IIS a klientských certifikátů

Překlady článku Překlady článku
ID článku: 907274 - Produkty, které se vztahují k tomuto článku.
Sloupec IIS podporu hlasu

IIS a klientských certifikátů

Přizpůsobit tento sloupec vašim potřebám chceme pozvat odeslat nápadů o tématech, které vás zajímají, a problémy, které chcete zobrazit adresovány v budoucnu články databáze Knowledge Base a podpora Voice sloupců. Můžete odeslat nápady a názor pomocí formuláře Ask For It. Také je odkaz na formulář v dolní části sloupce.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Úvod

Ahoj. David Dietz je mé jméno a lze mít byla podpůrných Internetová informační služba (IIS) pro posledních šest let. Přes kurzu tento čas je jedno téma, které bylo challenge mnoho správci webového klientské certifikáty. V tomto článku I bude přechod přes některé základy klientské certifikáty a zkuste některé smysl jsou pro a co je možné vykonat.

Některé z misconceptions vidíme v pravidelných intervalech:
  • Klientské certifikáty jsou potřebná k SSL pracovat správně.
  • Pomocí klientských certifikátů nepotřebujete certifikát na serveru.
  • Klientský certifikát vydán libovolné certifikačním úřadem budou pracovat libovolný server.
  • Pokud problém klientský certifikát serveru bude automaticky přijmout.
První a případně většina matoucí bod je rozdíl mezi klientské certifikáty a certifikáty serveru protokol SSL (Secure Sockets Layer) (SSL). Ačkoli klientské certifikáty a certifikáty SSL serveru používat certifikáty, není přímo souvisejí navzájem. Certifikáty SSL serveru poskytují funkce šifrování a zabezpečení. Klientské certifikáty poskytují funkce ověřování uživatele. Pokud to smysl, by měl být zbývající snadný.

Klientské certifikáty jsou vydávány uživateli certifikačního úřadu. Mohou obsahovat veřejné klíče části certifikát a soukromý klíč, který je držitelem pouze entity, které je certifikát vydán. Certifikační úřad může být známých veřejné organizace, která poskytuje služby certifikát jako část jeho obchodní nebo může být interní server pouze vaše společnost používá. V obou případech bude mít klientský certifikát určité informace, které identifikuje uživatele jednotlivě nebo jako součást skupiny.

V IIS máte možnost ignorování přijetí nebo vyžadování klientských certifikátů, když uživatel získá přístup k prostředkům na serveru. Ignorování certifikáty jednoduše znamená jejich nepoužíváte, není požádá klienta pro jeden a zahodí jeden Pokud je odeslána na server. Pokud se rozhodnete přijmout certifikáty serveru vyzve pro certifikát, ale není nutně Odepřít přístup Pokud certifikát není k dispozici. Vyžadovat klientské certifikáty uživateli je nutné zadat platný certifikát nebo uživatel obdrží chybovou zprávu.

Certifikát pracovat správně musí být splněny určité požadavky na serveru a klienta. Každou stranu má seznam kořenových certifikačních úřadů, které důvěřují. Když server vyzve k certifikátu, požadavek zahrnuje seznam certifikačních úřadů, které server důvěřuje. Klient pak porovná tohoto seznamu do seznamu certifikačních úřadů, že klient vztahy důvěryhodnosti a vytvoří seznam ty, které odpovídají. Klient potom porovná tento seznam klientských certifikátů má a určuje, které, byly certifikáty vydány klient i server důvěryhodné certifikační úřady. V závislosti na klienta může zobrazit seznam certifikátů vybírat, pokud existuje více než jeden certifikační úřad důvěryhodnosti na obou stranách. Klient potom odešle veřejné části certifikátu na server. V tomto okamžiku obecně zkontroluje server Ujistěte se, zda je certifikát platný a pokud provedeno žádné mapování komunikace mezi klientem a server může pokračovat.

Toto je základní funkce klientské certifikáty. V tomto okamžiku serveru zná pouze klient má platný certifikát.

Zde je kde získat zajímavé věci. Provést mapování certifikátu na uživatelský účet může být server nakonfigurován. To může být prosté mapování, kde je konkrétní certifikát mapován na jeden uživatelský účet nebo mapování n jeden server používá určitých polí certifikátu informace mapovat všechny odpovídající certifikát určený uživatelský účet. Při použití mapování certifikátu umožňuje uživateli udělen nebo odepřen přístup k prostředkům jako určitého uživatele. Při použití klientské certifikáty tímto způsobem nemají použít jiné metody ověřování.

Běžné chybové zprávy související s klientské certifikáty

Certifikát klienta požadovaný 403.7
Tato chybová zpráva je přijata, pokud klient neposkytuje při jeden je vyžadován certifikát klienta. Klient odmítl certifikát klienta odeslat nebo klient neměl certifikát vystavený vzájemně důvěryhodného certifikačního úřadu.
Klient 403.13 certifikát odvolán
Tato chybová zpráva znamená, že klient odešle certifikát, ale buď certifikát zobrazí jako odvolaný seznam odvolaných certifikátů vydávající autoritu nebo server nemohl načíst seznam CRL od vydávajícího úřadu.
403.16 - Klientský certifikát je nedůvěryhodný nebo neplatný.
Tato chybová zpráva je generována především při nesprávně formátované certifikát klienta k dispozici. Také jej lze generovat Pokud zprostředkujících certifikačních úřadů v řetězu certifikátů, který není důvěryhodný webovým serverem.
403.17 - Klientského certifikátu vypršela nebo ještě není platný
Tato chybová zpráva je poměrně zřejmé. Znamená to, který aktuální datum na serveru není v rámci rozsahů platné datum, jsou uvedeny v certifikátu klienta.

Další informace

Další informace naleznete v následujících článcích znalostní báze Microsoft Knowledge Base:
252657IIS 5.0: HTTP 403.16 Forbidden: certifikát klienta nedůvěryhodný nebo neplatný
248031Chybová zpráva: HTTP 403.17 - zakázáno: klientského certifikátu vypršela nebo ještě není platný
294305IIS vrátí chybovou zprávu HTTP "403.13 klient certifikát odvolán" Přestože certifikát není odvolán
313070Jak konfigurovat mapování klientského certifikátu v Internetová informační služba (IIS) 5.0
Mapování klientských certifikátů (IIS 6.0)
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/751c99bd-9657-41a5-b541-569d305872ef.mspx?mfr=true
Teorie certifikát SPKI
http://www.ietf.org/rfc/rfc2693.txt
Jako vždy pocit volného odeslat nápady na témata, které chcete v budoucnu adresovány sloupce nebo pomocí formuláře Ask For It znalostí.

Vlastnosti

ID článku: 907274 - Poslední aktualizace: 3. prosince 2007 - Revize: 1.3
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services version 5.1
  • Microsoft Internet Information Services 5.0
Klíčová slova: 
kbmt kbiis kbinfo kbhowto KB907274 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:907274

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com