IIS und Client-Zertifikate

Einführung

Hallo. Mein Name ist David Dietz, und ich haben wurde Unterstützung Internetinformationsdienste (IIS) für den vergangenen sechs Jahren. Im Laufe der Zeit ist ein Thema, das eine Herausforderung für viele Webadministratoren wurde Clientzertifikate. In diesem Artikel werden ich über einige Grundlagen von Clientzertifikaten wechseln und versuchen Sie einige sinnvoll sind für und was Sie tun können.

Einige der Missverständnisse, die wir in regelmäßigen Abständen zu sehen sind:

• Clientzertifikate werden benötigt SSL ordnungsgemäß vornehmen.
• Wenn Sie Clientzertifikate verwenden, müssen Sie kein Zertifikat auf dem Server.
• Ein Clientzertifikat, das von jeder Zertifizierungsstelle ausgestellt wird funktioniert mit jedem Server.
• Wenn Sie ein Clientzertifikat ausgeben, werden Ihr Webserver automatisch akzeptiert.

Die erste und vielleicht die meisten verwirrenden Punkt ist der Unterschied zwischen Clientzertifikate und SSL (Secure Sockets Layer)-Server Zertifikate. Obwohl Clientzertifikate und SSL-Serverzertifikate Zertifikate verwenden, werden Sie nicht direkt miteinander verwandt. SSL-Serverzertifikate bieten Verschlüsselung und Sicherheit Funktionalität. Clientzertifikate stellen Benutzer Authentifizierung Funktionalität bereit. Wenn dies sinnvoll ist, sollten der Rest einfach sein.

Client Zertifikate werden einem Benutzer von einer Zertifizierungsstelle ausgestellt. Sie bestehen aus dem öffentlichen Schlüssel Teil das Zertifikat und einen privaten Schlüssel, der nur von der Entität gespeichert werden, das Zertifikat ausgestellt wurde. Die Zertifizierungsstelle möglicherweise einer bekannten öffentlichen Organisation, die Zertifikatsdienste als Teil seiner Business bereitstellt konnte, oder es einen internen Server, den nur Ihr Unternehmen verwendet. In beiden Fällen wird das Clientzertifikat bestimmte Informationen haben, die den Benutzer entweder einzeln oder als Teil einer Gruppe identifiziert.

In IIS haben Sie die Möglichkeit, ignoriert, akzeptiert und Clientzertifikate anfordern, wenn ein Benutzer auf Ressourcen auf dem Server zugreift. Zertifikate ignorieren bedeutet einfach, dass die Sie nicht verwenden, den Client für eine fragt und wird eine verwerfen, wenn es an den Server gesendet wird. Wenn Sie Zertifikate, akzeptiert der Server wird ein Zertifikat anfordern jedoch nicht unbedingt verweigern Sie Zugriff, wenn ein Zertifikat nicht bereitgestellt wird. Wenn Sie Clientzertifikate benötigen, wird der Benutzer muss ein gültiges Zertifikat bereitstellen, oder der Benutzer erhält eine Fehlermeldung.

Für ein Zertifikat ordnungsgemäß funktioniert müssen auf dem Server und dem Client bestimmte Anforderungen erfüllt sein. Jede Seite enthält eine Liste von Stammzertifizierungsstellen, die Sie vertrauen. Wenn der Server für ein Zertifikat aufgefordert werden, enthält die Anforderung eine Liste der Zertifizierungsstellen, die der Server vertraut. Der Client vergleicht dann diese Liste zu dem der Zertifizierungsstellen, dass der Client vertraut und eine Liste der erstellt, übereinstimmen. Anschließend vergleicht der Client die Liste, um die Clientzertifikate besitzt und bestimmt, welche ggf. Zertifikate von Zertifizierungsstellen ausgestellt wurden, die der Client und Server vertrauen. Je nach auf dem Client möglicherweise finden Sie eine Liste von Zertifikaten ist mehr als eine Zertifizierungsstelle, die beide Seiten vertrauenswürdigen aus. Der Client sendet dann den öffentlichen Teil des Zertifikats auf dem Server. Zu diesem Zeitpunkt überprüft der Server normalerweise sicher, dass das Zertifikat gültig ist, und wenn keine Zuordnung durchgeführt wird, die Kommunikation zwischen dem Client und dem Server können weiterhin.

Dies ist die Grundfunktionalitäten Clientzertifikate. Zu diesem Zeitpunkt erkennt der Server nur, dass der Client ein gültiges Zertifikat verfügt.

Hier ist Dinge interessant. Der Server kann dazu eine Zuordnung von das Zertifikat einem Benutzerkonto konfiguriert werden. Dies kann sein entweder einer Zuordnung, wobei das bestimmte Zertifikat zugeordnet auf einem einzelnen Benutzerkonto oder eine n-zu-Eins-Zuordnung, verwendet der Server bestimmte Felder in die Zertifikatsinformationen um alle übereinstimmendes Zertifikat einem bestimmten Benutzerkonto zuordnen. Wenn eine Zuordnung verwendet wird, ermöglicht das Zertifikat dem Benutzer gewährt oder Zugriff auf Ressourcen als bestimmter Benutzer verweigert werden. Wenn Sie Clientzertifikate in auf diese Weise verwenden, müssen Sie andere Authentifizierungsmethode zu verwenden.

Häufige Fehlermeldungen, die auf Client-Zertifikate beziehen

Diese Fehlermeldung wird empfangen, wenn ein Client ein Clientzertifikat nicht bietet, wenn eine erforderlich ist. Der Client ein Clientzertifikat senden verweigert, oder des Clients kein von einer vertrauenswürdigen Zertifizierungsstelle ausgestelltes Zertifikat.Diese Fehlermeldung bedeutet, dass der Client, gesendet ein Zertifikat, aber entweder das Zertifikat wird wie in der Zertifikatssperrliste der ausstellenden Zertifizierungsstelle gesperrt oder der Server konnte eine ZERTIFIKATSPERRLISTE von der ausstellenden Zertifizierungsstelle nicht abrufen. Diese Fehlermeldung wird in erster Linie generiert, wenn das Zertifikat, die der Client nicht richtig gebildet wird. Es kann auch generiert werden, wenn intermediate Zertifizierungsstellen in der Zertifikatkette, die der Server nicht vertrauenswürdig sind. Diese Fehlermeldung ist relativ selbsterklärend. Es bedeutet, das aktuelle Datum auf dem Server nicht innerhalb der gültigen Datum-Bereiche, die im Clientzertifikat dargestellt werden.

Weitere Informationen finden Sie in den folgenden Artikeln der Microsoft Knowledge Base: Zuordnung von Clientzertifikaten (IIS 6.0) SPKI Zertifikat Theorie Sie gerne wie immer Ideen auf Themen, die Spalten in Zukunft behandelt werden soll oder in der Knowledge Base mithilfe des Formulars Ask For It (http://support.microsoft.com/common/survey.aspx?scid=sw;en;1176&p0=&p1=&p2=&p3=&p4=) zu senden.