Certificados de cliente e de IIS

Introdução

Olá. O nome é David Dietz e tem sido ISS (Serviços de informação Internet Information Services) de suporte os últimos seis anos. Durante este período de tempo, um tópico que tenha sido um desafio para muitos administradores da Web é certificados de cliente. Neste artigo, irá avançar através de algumas noções básicas de certificados de cliente e tente algumas sentido de o que são e o podem fazer.

Alguns dos misconceptions vemos com regularidade são:

• Certificados de cliente são necessários para efectuar SSL funcione correctamente.
• Quando utilizar certificados de cliente, não necessita de um certificado no servidor.
• Um certificado de cliente emitido por qualquer autoridade de certificação irá funcionar com qualquer servidor.
• Se emitir um certificado de cliente, seu servidor Web automaticamente aceitará-lo.

O primeiro e talvez a maior parte dos ponto confuso é a diferença entre os certificados de cliente e certificados de servidor segura de sockets (SSL, Secure Sockets Layer). Apesar de certificados de cliente e o certificados de servidor SSL utilizarem certificados, não são directamente relacionados entre si. Certificados de servidor SSL fornecem a funcionalidade de encriptação e segurança. Certificados de cliente fornecem funcionalidade de autenticação de utilizador. Se isto faz sentido, o resto deverá ser fácil.

Cliente certificados são emitidos para um utilizador por uma autoridade de certificação. Podem consistem a parte da chave pública do certificado e uma chave privada é mantida apenas pela entidade à qual o certificado é emitido. A autoridade de certificação pode estar numa organização pública conhecida que fornece serviços de certificados como parte da sua empresa, ou pode ser um servidor interno apenas a empresa utiliza. Em qualquer dos casos, o certificado de cliente terão de determinadas informações que identifica o utilizador individualmente ou como parte de um grupo.

No IIS, tem a opção de ignorar, aceitar ou requerer certificados de cliente quando um utilizador acede a recursos no servidor. Ignorar certificados simplesmente significa que não estiver a utilizá-los, pedirá não o cliente para um e irá ignorar um se é enviada para o servidor. Se optar por aceitar certificados, o servidor irá pedir um certificado mas não será necessariamente negar o acesso se não for fornecido um certificado. Se necessitar de certificados de cliente, o utilizador tem de fornecer um certificado válido ou o utilizador irá receber uma mensagem de erro.

Para um certificado funcionar correctamente, devem ser cumpridos alguns requisitos no servidor e o cliente. Cada lado tem uma lista das autoridades de certificação de raiz confia. Quando o servidor pede um certificado, o pedido inclui uma lista das autoridades de certificação que considera fidedigno o servidor. O cliente, em seguida, compara esta lista para a lista de autoridades de certificação que considera fidedigno e cria uma lista das que corresponder. Em seguida, o cliente compara essa lista os certificados de cliente que tem e determina que, se existirem, certificados tenham sido emitidos por autoridades de certificação que o cliente e o servidor de fidedignidade. Dependendo do cliente, poderá ver uma lista de certificados para escolher se existir mais do que uma autoridade de certificação que ambos os lados de fidedignidade. O cliente envia, em seguida, a parte pública do certificado para o servidor. Neste momento, o servidor verifica geralmente para garantir que o certificado é válido e, se for efectuado sem mapeamento, as comunicações entre o cliente e o servidor podem continuar.

Esta é a funcionalidade básica de certificados de cliente. Neste momento, o servidor reconhece apenas o cliente tem um certificado válido.

Segue-se onde obter interessantes coisas. O servidor pode ser configurado para efectuar um mapeamento de certificado para uma conta de utilizador. Isto pode ser qualquer um mapeamento um-para-um, onde o certificado específico é mapeado para uma conta de utilizador individual ou um mapeamento muitos-para-um, onde o servidor utiliza determinados campos nas informações de certificado para mapear qualquer certificado correspondente para uma conta de utilizador designado. Quando é utilizado um mapeamento, o certificado permite ao utilizador ser concedido ou negado acesso a recursos como um utilizador específico. Quando utilizar certificados de cliente desta forma, não é necessário utilizar outro método de autenticação.

Mensagens de erro comuns estão relacionados com certificados de cliente

Esta mensagem de erro ocorre se um cliente não fornecer um certificado de cliente quando um é necessário. Ou recusou o cliente enviar um certificado de cliente ou o cliente não tinha um certificado emitido por uma autoridade de certificação mutuamente confiável.Esta mensagem de erro significa que o cliente enviado um certificado, mas qualquer certificado apresentado como revogado na lista de revogação de certificados de autoridade emissora ou o servidor não conseguiu obter uma CRL da autoridade de emissão. Esta mensagem de erro é gerada principalmente quando o certificado de cliente fornecido está incorrectamente formado. Também pode ser gerada se não existem autoridades de certificação intermediárias na cadeia de certificados que não considerado fidedigno pelo servidor da Web. Esta mensagem de erro é bastante facilmente compreensíveis. Isso significa que a data actual no servidor não está dentro os intervalos de data válidos são apresentados no certificado do cliente.

Para obter mais informações, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft: mapeamento de certificado (IIS 6.0) teoria do certificado SPKI Como sempre, vontade submeter ideias tópicos que pretende no futuro corrigida colunas ou na base de dados de conhecimento utilizando o formulário Ask For It (http://support.microsoft.com/common/survey.aspx?scid=sw;en;1176&p0=&p1=&p2=&p3=&p4=) .