JAK: Secure ASP.NET aplikací pomocí certifikátů na straně klienta

Překlady článku Překlady článku
ID článku: 315588 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Vysoce zabezpečené webové aplikace, jako například bankovní weby pro Internet můžete implementovat řešení pro ověřování uživatelů bezpečnější než kombinace uživatelského jména a hesla. Digitální certifikáty klienta můžete použít k ověření identity uživatele. Navíc můžete mapovat klienta digitálních certifikátů na účty systému Windows na serveru, pokud je to nutné.


Požadavky

Následující seznam obsahuje doporučený hardware, software, síťovou infrastrukturu a aktualizace service Pack, které potřebujete:
  • Server Microsoft Windows 2000 Service Pack 2
  • Aplikace Microsoft Internet Explorer 6.0
  • Microsoft Visual Studio.NET
  • Certifikační služba společnosti Microsoft (Pokud je nutné generovat vlastní certifikáty)
Tento článek předpokládá znalost těchto témat:
  • PROSTŘEDÍ ASP.NET vývoj jazyka Visual Basic nebo Visual C#
  • Konfigurace služby IIS (Internetová informační služba)

Vytvoření ASP.NET webové aplikace

V této části vytvoříte jednoduchý ASP.NET aplikací. V částech řídit použijete ověření certifikátu klienta pro zabezpečení této aplikace.
  1. Spusťte aplikaci Visual Studio.NET a pak vytvořte nové prostředí ASP.NET webové aplikace project s názvem SecureSite.
  2. Přetáhněte Popisek ovládací prvek z panelu nástrojů do WebForm1.aspx webové formuláře a nastavte jeho ID Vlastnost greetingLabel.
  3. Přetáhněte druhý Popisek řízení na WebForm1.aspx a nastavte jeho ID Vlastnost certDataLabel.
  4. Přidejte následující kód Page_Load procedura události:
    'Visual Basic
    Dim username As String
    userName = User.Identity.Name
    greetingLabel.Text = "Welcome " & userName
    Dim cert As HttpClientCertificate = Request.ClientCertificate
    If cert.IsPresent Then
    	'Get the Organization (O) field from the Subject section.
    	certDataLabel.Text = cert.Get("Subject O")
    Else
    	certDataLabel.Text = "No certificate was found."
    End If
    					
    //Visual C#
    string userName;
    userName = User.Identity.Name;
    greetingLabel.Text = "Welcome " + userName;
    HttpClientCertificate cert = Request.ClientCertificate;
    if (cert.IsPresent)
        certDataLabel.Text = cert.Get("SUBJECT O");
    else
        certDataLabel.Text="No certificate was found.";
    					
  5. Sestavit projekt uložit a potom ukončete aplikaci Visual Studio.
  6. Spusťte aplikaci Internet Explorer a přejděte na následující stránku:
    http://localhost/SecureSite/WebForm1.aspx
    Všimněte si, že na stránce se zobrazí "Welcome" a "nebyl nalezen žádný certifikát" zprávy. Všimněte si, že na stránce nezobrazí uživatelské jméno, protože uživatel nebyl ověřen.
  7. Ukončete aplikaci Internet Explorer.

Nakonfigurujte webový Server pro ověřování na základě certifikátů

V této části je nakonfigurovat použití certifikátů pro ověřování projektu SecureSite. Chcete-li používat klientské certifikáty, musíte instalovat certifikát serveru. Můžete použít existující certifikát serveru od jakékoli certifikační autority, nebo můžete vygenerovat certifikát straně serveru se službou Microsoft Certificate Services.


Vytvoření žádosti o certifikát na straně serveru

  1. V Spustit příkaz Programy, přejděte na příkaz Nástroje pro správua klepněte na tlačítko Správce služeb sítě Internet.
  2. Rozbalte uzel serveru a klepněte na tlačítko Výchozí server WWW.
  3. V Akce nabídky, klepněte na tlačítko Vlastnosti.
  4. V Zabezpečení adresáře karta, klepněte na tlačítko Certifikát serveru. Postupujte podle pokynů průvodce:
    1. Klepněte na tlačítko Další na první stránce průvodce.
    2. V Certifikát serveru Klepněte na možnost Vytvořit nový certifikáta klepněte na tlačítko Další.
    3. V Opožděná nebo okamžitá žádost Klepněte na možnost Připravit žádost nyní, ale odeslat ji pozdějia klepněte na tlačítko Další.
    4. V Název a nastavení zabezpečení stránky, přijměte výchozí nastavení a klepněte na tlačítko Další.
    5. V Informace o organizaci stránky typu MSDN pro organizaci zadejte následující příkaz: Jak články pro organizační jednotku a potom klepněte na tlačítko Další.
    6. V Běžný název webového serveru stránky typu localhosta klepněte na tlačítko Další.
    7. V Zeměpisné informace stránky, země, oblast a Město podrobnosti a klepněte na tlačítko Další.
    8. V Název souboru žádosti o certifikát stránky, přijměte výchozí název souboru (obvykle c:\certreq.txt) a potom klepněte na tlačítko Další.
    9. V Souhrn souboru se žádostí stránky, potvrďte, že všechny podrobnosti správné a klepněte na tlačítko Další.
    10. Klepněte na tlačítko Dokončit zavřete průvodce.
  5. Otevřete soubor certifikátu, který je generován a potom celý obsah souboru certifikátu zkopírujte do schránky.

Odeslání žádosti o certifikát na straně serveru

  1. Spusťte aplikaci Internet Explorer a přejděte na následující stránku:
    http://localhost/certsrv
    POZNÁMKA:: Musí být nainstalován Microsoft Certificate Services.
  2. Postupujte podle pokynů průvodce:
    1. Klepněte na tlačítko Žádost o certifikáta klepněte na tlačítko Další.
    2. V Zvolte typ požadavku Klepněte na možnost Rozšířené žádosti oa klepněte na tlačítko Další.
    3. V Rozšířené žádosti o certifikát Klepněte na možnost Odeslat žádost o certifikát pomocí souboru PKCS # 10 s kódováním base64a klepněte na tlačítko Další.
    4. V Odeslat stránky, klepněte v Požadavek certifikátu s kódováním Base64 (PKCS # 10 nebo # 7) kombinace vložte žádost o certifikát, který jste zkopírovali do schránky, dříve klíč, pole a stiskněte CTRL + V. Klepněte na tlačítko Odeslat.
  3. Ukončete aplikaci Internet Explorer.

Certifikát serveru

  1. V Spustit příkaz Programy, přejděte na příkaz Nástroje pro správua klepněte na tlačítko Certifikační úřad.
  2. Rozbalte uzel pro certifikační úřad a vyberte Žádosti čekající na vyřízení.
  3. Vyberte žádost o certifikát, který jste právě odeslali. V Akce příkaz Všechny úkolya klepněte na tlačítko Problém.
  4. Potvrdit certifikát se zobrazí ve složce vystavené certifikáty a potom poklepejte na certifikát, který chcete zobrazit.
  5. V Podrobnosti karta, klepněte na tlačítko Kopírovat do souboru. Uložte certifikát, protože kódování Base-64 C:\Servercert.cer certifikát X.509.
  6. Zavřít Vlastnosti Dialogové okno pro potvrzení.
  7. Ukončete nástroj Certifikační úřad.

Instalace certifikátu serveru

  1. V Spustit příkaz Programy, přejděte na příkaz Nástroje pro správua klepněte na tlačítko Správce služeb sítě Internet.
  2. Rozbalte uzel serveru a klepněte na tlačítko Výchozí server WWW.
  3. V Akce nabídky, klepněte na tlačítko Vlastnosti.
  4. V Zabezpečení adresáře karta, klepněte na tlačítko Certifikát serveru. Postupujte podle pokynů průvodce:
    1. Klepněte na tlačítko Další na první stránce průvodce.
    2. Klepněte na tlačítko Zpracovat žádost čekající na vyřízení instalace certifikátu a klepněte na tlačítko Další.
    3. Vyhledejte soubor certifikátu C:\Servercert.cer, který jste dříve uložili. Klepněte na tlačítko Další dvakrát klepněte na tlačítko Dokončit.
  5. Klepněte na tlačítko OK Zavřete Vlastnosti Dialogové okno.

Chcete-li SecureSite serveru SSL a klientské certifikáty

  1. Ve Správci služeb sítě Internet vyberte podsadu webových souborů SecureSite a zobrazit jeho vlastnosti.
  2. Postupujte podle pokynů průvodce:
    1. V Zabezpečení adresáře karta, klepněte na tlačítko Upravit v Zabezpečená komunikace sekce.
    2. Vyberte Vyžadovat zabezpečený kanál (SSL) Zaškrtávací políčko. Tím je zajištěno, že jsou šifrovaná komunikace pro tuto podsadu webových souborů.
    3. Vyberte Vyžadovat klientské certifikáty Zaškrtávací políčko. Tím je zajištěno, že na webu lze zobrazit pouze uživatelé, kteří mají nainstalován certifikát klienta.
    4. Vyberte Povolit mapování klientských certifikátů Zaškrtávací políčko. Používá se k mapování klientských certifikátů na uživatelské účty systému Windows.
    5. Klepněte na tlačítko Upravit. Všimněte si, že na individuální účet systému Windows můžete mapovat každý certifikát, nebo můžete mapovat více certifikátů na stejný účet systému Windows.
    6. V N-1 karta, klepněte na tlačítko Přidat Přidat pravidlo pro mapování. Název tohoto pravidla Pravidlo pro mapovánía klepněte na tlačítko Další.
    7. Klepněte na tlačítko Nový Chcete-li vytvořit nové pravidlo, ve kterém má o dílčí pole (organizace) části předmětu certifikátu kritéria "msdn". Klepněte na tlačítko OK použít mapování uživatelů, jejichž certifikáty obsahují atribut organizace "msdn". V prostředí výroby pravidla mapování je přísnější a často ověřuje vystavitele certifikátu, jakož i předmět. Klepněte na tlačítko Další.
    8. V Mapování Stránka výběru Přijmout tento certifikát pro ověřování při přihlášení. Klepněte na tlačítko Procházet Vyberte účet systému Windows, kterou chcete namapovat uživatele služby MSDN. Například pomocí účtu správce. (V reálné aplikaci, můžete vytvořit vyhrazený účet systému Windows s omezenými oprávněními.) Ujistěte se, že jste zadali správné heslo.
    9. Klepněte na tlačítko Dokončita pak heslo potvrďte.
  3. Klepněte na tlačítko OK Zavřete Mapování účtů Dialogové okno.
  4. Klepněte na tlačítko OK Zavřete Zabezpečená komunikace Dialogové okno. Pokud se zobrazí výzva k nastavení použít pro podřízené soubory a složky, klepněte na tlačítko Vybrat všea klepněte na tlačítko OK.
  5. Klepněte na tlačítko OK Zavřete Vlastnosti SecureSite Dialogové okno.

Ověřit ověřování na základě certifikátů

  1. Spusťte aplikaci Internet Explorer a přejděte na následující stránku:
    https://localhost/SecureSite/WebForm1.aspx
    Všimněte si použití zabezpečeného protokolu https.
  2. Potvrďte, že se zobrazí zpráva, že stránka vyžaduje certifikát klienta.
  3. Ukončete aplikaci Internet Explorer.

Instalace certifikátu klienta

V této části můžete nainstalovat certifikát klienta. Můžete použít certifikát od certifikační orgán nebo můžete generovat vlastní certifikát certifikační služby společnosti Microsoft.


Vyžádání certifikátu klienta

  1. Spusťte aplikaci Internet Explorer a přejděte na následující stránku:
    http://localhost/certsrv
  2. Postupujte podle pokynů průvodce:
    1. Klepněte na tlačítko Žádost o certifikáta klepněte na tlačítko Další.
    2. V Zvolte typ požadavku Klepněte na možnost Certifikát webového prohlížečea klepněte na tlačítko Další.
    3. Zadejte požadované informace. Ujistěte se, že zadáte MSDN v Společnost textové pole.
    4. Klepněte na tlačítko Odeslat pro dokončení požadavku.
  3. Ukončete aplikaci Internet Explorer.

Certifikát klienta

  1. Spuštění nástroje z certifikačního úřadu Nástroje pro správu Programová skupina.
  2. Rozbalte uzel pro certifikační úřad a vyberte Žádosti čekající na vyřízení.
  3. Vyberte žádost o certifikát, který jste právě odeslali. V Akce příkaz Všechny úkolya klepněte na tlačítko Problém.
  4. Potvrdit certifikát se zobrazí ve složce vystavené certifikáty a potom poklepejte na certifikát, který chcete zobrazit.
  5. V Podrobnosti karta, klepněte na tlačítko Kopírovat do souboru. Uložte certifikát, protože kódování Base-64 C:\Clientcert.cer certifikát X.509.
  6. Zavřít Vlastnosti Dialogové okno pro potvrzení.
  7. Ukončete nástroj Certifikační úřad.

Instalace certifikátu klienta

  1. Spusťte Průzkumníka Windows a poklepejte na Clientcert.cer zobrazit soubor certifikátu.
  2. Postupujte podle kroků v Průvodci importem certifikátu:
    1. Na první stránce průvodce klepněte na tlačítko Nainstalovat certifikáta klepněte na tlačítko Další.
    2. Vyberte Automaticky vyberte úložiště certifikátů na základě typu certifikátu Zaškrtněte políčko a klepněte na tlačítko Další.
    3. Klepněte na tlačítko Dokončit Dokončete průvodce.
  3. Zavřete okno potvrzení zprávy a klepněte na tlačítko OK Zavřete certifikátu.

Ověřte, zda funguje

V této části je ověřit, že klientské aplikace s certifikáty, které určíte jako can společnosti "msdn" zobrazit na webu SecureSite. Uživatelé jsou mapována na účet zadaný v pravidla mapování.
  1. Spusťte aplikaci Internet Explorer a přejděte na následující stránku:
    https://localhost/SecureSite/WebForm1.aspx
  2. Potvrďte, že:
    • Zobrazí se webová stránka.
    • Slouží k odpovídajícímu účtu systému Windows.
    • Organizace "msdn" čte z certifikátu.

Odkazy

Další informace o použití protokolu SSL (protokol SSL (Secure Sockets Layer)) k zabezpečení webového serveru klepněte na tlačítko znalostní báze Microsoft Knowledge Base:
298805 JAK: Povolit protokol SSL pro všechny zákazníky, kteří spolupracují s webem v Internetová informační služba

Vlastnosti

ID článku: 315588 - Poslední aktualizace: 18. května 2011 - Revize: 6.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft ASP.NET 1.0
  • Microsoft ASP.NET 1.1
  • Microsoft Internet Information Services 6.0
Klíčová slova: 
kbhowtomaster kbsecurity kbmt KB315588 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:315588

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com