IIS und Client-Zertifikate

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 907274 - Produkte anzeigen, auf die sich dieser Artikel bezieht
IIS Support Voice-Kolumne

IIS und Client-Zertifikate

diese Kolumne an Ihre Bedürfnisse anpassen wir möchten Sie Ihre Ideen zu den Themen zu senden, die Sie interessieren einladen möchten, und behandelt Probleme, die Sie anzeigen möchten, in zukünftigen Knowledge Base-Artikeln und Support Voice-Kolumnen. Sie können Ihre Ideen und ihr Feedback über das Formular Ask For It senden. Es gibt auch eine Verknüpfung zu dem Formular am unteren Rand dieser Spalte.
Alles erweitern | Alles schließen

Auf dieser Seite

Einführung

Hallo. Mein Name ist David Dietz, und ich haben wurde Unterstützung Internetinformationsdienste (IIS) für den vergangenen sechs Jahren. Im Laufe der Zeit ist ein Thema, das eine Herausforderung für viele Webadministratoren wurde Clientzertifikate. In diesem Artikel werden ich über einige Grundlagen von Clientzertifikaten wechseln und versuchen Sie einige sinnvoll sind für und was Sie tun können.

Einige der Missverständnisse, die wir in regelmäßigen Abständen zu sehen sind:
  • Clientzertifikate werden benötigt SSL ordnungsgemäß vornehmen.
  • Wenn Sie Clientzertifikate verwenden, müssen Sie kein Zertifikat auf dem Server.
  • Ein Clientzertifikat, das von jeder Zertifizierungsstelle ausgestellt wird funktioniert mit jedem Server.
  • Wenn Sie ein Clientzertifikat ausgeben, werden Ihr Webserver automatisch akzeptiert.
Die erste und vielleicht die meisten verwirrenden Punkt ist der Unterschied zwischen Clientzertifikate und SSL (Secure Sockets Layer)-Server Zertifikate. Obwohl Clientzertifikate und SSL-Serverzertifikate Zertifikate verwenden, werden Sie nicht direkt miteinander verwandt. SSL-Serverzertifikate bieten Verschlüsselung und Sicherheit Funktionalität. Clientzertifikate stellen Benutzer Authentifizierung Funktionalität bereit. Wenn dies sinnvoll ist, sollten der Rest einfach sein.

Client Zertifikate werden einem Benutzer von einer Zertifizierungsstelle ausgestellt. Sie bestehen aus dem öffentlichen Schlüssel Teil das Zertifikat und einen privaten Schlüssel, der nur von der Entität gespeichert werden, das Zertifikat ausgestellt wurde. Die Zertifizierungsstelle möglicherweise einer bekannten öffentlichen Organisation, die Zertifikatsdienste als Teil seiner Business bereitstellt konnte, oder es einen internen Server, den nur Ihr Unternehmen verwendet. In beiden Fällen wird das Clientzertifikat bestimmte Informationen haben, die den Benutzer entweder einzeln oder als Teil einer Gruppe identifiziert.

In IIS haben Sie die Möglichkeit, ignoriert, akzeptiert und Clientzertifikate anfordern, wenn ein Benutzer auf Ressourcen auf dem Server zugreift. Zertifikate ignorieren bedeutet einfach, dass die Sie nicht verwenden, den Client für eine fragt und wird eine verwerfen, wenn es an den Server gesendet wird. Wenn Sie Zertifikate, akzeptiert der Server wird ein Zertifikat anfordern jedoch nicht unbedingt verweigern Sie Zugriff, wenn ein Zertifikat nicht bereitgestellt wird. Wenn Sie Clientzertifikate benötigen, wird der Benutzer muss ein gültiges Zertifikat bereitstellen, oder der Benutzer erhält eine Fehlermeldung.

Für ein Zertifikat ordnungsgemäß funktioniert müssen auf dem Server und dem Client bestimmte Anforderungen erfüllt sein. Jede Seite enthält eine Liste von Stammzertifizierungsstellen, die Sie vertrauen. Wenn der Server für ein Zertifikat aufgefordert werden, enthält die Anforderung eine Liste der Zertifizierungsstellen, die der Server vertraut. Der Client vergleicht dann diese Liste zu dem der Zertifizierungsstellen, dass der Client vertraut und eine Liste der erstellt, übereinstimmen. Anschließend vergleicht der Client die Liste, um die Clientzertifikate besitzt und bestimmt, welche ggf. Zertifikate von Zertifizierungsstellen ausgestellt wurden, die der Client und Server vertrauen. Je nach auf dem Client möglicherweise finden Sie eine Liste von Zertifikaten ist mehr als eine Zertifizierungsstelle, die beide Seiten vertrauenswürdigen aus. Der Client sendet dann den öffentlichen Teil des Zertifikats auf dem Server. Zu diesem Zeitpunkt überprüft der Server normalerweise sicher, dass das Zertifikat gültig ist, und wenn keine Zuordnung durchgeführt wird, die Kommunikation zwischen dem Client und dem Server können weiterhin.

Dies ist die Grundfunktionalitäten Clientzertifikate. Zu diesem Zeitpunkt erkennt der Server nur, dass der Client ein gültiges Zertifikat verfügt.

Hier ist Dinge interessant. Der Server kann dazu eine Zuordnung von das Zertifikat einem Benutzerkonto konfiguriert werden. Dies kann sein entweder einer Zuordnung, wobei das bestimmte Zertifikat zugeordnet auf einem einzelnen Benutzerkonto oder eine n-zu-Eins-Zuordnung, verwendet der Server bestimmte Felder in die Zertifikatsinformationen um alle übereinstimmendes Zertifikat einem bestimmten Benutzerkonto zuordnen. Wenn eine Zuordnung verwendet wird, ermöglicht das Zertifikat dem Benutzer gewährt oder Zugriff auf Ressourcen als bestimmter Benutzer verweigert werden. Wenn Sie Clientzertifikate in auf diese Weise verwenden, müssen Sie andere Authentifizierungsmethode zu verwenden.

Häufige Fehlermeldungen, die auf Client-Zertifikate beziehen

403.7 - Clientzertifikat erforderlich
Diese Fehlermeldung wird empfangen, wenn ein Client ein Clientzertifikat nicht bietet, wenn eine erforderlich ist. Der Client ein Clientzertifikat senden verweigert, oder des Clients kein von einer vertrauenswürdigen Zertifizierungsstelle ausgestelltes Zertifikat.
403.13 - Client Zertifikat
Diese Fehlermeldung bedeutet, dass der Client, gesendet ein Zertifikat, aber entweder das Zertifikat wird wie in der Zertifikatssperrliste der ausstellenden Zertifizierungsstelle gesperrt oder der Server konnte eine ZERTIFIKATSPERRLISTE von der ausstellenden Zertifizierungsstelle nicht abrufen.
403.16 - Ist Clientzertifikat nicht vertrauenswürdig oder ungültig.
Diese Fehlermeldung wird in erster Linie generiert, wenn das Zertifikat, die der Client nicht richtig gebildet wird. Es kann auch generiert werden, wenn intermediate Zertifizierungsstellen in der Zertifikatkette, die der Server nicht vertrauenswürdig sind.
403.17 - Clientzertifikat ist abgelaufen oder noch nicht gültig
Diese Fehlermeldung ist relativ selbsterklärend. Es bedeutet, das aktuelle Datum auf dem Server nicht innerhalb der gültigen Datum-Bereiche, die im Clientzertifikat dargestellt werden.

Weitere Informationen

Weitere Informationen finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
252657IIS 5.0: HTTP 403.16 Verboten: Client-Zertifikat nicht vertrauenswürdig oder ungültig
248031Fehlermeldung: HTTP 403.17 - Verboten: Client-Zertifikat abgelaufen oder ist noch nicht gültig
294305Obwohl Zertifikat nicht gesperrt ist, gibt IIS HTTP "403.13 Client-Zertifikat widerrufen" Fehlermeldung zurück
313070Konfigurieren von Client-Zertifikatszuordnungen in Internet Information Services (IIS) 5.0
Zuordnung von Clientzertifikaten (IIS 6.0)
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/751c99bd-9657-41a5-b541-569d305872ef.mspx?mfr=true
SPKI Zertifikat Theorie
http://www.ietf.org/rfc/rfc2693.txt
Sie gerne wie immer Ideen auf Themen, die Spalten in Zukunft behandelt werden soll oder in der Knowledge Base mithilfe des Formulars Ask For It zu senden.

Eigenschaften

Artikel-ID: 907274 - Geändert am: Montag, 3. Dezember 2007 - Version: 1.3
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services version 5.1
  • Microsoft Internet Information Services 5.0
Keywords: 
kbmt kbiis kbinfo kbhowto KB907274 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 907274
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com