Jak implementovat protokol SSL ve službě IIS

Překlady článku Překlady článku
ID článku: 299875 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Internet otevřel nových způsobů organizace vzájemně komunikovat a to interně i externě. Lepší komunikaci mezi zaměstnanci, dodavateli a zákazníky umožňuje organizaci vyjmout náklady na uvedení produktů na trh rychleji a vytvořit silnější vztahů se zákazníky. Toto zlepšení komunikace vyžaduje--občas--přenosu citlivých informací přes Internet a intranet. Proto bude nezbytné mít možnost provádět nepadělatelné, soukromé komunikace s známé strany. Chcete-li to vyvolat organizace můžete vytvořit zabezpečenou infrastrukturu založené na kryptografii veřejného klíče pomocí digitálních certifikátů pomocí technologií, jako například protokol SSL (protokol SSL (Secure Sockets Layer)). Tento podrobný článek popisuje nastavení protokolu SSL v počítači informační služby (IIS).


Požadavky

Následující položky popisují doporučený hardware, software, síťovou infrastrukturu, dovednosti a knowledge a aktualizace service Pack, které budete potřebovat:
  • Systém Windows 2000 Server, Advanced Server nebo Professional, s Internetová informační služba (IIS) verze 5.0 a Microsoft Certificate Server verze 2.0 nainstalován a nakonfigurován.
  • Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition, Windows Server 2003 Datacenter Edition nebo počítače se systémem Windows Server 2003 Web Edition s Internetová informační služba (IIS) 6.0 a služba Certificate Services nainstalována a nakonfigurována.
Pokud počítač, který je hostitelem certifikační Server není v počítači se službou IIS, je nutné platné síťové či internetové připojení k serveru, který je hostitelem certifikační Server.


Vytvoření žádosti o certifikát

Webový server musí nejprve zkontrolujte žádost o certifikát. Chcete-li to provést, postupujte takto:
  1. Spustíte Internet Service Manager (ISM), který načte modulu snap-in Internet Information Server pro konzolu MMC (konzola Microsoft Management Console). Chcete-li to provést, klepněte na tlačítko Spustit, přejděte na příkaz Programy, přejděte na příkaz Nástroje pro správua klepněte na tlačítko Správce služeb sítě Internet nebo Internetová informační služba (IIS) Manager.
  2. Poklepejte na název serveru, abyste viděli všechny webové servery. Ve službě IIS 6.0 rozbalení Webové servery.
  3. Klepněte pravým tlačítkem myši na webový server, na kterém chcete certifikát nainstalovat a klepněte na tlačítko Vlastnosti.
  4. Klepněte Zabezpečení adresáře a potom na kartu Certifikát serveru ve skupinovém rámečku Zabezpečená komunikace spustíte Průvodce certifikátem webového serveru.
  5. Ve službě IIS 6.0 klepněte na tlačítko Další. Pokud používáte službu IIS 5.0, přejděte ke kroku 6.
  6. Vybrat Vytvořit nový certifikát a klepněte na tlačítko Další.
  7. Vybrat Připravit žádost nyní, ale odeslat ji později a klepněte na tlačítko Další.
  8. Zadejte název certifikátu. Můžete tak, aby odpovídal názvu certifikátu k názvu webového serveru. Nyní vyberte délky; Bitová délka vyšší, tím silnější šifrovací certifikát. Vybrat Server Gated Cryptography Pokud se uživatelé mohou být pocházejících ze zemí s omezeními šifrování.
  9. Zadejte název organizace a organizační jednotky (například MyWeb a oddělení vývoje). Klepněte na tlačítko Další.
  10. Zadejte běžný název plně kvalifikovaný název domény (FQDN) nebo název serveru. Chcete-li vytvořit certifikát, který bude použit v síti Internet, je vhodnější použít úplný název domény (například www.MyWeb.com). Klepněte na tlačítko Další.
  11. Zadejte informace o umístění a klepněte na tlačítko Další.
  12. Zadejte cestu a název uložit informace certifikátu, a klepněte na tlačítko Další pokračujte.

    Poznámka: Pokud zadáte cokoli jiného než výchozího umístění a název souboru, nezapomeňte Poznámka: název a umístění, můžete zvolit, protože nemáte přístup k tomuto souboru v dalších krocích.
  13. Informace, které jste zadali a potom klepněte na tlačítko ověřit Další k dokončení procesu a vytvořit žádost o certifikát.

Odeslání žádosti o certifikát

Žádost o certifikát, který jste právě vytvořili potřebám předkládané k certifikačním úřadem (CÚ). Může se jednat o server s Certificate Server 2.0, která je nainstalována v nebo certifikačního úřadu online, jako je například společnost VeriSign. Obraťte se na poskytovatele certifikátu podle vašeho výběru a určit nejlepší úroveň certifikátu pro vaše potřeby. Existují různé způsoby podání žádosti. Obraťte se na certifikační úřad podle vašeho výběru požaduje a obdrží certifikát. Můžete vytvořit svůj vlastní certifikát s Certificate Server 2.0, ale klienti implicitně důvěřují je jako certifikační úřad. Následující kroky předpokládají, že používáte Certificate Server 2.0 jako zprostředkovatel certifikátů.

Poznámka: Průvodce certifikátem služby IIS rozpozná pouze šablonu výchozího webového serveru. Vyberete-li Online certifikačního úřadu rozlehlé sítě, úřad není uveden Pokud CÚ používá výchozí Server WWW šablony.
  1. Otevřete prohlížeč a přejděte na příkaz http://YourWebServerName/ CertSrv /.
  2. Služba IIS 5.0 vyberte Žádost o certifikát a klepněte na tlačítko Další. Ve službě IIS 6.0 klepněte na tlačítko Žádost o certifikát.
  3. Služba IIS 5.0 vyberte Rozšířené žádosti o a klepněte na tlačítko Další. Ve službě IIS 6.0 klepněte na tlačítko Upřesnit žádost o certifikát.
  4. Služba IIS 5.0 vyberte Předložit žádost o certifikát pomocí s kódováním Base64 a klepněte na tlačítko Další. Ve službě IIS 6.0 klepněte na tlačítko Odeslat žádost o certifikát pomocí-base64 CMC nebo PKCS č. 10 souboru nebo odeslat žádost o obnovení certifikátu pomocí souboru PKCS # 7 s kódováním base-64.
  5. V programu Poznámkový blok otevřete žádost dokumentu, který jste vytvořili v části "Vytvořit žádost o certifikát". Ve službě IIS 6.0 můžete také klepnout Vyhledat vkládaný soubor.
  6. Zkopírujte obsah dokumentu. Obsah by měl vypadat takto:
    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIICcjCCAhwCAQAwYjETMBEGA1UEAxMKcm9ic3NlcnZlcjELMAkGA1UECxMCTVMx
    CzAJBgNVBAoTAk1TMREwDwYDVQQHEwhCZWxsZXZ1ZTERMA8GA1UECBMIV2FzaGl0
    b24xCzAJBgNVBAYTAlVTMFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBALYK4sYDNQ7h
    LmSfL0qpIvUfY7Ddw7fNCvDp3rM7z4QqoLhA2c8TkyamqWTBsV0WRHIidf/J6mU4
    wN4wrUzJTLUCAwEAAaCCAVMwGgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMDUG
    CisGAQQBgjcCAQ4xJzAlMA4GA1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEF
    BQcDATCB/QYKKwYBBAGCNw0CAjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0
    ACAAUgBTAEEAIABTAEMAaABhAG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBw
    AGgAaQBjACAAUAByAG8AdgBpAGQAZQByA4GJAGKa0jzBn8fkxScrWsdnU2eUJOMU
    K5Ms87Q+fjP1/pWN3PJnH7x8MBc5isFCjww6YnIjD8c3OfYfjkmWc048ZuGoH7Zo
    D6YNfv/SfAvQmr90eGmKOFFiTD+hl1hM08gu2oxFU7mCvfTQ/2IbXP7KYFGEqaJ6
    wn0Z5yLOByPqblQZAAAAAAAAAAAwDQYJKoZIhvcNAQEFBQADQQCgRCWkaXlY2nVa
    tbn6p5miPwWfrbViYo0B62wkuH0f7J0nSGcxMnn/6Q/iLEIsgHqFhox5PWCzIV0J
    tXKPWrBL
    -----END NEW CERTIFICATE REQUEST-------
    					
    Poznámka: Pokud dokument uložíte výchozí název a umístění, se nachází v C:\Certreq.txt.

    Poznámka: Nezapomeňte zkopírovat celý obsah stejně, jak je uvedeno.

  7. Vložit obsah dokumentu do webového formuláře Požadavek certifikátu s kódováním base64 textové pole.
  8. Ve skupinovém rámečku Šablona certifikátu, vyberte Webový Server nebo Uživatela klepněte na tlačítko Odeslat.
  9. Pokud Certifikát serveru je nastavena na hodnotu Vždy vystavit certifikát, dostanete certifikát okamžitě. Chcete-li to provést, postupujte takto:
    1. Klepněte na tlačítko Stáhnout certifikát CÚ (neklepejte na tlačítko Stáhnout certifikát CÚ cesta nebo Stáhnout řetěz certifikátu).
    2. Pokud budete vyzváni, vyberte Uložit tento soubor na disk a uložte certifikát na ploše nebo v jiném umístění, které bude pamatovat. Můžete nyní přejít přímo na "certifikát nainstalovat a nastavit webový server s SSL" části.

Vydávání a stáhnout certifikát

Chcete-li vydat certifikát v certifikačním serverem, postupujte takto:
  1. Otevřete modul snap-in konzoly MMC certifikačního úřadu. Chcete-li to provést, klepněte na tlačítko Spustit, přejděte na příkaz Programy, přejděte na příkaz Nástroje pro správua klepněte na tlačítko Certifikační úřad.
  2. Služba IIS 5.0 rozbalení Certifikační úřad a klepněte Žádosti čekající na vyřízení složka. V žádosti o certifikát čekající na vyřízení, zobrazí se v pravém podokně. Ve službě IIS 6.0 rozbalte název serveru.
  3. Klepněte pravým tlačítkem na žádosti čekající na certifikát, který jste právě odeslali, vyberte Všechny úkolya klepněte na tlačítko Problém.

    Poznámka: Po výběru Problém, certifikát již zobrazena v tomto okně a složky. Nyní je umístěn ve složce vydaných certifikátů.
  4. Po vydání (a oprávnění) certifikát, můžete vrátit k rozhraní webové servery certifikát vybrat a stáhnout certifikát. Chcete-li to provést, postupujte takto:
    1. Procházet http://YourWebServerName/ CertSrv /.
    2. Na stránce výchozí výběr Zkontrolovat certifikát čekající na vyřízení a klepněte na tlačítko Další. Ve službě IIS 6.0 klepněte na tlačítko Zobrazit stav žádosti čekající na certifikát.
    3. Vyberte certifikát čekající na vyřízení, klepněte na tlačítko Další Přejít na stránku pro stahování.
    4. Na stránce pro stažení klepněte na tlačítko Stáhnout certifikát CÚ (neklepejte na tlačítko Stáhnout certifikát CÚ cesta nebo Stáhnout řetěz certifikátu).
    5. Pokud budete vyzváni, vyberte Uložit tento soubor na disk a uložte certifikát na ploše nebo v jiném umístění, které bude pamatovat.

Certifikát nainstalovat a nastavit SSL webového serveru

Chcete-li nainstalovat certifikát, postupujte takto:
  1. Otevřete Správce služeb sítě Internet a rozbalte název serveru, takže můžete zobrazit webové servery.
  2. Klepněte pravým tlačítkem myši na webový server, pro kterou jste vytvořili požadavek na certifikát a klepněte na tlačítko Vlastnosti.
  3. Klepněte Zabezpečení adresáře kartu pod Zabezpečená komunikace, klepněte na tlačítko Certifikát serveru. Spustí se Průvodce instalací certifikátu. Klepněte na tlačítko Další pokračujte.
  4. Vybrat Zpracovat žádost čekající na vyřízení a nainstalovat certifikát a klepněte na tlačítko Další.
  5. Zadejte umístění certifikátu, který jste stáhli v části "Problém a stažení certifikátu" a klepněte na tlačítko Další. Průvodce zobrazí souhrn certifikátu. Ověřte, zda je informace opravit, klepněte na tlačítko Další pokračujte.
  6. Klepněte na tlačítko Dokončit k dokončení procesu.

Konfiguraci a testování certifikátu

Chcete-li konfiguraci a testování certifikát, postupujte takto:
  1. V Zabezpečení adresáře ve skupině Zabezpečená komunikace, Všimněte si, že nyní existují tři možnosti k dispozici. Chcete-li na webu vyžaduje zabezpečené připojení, klepněte na tlačítko Upravit. Na Zabezpečená komunikace Zobrazí se dialogové okno.
  2. Vybrat Vyžadovat zabezpečený kanál (SSL) a klepněte na tlačítko OK.
  3. Klepněte na tlačítko Použít a pak OK Zavřete okno vlastností.
  4. Přejděte na web a ověřte, zda funguje. Chcete-li to provést, postupujte takto:
    1. Přístup k webu prostřednictvím protokolu HTTP zadáním http://localhost/Postinfo.HTML v prohlížeči. Zobrazí se chybová zpráva podobná následující:
      HTTP 403.4 – zakázáno: Vyžadován protokol SSL.
    2. Zkuste přejít na stejné webové stránce pomocí příkazu zabezpečené připojení (HTTPS) https://localhost/postinfo.HTML v prohlížeči. Zobrazí se upozornění zabezpečení, která uvádí, že certifikát není z důvěryhodného kořenového certifikačního úřadu. Klepněte na tlačítko Ano pokračovat na webovou stránku. Pokud se zobrazí na stránce, úspěšně jste nainstalovali certifikát.

Poradce při potížích

  • Protokol SSL zpomaluje výkon mezi servery HTTP a prohlížečů. Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
    150031Vytvoří protokol SSL nároky na výkon prohlížeče
  • Při použití aplikace Microsoft Visual InterDev verze 6.0 Autor webových serverů pomocí protokolu SSL, existuje několik problémy a omezení.Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
    238662Pomocí aplikace Visual InterDev a protokol SSL (Secure Sockets Layer)
  • Tento článek popisuje pouze certifikáty serveru. Certifikát serveru umožňuje uživatelům ověřit identitu serveru, platnost obsahu stránek WWW a navázat zabezpečené připojení. Pokud hodláte ověřování uživatelů, kteří přejdou na web, můžete zvážit použití certifikátů klientů. Typický klientský certifikát obsahuje několik informací: identitu uživatele, identitu certifikačního úřadu, veřejný klíč používaný pro zabezpečení komunikace a ověřovací informace, jako například datum vypršení platnosti a sériové číslo.

ODKAZY

Další informace získáte klepnutím na tlačítko naleznete v následujících článcích znalostní báze společnosti Microsoft:
228991Vytvoření a instalaci certifikátu SSL v Internet Information Server 4.0
257591 Popis metody handshake SSL (protokol SSL (Secure Sockets Layer))
299525 Jak nastavit pomocí služby IIS 5.0 a Server 2.0 certifikátu SSL
298805 Jak povolit protokol SSL pro všechny zákazníky, kteří pracovat na webu Internetová informační služba
Další informace naleznete na následujícím webu Microsoft Developer Network (MSDN):
http://msdn2.microsoft.com/en-us/library/aa302412.aspx

Vlastnosti

ID článku: 299875 - Poslední aktualizace: 12. května 2011 - Revize: 5.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Internet Information Services 6.0 na těchto platformách
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Klíčová slova: 
kbhowto kbmt KB299875 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:299875

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com