Como implementar o SSL com um servidor autónomo certificado no Virtual Server 2005

Traduções de Artigos Traduções de Artigos
Artigo: 887490 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

INTRODUÇÃO

Para ajudar a melhorar a segurança, recomendamos que execute o Web site de administração no Microsoft Virtual Server 2005 através de uma ligação segura (SSL). Este artigo descreve os passos para configurar uma ligação SSL num ambiente onde os certificados de servidor se baseiam uma raiz autónoma. Se utilizar uma autoridade de raiz de certificação de terceiros ou de uma autoridade de certificação raiz da empresa, pode ainda seguir estes passos porque não pressupostos são efectuados neste processo sobre a localização ou a propriedade de cada componente que é utilizado para configurar o SSL para o Virtual Server 2005.

Pode utilizar este processo para configurar a SSL para o Virtual Server 2005 num anfitrião baseado no Microsoft Windows XP ou num anfitrião baseado no Microsoft Windows Server 2003. Num anfitrião baseado no Windows Server 2003, pode configurar um certificado para o site que utiliza. Neste caso, o que é o site de servidor virtual, não o site da Web padrão. No Windows XP, existe apenas um site. Esse site é o Web site predefinido.

Mais Informação

Parte 1: Instalar certificado serviços

Se existir uma autoridade de certificação para emitir certificados na rede, o procedimento seguinte poderá ser opcional. Pode utilizar qualquer produto de servidor Microsoft actual para instalar a autoridade de certificação. Siga estes passos para instalar serviços de certificados num computador baseado no Windows Server 2003:
  1. No Painel de controlo , faça duplo clique em Adicionar ou remover programas e, em seguida, clique em Windows adicionar/remover componentes .
  2. Clique para seleccionar a caixa de verificação Serviços de certificados e, em seguida, clique em seguinte .
  3. Clique em AC de raiz autónoma e, em seguida, clique em seguinte .
  4. Escreva o nome que pretende utilizar na caixa nome comum para esta AC . Normalmente, este é o nome do computador. Este nome de computador pode ser diferente do computador que estiver a executar o Virtual Server 2005 no. Além disso, poderá ser necessário apenas um certificado de servidor para vários anfitriões de servidor virtual.
  5. Clique em seguinte para aceitar as predefinições para a partilha é criada e para os ficheiros de registo.
  6. Introduza o suporte de instalação Windows quando lhe for pedido.
  7. Clique em Sim quando receber a mensagem de aviso do ASP (Active Server Pages).
Nota Quando efectuar este procedimento, pára de ISS (Serviços de informação Internet Information Services), e as páginas ASP são instaladas. Em seguida, o IIS é reiniciado para concluir a instalação. Não é necessário reiniciar o computador.

O que tenha em consideração quando instala uma autoridade de certificação

  • Problemas de autoridade de certificação (AC) de certificação poderá provocar efectuar para reinstalar o sistema operativo no computador de AC e emitir novos certificados para todos os Web sites. Pense este quando selecciona um servidor para a instalação da AC de raiz. Isto pode ser um computador diferente do que o computador anfitrião de servidor virtual.
  • Restaurar um estado do sistema desactualizados poderão causar problemas de AC.
  • Remover o computador do domínio interrompe a AC.
  • A AC está ligada ao seu nome de utilizador. Este não é normalmente um problema, excepto durante a instalação se a caixa de Nome distinto estiver em branco. No entanto, pode ser um problema se iniciar sessão na rede utilizando o nome de utilizador de domínio, apesar do computador anfitrião de servidor virtual já no domínio. O nome distinto tem de ser um nome de passíveis de resolução do sistema de nomes de domínio (DNS, Domain Name System) na sintaxe do nome distinto. Por exemplo: CN = Concours88, DN = northamerica, DN = corp, DC = Microsoft, DC = com.
  • Pode introduzir manualmente as informações necessárias num campo em branco quando pedir um certificado.

Parte 2: Preparar uma requisição de certificado

Preparar uma requisição de certificado para o site de servidor virtual no snap-in Gestor de serviços de informação Internet (IIS):
  1. No computador anfitrião servidor virtual, inicie o snap-in Gestor de serviços de informação Internet (IIS)
  2. No painel de navegação, expanda Server_Name, clique com o botão direito do rato Default Web Site ou Servidor Virtual e, em seguida, clique em Propriedades .
  3. No separador Segurança de directórios , clique em Certificados de servidor em comunicações seguras .
  4. No Assistente de certificados do IIS, clique em seguinte .
  5. Clique em criar um novo certificado e, em seguida, clique em seguinte .
  6. Clique em preparar o pedido agora, mas enviá-la mais tarde e, em seguida, clique em seguinte .
  7. Escreva o nome que pretende utilizar ou utilize o nome predefinido. O nome predefinido do certificado é igual ao nome do site, por exemplo, o servidor virtual.
  8. Na caixa comprimento de bits , faça clique sobre um comprimento de chave e, em seguida, clique em seguinte . Normalmente, é possível utilizar o valor de comprimento de bits predefinido.
  9. Para um certificado interno, escreva o nome que pretende utilizar na caixa organização e na caixa Unidade organizacional .

    Por exemplo, escreva o nome da organização na caixa organização e, em seguida, escreva o nome do seu departamento na caixa Unidade organizacional . Certificados de fabricantes têm requisitos de dados específico para estes campos. Esta informação é fornecida pela AC de outros fabricantes.
  10. No campo nome comum , escreva o nome NetBIOS ou o nome de DNS.

    Nota O nome comum é importante porque terá de decidir o nome completo do site. Pode escolher um nome de NetBIOS ou o nome de DNS. Seleccionar um permite-lhe emitir uma ligação a partir do Microsoft Internet Explorer utilizando o nome. No entanto, se utilizar um nome diferente do nome comum que foi anteriormente discutido, recebe uma mensagem de aviso sobre o erro de correspondência nome. Utilize a sintaxe mais frequentemente utilizada no seu ambiente para evitar a mensagem de aviso. Esta mensagem de aviso aparece numa janela, mas a mensagem não bloqueia o acesso ao site. Não é importante se seleccionar o nome de NetBIOS ou o nome de DNS.
  11. Escreva o país correcto, estado e Cidade.
  12. Escreva um nome de ficheiro para o pedido de certificado que está a exportar.

Parte 3: Pedir um certificado

  1. No Internet Explorer, abra a página Web da autoridade de certificação:
    http://localhost/certsrv
  2. Em Seleccionar uma tarefa , clique em Pedir um certificado .
  3. Em Pedir um certificado , clique em pedido de certificado avançado e, em seguida, clique em Submeter uma requisição guardada .
  4. Definições de segurança poderão impedir a utilizando as hiperligações página Web a partir daqui.

    Em alternativa, copie todo o texto do ficheiro C:\Certreq.txt. Em seguida, cole o texto na caixa Guardar pedido na página Submeter uma requisição de certificados ou pedidos de renovação . O pedido de certificado é um ficheiro de texto que contém as informações que introduziu no passo 1. The certificate request is encoded the same as the following sample.
    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIIDTTCCArYCAQAwcjESMBAGA1UEAxMJZnVua3libHVlMRMwEQYDVQQLEwpEZXBh
    cnRtZW50MRkwFwYDVQQKHhAATwByAGcAXwBOAGEAbQBlMRIwEAYDVQQHEwlTdXF1
    YW1pc2gxCzAJBgNVBAgTAldhMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEF
    AAOBjQAwgYkCgYEApGI6rK3DjiUAfRYkqlw17AS1KGy15lg6X2miuEc6mz8aRLQ6
    cxnrIrXLMePT5rR5KhLw6TWO3HPfpIbqbgaN1FeAbLz0ByzX1P/nXee+zbSEn+4l
    1BTw4yfP4/0RySCqN5DwHNQD5zSpn9lGFs5UW0Tshr0/6zYRR6DbZgmfMMMCAwEA
    AaCCAZkwGgYKKwYBBAGCNw0CAzEMFgo1LjEuMjYwMC4yMHsGCisGAQQBgjcCAQ4x
    bTBrMA4GA1UdDwEB/wQEAwIE8DBEBgkqhkiG9w0BCQ8ENzA1MA4GCCqGSIb3DQMC
    AgIAgDAOBggqhkiG9w0DBAICAIAwBwYFKw4DAgcwCgYIKoZIhvcNAwcwEwYDVR0l
    BAwwCgYIKwYBBQUHAwEwgf0GCisGAQQBgjcNAgIxge4wgesCAQEeWgBNAGkAYwBy
    AG8AcwBvAGYAdAAgAFIAUwBBACAAUwBDAGgAYQBuAG4AZQBsACAAQwByAHkAcAB0
    AG8AZwByAGEAcABoAGkAYwAgAFAAcgBvAHYAaQBkAGUAcgOBiQCTSR8dKSviOwRX
    JreaBSjJpgw7jnoQI1mvgJv5aE+B7F+M47mrA4bWgM5NorJyuRzmkb4g8FCer7hy
    i1PyFYlDClz6oZvzFQROnEKiSGuE3nTv28Ver/l2weSa05PCRKpKfP3Ku5WjFh4N
    DyMjcobcdODHAW2jyhmeb4T5jiiyFQAAAAAAAAAAMA0GCSqGSIb3DQEBBQUAA4GB
    ACJ6OT9VeyKfPYFzkHATgGiJ8KVHGQuxE70r1W2wCvpWCLRfjhxzgoc3I84ddS2o
    9QQDoU4P4CIp9Lw89x0jJtI2PD+xVmRdz7Trkl0lKB17nfVcnDXXwygm6PUUy/52
    PXkXU6RggFy1m28khilKK8uXBfHLyRrK8W3zyygiJMgV
    -----END NEW CERTIFICATE REQUEST-----
  5. Clique em Submeter .

    importante Se pretender efectuar várias submissões, é uma boa ideia para documentar a ordem exacta que submeteu os pedidos no. Não poderão existir nenhuma forma de identificar os certificados da página de exportação de certificados quando exportar o certificado posteriormente descritos neste procedimento. Isto acontece porque o nome a apresentar não disponível em qualquer página Web de serviços de certificados do IIS ou no snap-in Autoridade de certificação.
  6. Deixe o site de serviços de certificados aberta para parte 5.

Parte 4: Emitir o certificado

  1. Inicie o snap-in Autoridade de certificação em Ferramentas administrativas.
  2. No painel da esquerda, expanda CA_name e, em seguida, clique em Requisições pendentes .
  3. No painel da direita, clique com o botão direito do rato o pedido, aponte para todas as tarefas e, em seguida, clique em emitir .

    Este aprova o pedido. O estado de certificado muda de pendente para emitido.

Parte 5: Exportar o certificado

Regressar à página Web da autoridade de certificação e, em seguida, exportar o certificado.
  1. Em Seleccionar uma tarefa , clique em Ver o estado de um pedido de certificado pendente .

    Nota Tem apenas uma oportunidade para efectuar este procedimento. Se clicar em Transferir um certificado da AC , pode escolher os certificados instalados no computador, normalmente da raiz de AC. Não pode escolher de certificados que são aprovadas e que sejam pedidas. Além disso, se estiverem disponíveis vários certificados, não poderá identificar um certificado. Mesmo a autoridade de certificação snap-in poderá não apresenta informações úteis que lhe permite determinar o certificado pertence a um pedido.
  2. Em Certificado emitido , clique em base 64 codificado .
  3. Clique em Transferir certificado e, em seguida, guardar localmente o certificado.

Parte 6: Importar o certificado

  1. No computador anfitrião servidor virtual, inicie o snap-in Gestor de serviços de informação Internet (IIS).
  2. No painel de navegação, expanda Server_Name e, em seguida, clique com o botão direito do rato Servidor Virtual ou Web Site predefinido . Em seguida, clique em Propriedades .
  3. No separador Segurança de directórios , clique em Certificados de servidor em comunicações seguras .
  4. No separador Segurança de directórios , clique em Certificado de servidor .
  5. Clique em processar o pedido pendente e instalar o certificado . Em seguida, clique em seguinte .
  6. Utilize as notas efectuadas anterior para localizar e, em seguida, seleccione o certificado que corresponda o pedido.
  7. Utilize o valor predefinido porta 443.
  8. Conclua o assistente.
  9. Se conseguir, a opção Ver certificado é apresentada em Certificado de servidor no separador Segurança de directórios .

Parte 7: Os passos de post-certificate opcionais

  1. Desactive acesso anónimo para o site de servidor virtual:
    1. Abra as propriedades do site de servidor virtual ou as propriedades de Web site predefinido no snap-in Gestor de serviços de informação Internet (IIS).
    2. No separador Segurança de directórios , clique em Editar em controlo de acesso e autenticação anónimo .
    3. Clique para desmarcar a caixa de verificação acesso anónimo (Anonymous access) .
    4. Clique duas vezes em OK e, em seguida, saia o snap-in Gestor de serviços de informação Internet (IIS).
  2. Requerer SSL e encriptação de 128 bits:
    1. Abra as propriedades do site de servidor virtual ou as propriedades de Web site predefinido no snap-in Gestor de serviços de informação Internet (IIS).
    2. No separador Segurança de directórios , clique em Editar em comunicações seguras .
    3. Clique para seleccionar Exigir SSL e encriptação de 128 bits .
    4. Clique duas vezes em OK e, em seguida, saia o snap-in Gestor de serviços de informação Internet (IIS).
  3. Adicione porta 443 no separador Web Site nas propriedades do site do servidor virtual ou nas propriedades de Web site predefinido no snap-in Gestor de serviços de informação Internet (IIS).

Resolução de problemas

  • Se não conseguir concluir estes procedimentos, inicie novamente. Abra as propriedades do site de servidor virtual ou as propriedades de Web site predefinido no snap-in Gestor de serviços de informação Internet (IIS), clique no separador Segurança de directórios e iniciar o assistente novamente. É apresentada uma das duas páginas. Uma página indica que um certificado já está instalado. Esta página fornece opções para remover ou substituir o certificado. A página outra permite-lhe importar um certificado de um pedido pendente. Esta página também lhe permite cancelar o pedido. Pode cancelar o pedido e recomeçar.
  • Se receber uma mensagem de erro que indica que o certificado não coincide com o pedido, isto poderá indicar que se esqueceu clique na opção que base 64 codificado quando exportou o certificado do certificado de autoridade essa página. Cancelar o pedido e, em seguida, voltar a submeter o pedido.
  • Se receber uma mensagem de erro que indica que o certificado já está instalado, pode ter clicado em Transferir um certificado da AC em vez de Ver o estado de um pedido de certificado pendente .

Propriedades

Artigo: 887490 - Última revisão: 2 de novembro de 2007 - Revisão: 1.2
A informação contida neste artigo aplica-se a:
  • Microsoft Virtual Server 2005 Standard Edition
Palavras-chave: 
kbmt kbcertservices kbhowtomaster KB887490 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 887490

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com