Certificats des services Internet (IIS) et client

Traductions disponibles Traductions disponibles
Numéro d'article: 907274 - Voir les produits auxquels s'applique cet article
Chronique IIS Support Voice

Certificats des services Internet (IIS) et client

pour personnaliser cette colonne à vos besoins, nous souhaitons à inviter vous permet de soumettre vos idées sur les sujets qui vous intéressent et problèmes que vous souhaitez voir traités articles avenir de la base de connaissances et des colonnes Support Voice. Vous pouvez soumettre vos idées et vos commentaires à l'aide de l'écran Ask For It. Il existe également un lien vers le formulaire au bas de cette colonne.
Agrandir tout | Réduire tout

Sommaire

Introduction

Bonjour. Mon nom est Dietz qui et j'ont été étayant Microsoft Internet Information Services (IIS) au cours des six dernières années. Au cours de ce temps, un sujet qui a été un défi pour beaucoup d'administrateurs Web est certificats client. Dans cet article, je passez en revue certains principes fondamentaux de certificats client et tentez une logique de quoi ils servent et ce qu'ils peuvent faire.

Certains les misconceptions de façon régulière, nous voir sont :
  • Les certificats clients sont nécessaires pour que SSL fonctionne correctement.
  • Lorsque vous utilisez certificats client, vous ne devez un certificat sur le serveur.
  • Un certificat client qui est émis par toute Autorité de certification fonctionne avec n'importe quel serveur.
  • Si vous émettez un certificat client, votre serveur Web automatiquement acceptera il.
Le premier et peut-être déroutant point la plupart des est la différence entre les certificats de client et certificats de serveur SSL (Secure Sockets LAYER). Bien que les certificats clients et les certificats SSL serveur utilisent les certificats, ils ne sont pas directement liées à l'autre. Certificats de serveur SSL fournissent les fonctionnalités cryptage et sécurité. Certificats client fournissent fonctionnalités de l'authentification utilisateur. Si c'est logique, le reste doit être facile.

Client certificats sont émis à un utilisateur par une autorité de certification. Ils sont constitués de la partie de clé publique du certificat et une clé privée qui est conservée uniquement par l'entité à laquelle le certificat est émis. L'autorité de certification peut être une organisation publique connue qui fournit des services de certificats comme partie de son activité, ou il pourrait s'agir un serveur interne seulement votre société utilise. Dans deux cas, le certificat client auront certaines informations qui identifient l'utilisateur individuellement ou en tant que partie d'un groupe.

Dans IIS, vous avez la possibilité d'ignorer, accepter ou nécessitant des certificats client lorsqu'un utilisateur accède à ressources sur votre serveur. En ignorant les certificats simplement signifie que vous n'utilisez pas les, ne demandent pas le client d'un et seront ignorées une si il est envoyé à votre serveur. Si vous choisissez d'accepter les certificats, votre serveur invitera à un certificat mais pas nécessairement refuse l'accès si un certificat n'est pas fourni. Si vous avez besoin de certificats client, l'utilisateur doit fournir un certificat valide ou l'utilisateur reçoit un message d'erreur.

Pour un certificat fonctionner correctement, certaines conditions doivent être remplies sur le serveur et le client. Chaque côté comprend une liste d'autorités de certification racine leur confiance. Lorsque le serveur vous demande d'un certificat, la demande contient une liste des autorités de certification qui approuve le serveur. Le client puis compare cette liste pour la liste des autorités de certification que le client approuve et crée une liste de ceux qui correspondent. Ensuite, le client compare cette liste pour les certificats client il a et détermine qui, le cas échéant, les certificats ont été émis par autorités de certification le client et le serveur de confiance. Fonction sur le client, vous pouvez voir une liste de certificats à choisir s'il y a plus d'une autorité de certification les deux côtés de confiance. Le client envoie ensuite la partie publique du certificat du serveur. À ce stade, le serveur généralement vérifie que le certificat est valide et, si aucun mappage n'est effectué, les communications entre le client et le serveur puisse continuer.

Ceci est la fonctionnalité plus simple de certificats client. À ce stade, le serveur ne sait que que le client a un certificat valide.

Voici où les choses deviennent intéressantes. Le serveur peut être configuré pour effectuer un mappage du certificat à un compte d'utilisateur. Cela peut être soit un mappage un-à-un, dans lequel le certificat spécifique est mappé à un compte d'utilisateur unique ou un mappage plusieurs-à-un, dans laquelle le serveur utilise certains champs dans les informations de certificat pour mapper tout certificat correspondant à un compte d'utilisateur désigné. Lorsqu'une correspondance est utilisée, le certificat permet à l'utilisateur d'être accordés ou accès aux ressources en tant qu'utilisateur spécifique lui est refusé. Lorsque vous utilisez les certificats clients de cette manière, vous ne devez pas utiliser n'importe quel autre méthode d'authentification.

Messages d'erreur courants liés aux certificats de client

403.7 - Certificat client requis
Cette message d'erreur est reçu si un client ne fournit pas un certificat client lorsqu'un est nécessaire. Soit le client a refusé d'envoyer un certificat client ou le client ne disposez pas un certificat émis par une autorité de certification de confiance mutuellement.
Client - 403.13 certificat révoqué
Cette message d'erreur signifie que le client envoyé un certificat, mais soit le certificat affiche comme révoqué dans liste de révocation certificat l'autorité émettrice ou au serveur impossible de récupérer une liste de révocation de CERTIFICATS de l'autorité de certification.
403.16 - Certificat client est non approuvé ou non valide.
Cette message d'erreur est principalement généré lorsque le certificat que le client fourni est mal formé. Il peut également être généré s'il existe des autorités de certification intermédiaire de la chaîne de certificat qui ne sont pas approuvées par le serveur Web.
403.17 - Le certificat client a expiré ou est pas encore valide
Cette message d'erreur est relativement explicites. Cela signifie que la date actuelle sur le serveur n'est pas dans les plages de date valide sont présentés dans le certificat client.

Plus d'informations

Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
252657 Services Internet (IIS) 5.0: HTTP 403.16 interdit : certificat client non approuvé ou non valide
248031 Message d'erreur: HTTP 403.17 - interdit : certificat client a expiré ou est pas encore valide
294305 Services Internet (IIS) renvoie HTTP « 403.13 Certificat client révoqué » message d'erreur bien que le certificat n'est pas révoqué
313070 Comment faire pour configurer mappages de certificats client dans Internet Information Services (IIS) 5.0
mappage de certificat client (IIS 6.0)
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/751c99bd-9657-41a5-b541-569d305872ef.mspx?mfr=true
théorie de certificat SPKI
http://www.ietf.org/rfc/rfc2693.txt
Comme toujours, hésitez pas à envoyer des idées sur des sujets souhaité adressé avenir colonnes ou dans la Base de connaissances en utilisant le formulaire Ask For It.

Propriétés

Numéro d'article: 907274 - Dernière mise à jour: lundi 3 décembre 2007 - Version: 1.3
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services version 5.1
  • Microsoft Internet Information Services 5.0
Mots-clés : 
kbmt kbiis kbinfo kbhowto KB907274 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 907274
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com