Certificados de cliente e de IIS

Traduções de Artigos Traduções de Artigos
Artigo: 907274 - Ver produtos para os quais este artigo se aplica.
Coluna de voz de suporte do IIS

Certificados de cliente e de IIS

para personalizar esta coluna às suas necessidades, pretendemos convidá-lo para submeter as suas ideias sobre tópicos que lhe interessam e problemas que pretende ver endereçados artigos de base de dados de conhecimento no futuro e colunas de voz de suporte. Pode submeter as ideias e comentários utilizando o formulário Ask For It. Também há uma hiperligação para o formulário na parte inferior desta coluna.
Expandir tudo | Reduzir tudo

Nesta página

Introdução

Olá. O nome é David Dietz e tem sido ISS (Serviços de informação Internet Information Services) de suporte os últimos seis anos. Durante este período de tempo, um tópico que tenha sido um desafio para muitos administradores da Web é certificados de cliente. Neste artigo, irá avançar através de algumas noções básicas de certificados de cliente e tente algumas sentido de o que são e o podem fazer.

Alguns dos misconceptions vemos com regularidade são:
  • Certificados de cliente são necessários para efectuar SSL funcione correctamente.
  • Quando utilizar certificados de cliente, não necessita de um certificado no servidor.
  • Um certificado de cliente emitido por qualquer autoridade de certificação irá funcionar com qualquer servidor.
  • Se emitir um certificado de cliente, seu servidor Web automaticamente aceitará-lo.
O primeiro e talvez a maior parte dos ponto confuso é a diferença entre os certificados de cliente e certificados de servidor segura de sockets (SSL, Secure Sockets Layer). Apesar de certificados de cliente e o certificados de servidor SSL utilizarem certificados, não são directamente relacionados entre si. Certificados de servidor SSL fornecem a funcionalidade de encriptação e segurança. Certificados de cliente fornecem funcionalidade de autenticação de utilizador. Se isto faz sentido, o resto deverá ser fácil.

Cliente certificados são emitidos para um utilizador por uma autoridade de certificação. Podem consistem a parte da chave pública do certificado e uma chave privada é mantida apenas pela entidade à qual o certificado é emitido. A autoridade de certificação pode estar numa organização pública conhecida que fornece serviços de certificados como parte da sua empresa, ou pode ser um servidor interno apenas a empresa utiliza. Em qualquer dos casos, o certificado de cliente terão de determinadas informações que identifica o utilizador individualmente ou como parte de um grupo.

No IIS, tem a opção de ignorar, aceitar ou requerer certificados de cliente quando um utilizador acede a recursos no servidor. Ignorar certificados simplesmente significa que não estiver a utilizá-los, pedirá não o cliente para um e irá ignorar um se é enviada para o servidor. Se optar por aceitar certificados, o servidor irá pedir um certificado mas não será necessariamente negar o acesso se não for fornecido um certificado. Se necessitar de certificados de cliente, o utilizador tem de fornecer um certificado válido ou o utilizador irá receber uma mensagem de erro.

Para um certificado funcionar correctamente, devem ser cumpridos alguns requisitos no servidor e o cliente. Cada lado tem uma lista das autoridades de certificação de raiz confia. Quando o servidor pede um certificado, o pedido inclui uma lista das autoridades de certificação que considera fidedigno o servidor. O cliente, em seguida, compara esta lista para a lista de autoridades de certificação que considera fidedigno e cria uma lista das que corresponder. Em seguida, o cliente compara essa lista os certificados de cliente que tem e determina que, se existirem, certificados tenham sido emitidos por autoridades de certificação que o cliente e o servidor de fidedignidade. Dependendo do cliente, poderá ver uma lista de certificados para escolher se existir mais do que uma autoridade de certificação que ambos os lados de fidedignidade. O cliente envia, em seguida, a parte pública do certificado para o servidor. Neste momento, o servidor verifica geralmente para garantir que o certificado é válido e, se for efectuado sem mapeamento, as comunicações entre o cliente e o servidor podem continuar.

Esta é a funcionalidade básica de certificados de cliente. Neste momento, o servidor reconhece apenas o cliente tem um certificado válido.

Segue-se onde obter interessantes coisas. O servidor pode ser configurado para efectuar um mapeamento de certificado para uma conta de utilizador. Isto pode ser qualquer um mapeamento um-para-um, onde o certificado específico é mapeado para uma conta de utilizador individual ou um mapeamento muitos-para-um, onde o servidor utiliza determinados campos nas informações de certificado para mapear qualquer certificado correspondente para uma conta de utilizador designado. Quando é utilizado um mapeamento, o certificado permite ao utilizador ser concedido ou negado acesso a recursos como um utilizador específico. Quando utilizar certificados de cliente desta forma, não é necessário utilizar outro método de autenticação.

Mensagens de erro comuns estão relacionados com certificados de cliente

403.7 - Certificado de cliente necessário
Esta mensagem de erro ocorre se um cliente não fornecer um certificado de cliente quando um é necessário. Ou recusou o cliente enviar um certificado de cliente ou o cliente não tinha um certificado emitido por uma autoridade de certificação mutuamente confiável.
Cliente - 403.13 certificado revogado
Esta mensagem de erro significa que o cliente enviado um certificado, mas qualquer certificado apresentado como revogado na lista de revogação de certificados de autoridade emissora ou o servidor não conseguiu obter uma CRL da autoridade de emissão.
403.16 - Certificado de cliente não é fidedigno ou inválido.
Esta mensagem de erro é gerada principalmente quando o certificado de cliente fornecido está incorrectamente formado. Também pode ser gerada se não existem autoridades de certificação intermediárias na cadeia de certificados que não considerado fidedigno pelo servidor da Web.
403.17 - Certificado de cliente expirou ou ainda não é válido
Esta mensagem de erro é bastante facilmente compreensíveis. Isso significa que a data actual no servidor não está dentro os intervalos de data válidos são apresentados no certificado do cliente.

Mais Informação

Para obter mais informações, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
252657IIS 5.0: HTTP 403.16 proibido: o certificado de cliente não fidedigno ou inválido
248031Mensagem de erro: HTTP 403.17 - proibido: o certificado de cliente expirou ou ainda não é válido
294305O IIS devolve HTTP "403.13 de certificado cliente revogado" mensagem de erro apesar do certificado não é revogado
313070Como configurar os mapeamentos de certificados de cliente de serviços de informação Internet (IIS) 5.0
mapeamento de certificado (IIS 6.0)
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/751c99bd-9657-41a5-b541-569d305872ef.mspx?mfr=true
teoria do certificado SPKI
http://www.ietf.org/rfc/rfc2693.txt
Como sempre, vontade submeter ideias tópicos que pretende no futuro corrigida colunas ou na base de dados de conhecimento utilizando o formulário Ask For It.

Propriedades

Artigo: 907274 - Última revisão: 3 de dezembro de 2007 - Revisão: 1.3
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services version 5.1
  • Microsoft Internet Information Services 5.0
Palavras-chave: 
kbmt kbiis kbinfo kbhowto KB907274 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 907274

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com