IIS e certificati client

Traduzione articoli Traduzione articoli
Identificativo articolo: 907274 - Visualizza i prodotti a cui si riferisce l?articolo.
Colonna IIS Support Voice

IIS e certificati client

per personalizzare questo articolo in base alle proprie esigenze, si desidera invitati a inviare le proprie idee sugli argomenti di interesse Ŕ e problemi che si desidera vedere risolti in futuro articoli della Knowledge Base e di Support Voice. ╚ possibile inviare idee e commenti e suggerimenti tramite il modulo Ask For It. C'Ŕ anche un collegamento al modulo nella parte inferiore della colonna.
Espandi tutto | Chiudi tutto

In questa pagina

Introduzione

Hello. Il nome Ŕ David Dietz e sono Ŕ stato supporto per negli ultimi sei anni Microsoft Internet Information Services (IIS). Nel corso di questa fase, un argomento che Ŕ stata una sfida per molti amministratori Web Ŕ i certificati client. In questo articolo, verrÓ esaminare alcune nozioni fondamentali di certificati client e tenta di effettuare alcune senso di che cosa sono per e le operazioni che possono eseguire.

Alcuni del misconceptions vediamo a intervalli regolari sono:
  • I certificati client sono necessari per rendere SSL funziona correttamente.
  • Quando si utilizzano i certificati client, non Ŕ necessario un certificato sul server.
  • Un certificato client emesso da qualsiasi autoritÓ di certificazione si funzionerÓ con qualsiasi server.
  • Se si utilizza un certificato client, il server Web viene verranno accettati automaticamente.
Il primo e probabilmente la maggior parte delle punto confusione Ŕ la differenza tra i certificati client e certificati server SSL (Secure Sockets Layer). Sebbene certificati client e certificati server SSL Ŕ necessario utilizzare certificati, non sono correlati direttamente tra loro. Certificati server SSL offrono funzionalitÓ di crittografia e protezione. I certificati di client forniscono funzionalitÓ di autenticazione utente. Se in questo senso, il resto dovrebbe essere semplice.

Client i certificati vengono emessi a un utente da un'autoritÓ di certificazione. Sono composti dalla parte pubblica del certificato e una chiave privata viene mantenuta solo per l'entitÓ a cui viene rilasciato il certificato. L'autoritÓ di certificazione Ŕ un'organizzazione di pubblica nota che fornisce servizi di certificazione come parte dei relativi processi aziendali oppure potrebbe essere un server interno utilizzato solo dall'azienda. In entrambi i casi, il certificato client contiene determinate informazioni che identifica l'utente individualmente o come parte di un gruppo.

In IIS, Ŕ possibile ignorare, accettare o richiedere i certificati client quando un utente accede a risorse nel server. Semplicemente ignorando i certificati significa che non si utilizza, non richiederÓ il client per uno e ignorerÓ uno se viene inviato al server. Se si sceglie di accettare i certificati, il server verrÓ Richiedi un certificato ma non necessariamente negare l'accesso se non viene fornito un certificato. Se i certificati client, l'utente deve fornire un certificato valido o l'utente riceverÓ un messaggio di errore.

Per un certificato per il corretto funzionamento, Ŕ necessario soddisfare determinati requisiti sia il server che sul client. Ogni lato dispone di un elenco di autoritÓ di certificazione principali devono considerare. Quando il server richiede un certificato, la richiesta include un elenco delle autoritÓ di certificazione considerata affidabile dal server. Il client quindi Confronta questo elenco all'elenco delle autoritÓ di certificazione che il client stabilisce una relazione di trust con e crea un elenco di quelli che corrispondono. Il client confronta quindi tale elenco per i certificati client ha e determina che, se presente, i certificati che sia stato emesso da autoritÓ di certificazione attendibili sia il client che sul server. In base al client, potrai vedere un elenco di certificati disponibili se Ŕ presente pi¨ di una autoritÓ di certificazione attendibili di entrambi i lati. Il client invia quindi la parte pubblica del certificato al server. A questo punto, il server verifica in genere per verificare che il certificato Ŕ valido e, se non viene eseguito alcun mapping, le comunicazioni tra il client e il server possono continuare.

Questo rappresenta la funzionalitÓ di base dei certificati client. A questo punto, il server sa solo che il client disponga di un certificato valido.

Di seguito Ŕ in cui le cose interessanti. Il server pu˛ essere configurato per effettuare un mapping del certificato a un account utente. Pu˛ essere un mapping uno-a-uno, in cui il certificato specifico Ŕ mappato a un singolo account utente o un mapping molti a uno, in cui il server utilizza alcuni campi le informazioni del certificato per associare qualsiasi certificato corrispondente un account utente specificato. Quando viene utilizzato un mapping, il certificato consente a cui concedere o negare l'accesso alle risorse di un determinato utente. Quando si utilizza i certificati client in questo modo, non Ŕ necessario utilizzare qualsiasi altro metodo di autenticazione.

Messaggi di errore comuni che riguardano i certificati client

403.7 - Necessario certificato client
Questo messaggio di errore viene visualizzato se un client non fornisce un certificato client quando uno Ŕ necessario. Sia il client ha rifiutato di inviare un certificato client oppure il client non dispone di un certificato rilasciato da un'autoritÓ di certificazione trusted.
403.13 - Client certificato revocato
Questo messaggio di errore indica che il client inviato un certificato, ma entrambi il certificato appare come revocato in elenco di revoche certificati dell'autoritÓ emittente o il server Impossibile recuperare la un CRL da autoritÓ di certificazione.
403.16 - Certificato client Ŕ non attendibile o non valido.
Questo messaggio di errore viene generato principalmente quando il certificato che ha fornito il client viene stabilito in modo non corretto. Anche possibile generare se non esistono autoritÓ di certificazione intermedie nella catena di certificati non considerati attendibili dal server Web.
403.17 - Certificato client scaduto o non Ŕ ancora valido
Questo messaggio di errore Ŕ piuttosto facile interpretazione. Significa che la data corrente sul server non all'interno di intervalli di date vengono presentati nel certificato client.

Informazioni

Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
252657IIS 5.0: HTTP 403.16 operazione non consentita: certificato client non attendibile o non valido
248031Messaggio di errore: HTTP 403.17 - operazione non consentita: certificato client scaduto o non Ŕ ancora valido
294305Viene restituito HTTP "403.13 client certificato revocato" messaggio di errore anche se il certificato non sia stato revocato
313070Come configurare i mapping del certificato client in Internet Information Services (IIS) 5.0
mapping dei certificati client (IIS 6.0)
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/751c99bd-9657-41a5-b541-569d305872ef.mspx?mfr=true
teoria certificato SPKI
http://www.ietf.org/rfc/rfc2693.txt
Come sempre, liberamente inviare idee, gli argomenti desiderati in futuro indirizzati colonne o della Knowledge Base utilizzando il modulo Ask For It.

ProprietÓ

Identificativo articolo: 907274 - Ultima modifica: lunedý 3 dicembre 2007 - Revisione: 1.3
Le informazioni in questo articolo si applicano a:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services version 5.1
  • Microsoft Internet Information Services 5.0
Chiavi:á
kbmt kbiis kbinfo kbhowto KB907274 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 907274
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com