma página de download no site da Web com um link para o certificado. Uma solução de toda a empresa é usar o Internet Explorer Administration Kit (IEAK) para envio de um cliente Internet Explorer com o certificado raiz da autoridade de certificação já instalado na lista de Autoridades de certificação raiz confiáveis . No entanto, você disponibiliza o certificado, uma coisa permanece o mesmo: a maneira de você instalar o certificado na lista de Autoridades de certificação raiz confiáveis no Internet Explorer, como demonstra a neste apêndice.

Observação: O certificado deve ser instalado para o Internet Explorer confiar que seu certificado de site não é o certificado que você criou, mas em vez disso, o certificado de autoridade de certificação raiz, que foi criado quando você instalou o Certificate Server.

Para fins deste documento, baixar o certificado usando a interface Da Web de servidores de certificados , que está localizada em http:// <YourServerName> /certsrv /. Depois que você chegou a página de boas-vindas, selecione a recuperar um certificado de autoridade de certificação de ou lista de certificados revogados e, em seguida, clique em Avançar .

Você agora tem duas opções:
  • instalar este caminho de certificação da autoridade de certificação . Se você estiver instalando o certificado de autoridade de certificação raiz para o navegador que você está conectado com, clique no link instalar este caminho de certificação de autoridade de certificação e o certificado de autoridade de certificação raiz é instalado automaticamente na lista de Autoridades de certificação raiz confiáveis no seu navegador Internet Explorer.

    Após a instalação for concluída, você recebe uma página de confirmação. - ou -

  • baixar o certificado de autoridade de certificação . Se você deve instalar o certificado de autoridade de certificação raiz na lista de autoridades de certificação raiz em qualquer outro navegador Internet Explorer, poderá baixá-lo e instalá-lo da seguinte maneira:
    1. Clique em baixar o certificado de autoridade de certificação .
    2. Selecione Salvar o arquivo em disco .
    3. Acesse o local onde você salvou o certificado de autoridade de certificação raiz e, em seguida, clique duas vezes o certificado para abrir a janela de propriedades para esse certificado.
    4. Clique em Instalar certificado para iniciar o Assistente para importação de certificados. Clique em Avançar para continuar.
    5. Selecione colocar todos os certificados no armazenamento a seguir .
    6. Clique em Procurar , selecione Autoridades de certificação raiz confiáveis e em seguida, clique em Avançar .
    7. Verificar as configurações e, em seguida, clique em Concluir .

      Você receber a seguinte mensagem:
      A importação obteve êxito.
    8. Clique em OK para fechar esta mensagem e, em seguida, clique em OK para fechar a janela Propriedades.
    Para ver se você receber a raiz confiável aviso de autoridade de certificação novamente, feche e reabra seu navegador e abra o seguinte site:
    https:// <MySecureWebsite> /Postinfo.html
    Observação : PostInfo.html A página é uma página HTML padrão que é encontrada na raiz do site da Web padrão.

    Se você pode abrir este site, você tiver adicionado com êxito sua autoridade de certificação raiz à lista de Autoridades de certificação raiz confiáveis em seu navegador Internet Explorer.

Referências

Para obter informações adicionais sobre como usar certificados com o IIS 5.0, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
232136Como fazer backup de um certificado de servidor no IIS 5.0
Resumo: Quando você usa o IIS 5.0, convém fazer backup de seus certificados de servidor. Windows 2000 torna esse processo fácil com o novo snap-in de certificados.

232137Como importar um certificado de servidor para uso em Internet Information Services 5.0
Resumo: Quando você usa o IIS versão 5.0, convém restaurar um certificado de servidor (por exemplo, se você estiver migrando um site para outro servidor em um Web farm). Essa tarefa é muito fácil de fazer com o Assistente de certificado do site da Web e o Assistente para importação do Gerenciador de certificados que acompanha o Windows 2000 e o IIS 5.0.
248107Criar certificados de servidor usando serviços de certificados Web Forms
Resumo: Quando você ativa comunicações seguras, como SSL e TLS (Transport Layer Security) em um computador com IIS 5.0, você deve primeiro obter um certificado de servidor. A integração de certificados no Windows 2000 e os novos acréscimos ao IIS 5.0 oferecem várias maneiras de obter um certificado de servidor.
227888Importar um arquivo de backup da chave para usar no Internet Information Services 5.0
Resumo: Depois de instalar o IIS 5.0, talvez queira importar um arquivo de chave backup de uma versão mais antiga do Internet Information Server (IIS). Quando você fizer isso, você pode usar os recursos SSL em seu novo servidor (e substituir o antigo).
295298INFO: IIS 5: o que verificar pendente solicitações?
Resumo: Este artigo descreve brevemente o que ocorre quando uma solicitação de certificado é enviada para Certificate Services 2.0 por meio de serviços de certificado páginas e o que ocorre quando você exibe sua solicitação pendente nas páginas da Web de serviços de certificados.
323470Como criar uma Secure WebDAV Publishing Directory
Resumo: Este artigo passo a passo descreve como criar um diretório de publicação WebDAV e seguro Web Distributed Authoring.
313071Como configurar listas de certificados confiáveis no Internet Information Services 5.0
Resumo: Este artigo passo a passo descreve como criar e configurar listas de certificados confiáveis (CTLs) usando o Assistente para lista de confiar em certificados no IIS versão 5.0.

Propriedades

ID do artigo: 290625 - Última revisão: terça-feira, 21 de novembro de 2006 - Revisão: 2.3
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Services 5.0
  • Microsoft Certificate Services 2.0
Palavras-chave: 
kbmt kbhowto kbhowtomaster KB290625 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 290625
Aviso de Isenção de Responsabilidade sobre Conteúdo do KB Aposentado
Este artigo trata de produtos para os quais a Microsoft não mais oferece suporte. Por esta razão, este artigo é oferecido "como está" e não será mais atualizado.

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com