HOW TO: Attivare SSL per tutti gli utenti che interagiscono con un sito Web

Traduzione articoli Traduzione articoli
Identificativo articolo: 298805 - Visualizza i prodotti a cui si riferisce l?articolo.
Questo articolo Ŕ stato precedentemente pubblicato con il codice di riferimento I298805
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo verranno trattati i seguenti argomenti:
  • Come installare e attivare i certificati server in modo che gli utenti abbiano la certezza della validitÓ del sito e che qualsiasi informazione immessa nel sito sarÓ trattata con la massima riservatezza e nel rispetto della privacy.
  • Come utilizzare certificati di terzi per attivare Secure Sockets Layer (SSL), oltre a una panoramica generale del processo impiegato per generare una richiesta di firma di certificato (CSR, Certificate Signing Request) utilizzata per ottenere un certificato di terzi.
  • Come attivare connessioni SSL per il sito Web.
  • Come applicare SSL a tutte le connessioni e impostare la lunghezza necessaria per la crittografia tra i client e il sito Web.
╚ possibile utilizzare le funzionalitÓ di protezione SSL del server Web per due tipi di autenticazione, ossia un certificato server per consentire agli utenti di autenticare il sito Web prima di trasmettere informazioni personali, come un numero di carta di credito, e i certificati client per autenticare gli utenti che richiedono informazioni sul sito Web.

In questo articolo si presume che per fornire l'autenticazione al sito Web verrÓ utilizzata un'AutoritÓ di certificazione (CA) indipendente.

Per attivare la verifica di certificati server SSL e per fornire il livello di protezione desiderato dagli utenti, Ŕ necessario ottenere un certificato da una CA indipendente. I certificati emessi da una CA indipendente per l'organizzazione sono in genere legati al server Web e, in particolare, al sito Web a cui viene associato SSL. ╚ possibile creare certificati personalizzati tramite il server che esegue Internet Information Services (IIS), tuttavia in questo caso gli utenti dovranno considerare attendibile come AutoritÓ di certificazione l'organizzazione proprietaria del sito.

In questo articolo si presumono le seguenti condizioni:
  • IIS Ŕ giÓ stato installato.
  • Il sito Web che si desidera proteggere con SSL Ŕ stato creato e pubblicato.

RICHIESTA DI UN CERTIFICATO

Per avviare il processo per ottenere un certificato, Ŕ necessario generare un CSR. Questa operazione viene eseguita tramite la console di gestione di IIS, pertanto Ŕ necessario che IIS sia installato prima di generare un CSR. Un CSR Ŕ essenzialmente un certificato generato sul server che convalida le informazioni specifiche del computer relative al server quando si richiede un certificato a una CA indipendente. CSR Ŕ semplicemente un messaggio di testo crittografato utilizzando una coppia di chiavi pubblica/privata.

In genere nel CSR generato sono incluse le seguenti informazioni sul computer in uso:
  • Organizzazione
  • UnitÓ organizzativa
  • Paese
  • Provincia
  • LocalitÓ
  • Nome comune NOTA: il nome comune Ŕ in genere formato dal nome del computer host e dal dominio a cui appartiene, quale xyz.com. In questo caso il computer fa parte del dominio .com ed Ŕ denominato XYZ. Pu˛ trattarsi del server principale del dominio aziendale o semplicemente di un sito Web.
GENERAZIONE DEL CSR

  1. Accedere a Microsoft Management Console (MMC) di IIS. Per eseguire questa operazione, fare doppio clic su Risorse del computer, quindi scegliere Gestisci. VerrÓ avviata la console di Gestione computer. Espandere la sezione Servizi e applicazioni. Individuare Internet Information Services ed espandere la console di IIS.
  2. Selezionare il sito Web nel quale si desidera installare un certificato server. Fare clic con il pulsante destro del mouse sul sito e scegliere ProprietÓ.
  3. Scegliere la scheda Protezione directory. Nella sezione Comunicazioni protette fare clic su Certificato server. VerrÓ avviata la Gestione guidata certificati server Web. Fare clic su Avanti.
  4. Selezionare Crea nuovo certificato, quindi scegliere Avanti.
  5. Selezionare Preparare la richiesta per l'invio posticipato e scegliere Avanti.
  6. Nel campo Nome immettere un nome facile da ricordare. VerrÓ visualizzato il nome predefinito corrispondente al sito Web per il quale si desidera generare il CSR. NOTA: quando si genera un CSR, occorre specificare una lunghezza in bit. La lunghezza di bit della chiave di crittografia determina la complessitÓ del certificato crittografato inviato alla CA indipendente. Maggiore Ŕ la lunghezza di bit, pi¨ complessa sarÓ la crittografia applicata. La maggiore parte delle CA indipendenti preferisce un minimo di 1024 bit.

  7. : quando si genera un CSR, occorre specificare una lunghezza in bit. La lunghezza di bit della chiave di crittografia determina la complessitÓ del certificato crittografato inviato alla CA indipendente. Maggiore Ŕ la lunghezza di bit, pi¨ complessa sarÓ la crittografia applicata. La maggiore parte delle CA indipendenti preferisce un minimo di 1024 bit. Nella sezione Informazioni organizzazione immettere le informazioni relative all'organizzazione e all'unitÓ organizzativa. Le informazioni devono essere precise perchÚ queste credenziali vengono presentate alla CA indipendente e sarÓ necessario osservare i termini per la concessione del certificato. Scegliere Avanti per accedere alla sezione Nome comune del sito.
  8. : quando si genera un CSR, occorre specificare una lunghezza in bit. La lunghezza di bit della chiave di crittografia determina la complessitÓ del certificato crittografato inviato alla CA indipendente. Maggiore Ŕ la lunghezza di bit, pi¨ complessa sarÓ la crittografia applicata. La maggiore parte delle CA indipendenti preferisce un minimo di 1024 bit. La sezione Nome comune del sito viene utilizzata per associare il certificato al sito Web. Per i certificati SSL immettere il nome del computer host e il nome del dominio. Per i server della rete Intranet Ŕ possibile utilizzare il nome NetBIOS del computer che contiene il sito. Scegliere Avanti per accedere alle informazioni geografiche.
  9. : quando si genera un CSR, occorre specificare una lunghezza in bit. La lunghezza di bit della chiave di crittografia determina la complessitÓ del certificato crittografato inviato alla CA indipendente. Maggiore Ŕ la lunghezza di bit, pi¨ complessa sarÓ la crittografia applicata. La maggiore parte delle CA indipendenti preferisce un minimo di 1024 bit. Immettere informazioni sul paese o sulla provincia. Indicare il paese o la provincia per esteso, evitando di utilizzare abbreviazioni. Fare clic su Avanti.
  10. : quando si genera un CSR, occorre specificare una lunghezza in bit. La lunghezza di bit della chiave di crittografia determina la complessitÓ del certificato crittografato inviato alla CA indipendente. Maggiore Ŕ la lunghezza di bit, pi¨ complessa sarÓ la crittografia applicata. La maggiore parte delle CA indipendenti preferisce un minimo di 1024 bit. Salvare il file in formato TXT. Quando si invia la richiesta alla CA, incollare il contenuto di questo file nella richiesta. Il file verrÓ crittografato e conterrÓ un'intestazione e un piŔ di pagina per il contenuto. Quando si richiede il certificato, includere l'intestazione e il pi¨ di pagina. Un CSR avrÓ un aspetto simile al seguente:
    -----BEGIN NEW CERTIFICATE REQUEST-----</B>
    MIIDATCCAmoCAQAwbDEOMAwGA1UEAxMFcGxhbjgxDDAKBgNVBAsTA1BTUzESMBAG
    A1UEChMJTWljcm9zb2Z0MRIwEAYDVQQHEwlDaGFybG90dGUxFzAVBgNVBAgTDk5v
    cnRoIENhcm9saW5hMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEFAAOBjQAw
    gYkCgYEAtW1koGfdt+EoJbKdxUZ+5vE7TF1ZuT+xaK9jEWHESfw11zoRKrHzHN0f
    IASnwg3vZ0ACteQy5SiWmFaJeJ4k7YaKUb6chZXG3GqL4YiSKFaLpJX+YRiKMtmI
    JzFzict5GVVGHsa1lY0BDYDO2XOAlstGlHCtENHOKpzdYdANRg0CAwEAAaCCAVMw
    GgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMDUGCisGAQQBgjcCAQ4xJzAlMA4G
    A1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEFBQcDATCB/QYKKwYBBAGCNw0C
    AjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0ACAAUgBTAEEAIABTAEMAaABh
    AG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBwAGgAaQBjACAAUAByAG8AdgBp
    AGQAZQByA4GJAGKa0jzBn8fkxScrWsdnU2eUJOMUK5Ms87Q+fjP1/pWN3PJnH7x8
    MBc5isFCjww6YnIjD8c3OfYfjkmWc048ZuGoH7ZoD6YNfv/SfAvQmr90eGmKOFFi
    TD+hl1hM08gu2oxFU7mCvfTQ/2IbXP7KYFGEqaJ6wn0Z5yLOByPqblQZAAAAAAAA
    AAAwDQYJKoZIhvcNAQEFBQADgYEAhpzNy+aMNHAmGUXQT6PKxWpaxDSjf4nBmo7o
    MhfC7CIvR0McCQ+CBwuLzD+UJxl+kjgb+qwcOUkGX2PCZ7tOWzcXWNmn/4YHQl0M
    GEXu0w67sVc2R9DlsHDNzeXLIOmjUl935qy1uoIR4V5C48YNsF4ejlgjeCFsbCoj
    Jb9/2RM=
    -----END NEW CERTIFICATE REQUEST-----</B>
  11. : quando si genera un CSR, occorre specificare una lunghezza in bit. La lunghezza di bit della chiave di crittografia determina la complessitÓ del certificato crittografato inviato alla CA indipendente. Maggiore Ŕ la lunghezza di bit, pi¨ complessa sarÓ la crittografia applicata. La maggiore parte delle CA indipendenti preferisce un minimo di 1024 bit. Confermare i dettagli della richiesta. Scegliere Avanti per completare la procedura e chiudere la Gestione guidata certificati server Web.

RICHIESTA DEL CERTIFICATO

Esistono vari metodi per l'inoltro della richiesta. Contattare il provider di certificati desiderato per richiedere e ricevere i certificati e per determinare il miglior livello di certificati per le proprie esigenze.

INSTALLAZIONE DEL CERTIFICATO

Dopo che la CA indipendente avrÓ completato la richiesta del certificato server, questo verrÓ inviato tramite posta elettronica o messo a disposizione su un sito per il download. Il certificato dovrÓ essere installato nel sito Web per il quale di desidera fornire connessioni protette.

Per installare il certificato, attenersi alla seguente procedura:
  1. La chiave pu˛ essere decrittografata solo con la chiave privata generata in precedenza. Copiare il testo della chiave del certificato, che avrÓ un aspetto molto simile alla chiave generata in precedenza, e incollarlo in un documento in formato TXT. Assicurarsi di includere l'intestazione e i piŔ di pagina del certificato. Salvare il file come Cert.txt.
  2. Aprire MMC di IIS come descritto nella sezione "Generazione del CSR".
  3. Accedere alla finestra di dialogo delle proprietÓ del sito Web nel quale si installerÓ il certificato.
  4. Fare clic sulla scheda Protezione directory e scegliere Certificato server. VerrÓ avviata la Gestione guidata certificati server Web. Fare clic su Avanti.
  5. Selezionare Elabora la richiesta in sospeso e installa il certificato, quindi scegliere Avanti.
  6. Individuare il file di testo salvato nel passaggio 1. Scegliere Avanti due volte, quindi scegliere Fine.

ATTIVAZIONE DI CONNESSIONI SSL

Dopo l'installazione del certificato server Ŕ possibile attivare comunicazioni SSL su canale protetto con i client del server Web. Per stabilire comunicazioni protette con il sito Web Ŕ innanzitutto necessario attivare la porta 443, attenendosi alla seguente procedura:
  1. Dalla console di Gestione computer fare clic con il pulsante destro del mouse sul sito Web al quale si desidera applicare SSL e scegliere ProprietÓ.
  2. Fare clic sulla scheda Sito Web. Nella sezione Identificazione sito Web verificare che nel campo Porta SSL sia presente il valore numerico 443.
  3. Fare clic su Avanzate. Verranno visualizzati due campi. Nel campo IdentitÓ multiple per questo sito Web dovrebbero essere giÓ presenti l'indirizzo IP e la porta del sito Web. Nel campo IdentitÓ SSL multiple per questo sito Web scegliere Aggiungi se la porta 443 non Ŕ giÓ elencata. Selezionare l'indirizzo IP del server e digitare il valore numerico 443 nel campo Porta SSL. Scegliere OK.
Una volta attivata la porta 443, sarÓ possibile impostare le connessioni SSL, attenendosi alla seguente procedura:
  1. Scegliere la scheda Protezione directory. Nella sezione Comunicazioni protette si noterÓ che Modifica ora Ŕ disponibile. Fare clic su Modifica.
  2. Selezionare Richiedi un canale protetto (SSL). NOTA: se si specifica la crittografia a 128 bit, i client che utilizzano browser con crittografia a 40 e 56 bit non saranno in grado di comunicare con il sito, se non aggiornando il livello di crittografia in uso.
  3. : se si specifica la crittografia a 128 bit, i client che utilizzano browser con crittografia a 40 e 56 bit non saranno in grado di comunicare con il sito, se non aggiornando il livello di crittografia in uso. Avviare il browser e provare a connettersi al server Web utilizzando il protocollo http:// standard. Se Ŕ attivato SSL, verrÓ visualizzato un messaggio di errore simile al seguente:
    La pagina deve essere visualizzata su un canale protetto.
    La pagina che si sta tentando di visualizzare richiede l'uso di "https" nell'indirizzo.

    Eseguire questa operazione: Riprovare aggiungendo https:// all'inizio dell'indirizzo che si tenta di raggiungere. HTTP 403.4 Accesso non consentito. SSL richiede Internet Information Services.
    Informazioni tecniche (per il personale di supporto). Descrizione: Questo errore indica che la pagina a cui si sta tentando di accedere Ŕ protetta con Secure Sockets Layer (SSL).
    Ora sarÓ possibile connettersi al sito Web solo utilizzando il protocollo https://.

ProprietÓ

Identificativo articolo: 298805 - Ultima modifica: venerdý 26 ottobre 2001 - Revisione: 1.0
Le informazioni in questo articolo si applicano a
  • Microsoft Internet Information Services 5.0
Chiavi:á
kbhowto kbhowtomaster KB298805
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com