Certificados de cliente e IIS

Introdução

Hello. Meu nome é David Dietz e tenha sido suporte Microsoft (IIS) nos últimos seis anos. No decorrer de neste momento, um tópico que foi um desafio para muitos administradores da Web é certificados de cliente. Neste artigo, será vá sobre algumas noções básicas de certificados de cliente e tente fazer algum sentido do que eles são para e o que eles podem fazer.

Alguns dos erros de concepção vemos regularmente são:

• Certificados de cliente são necessárias para tornar o SSL funcionar corretamente.
• Ao usar certificados de cliente, não é necessário um certificado no servidor.
• Um certificado de cliente que é emitido por qualquer autoridade de certificação irá trabalhar com qualquer servidor.
• Se você emitir um certificado de cliente, seu servidor Web serão automaticamente aceitas-lo.

O primeiro e talvez a maioria dos ponto confuso é a diferença entre certificados de cliente e certificados de servidor SSL (Secure Sockets LAYER). Embora certificados de cliente e o certificados de servidor SSL usam certificados, eles não estão diretamente relacionados umas às outras. Certificados de servidor SSL fornecem funcionalidade de criptografia e segurança. Certificados de cliente fornecem funcionalidade de autenticação de usuário. Se isso faz sentido, o restante deve ser fácil.

Cliente certificados são emitidos para um usuário por uma autoridade de certificação. Elas consistem na parte da chave pública do certificado e uma chave particular que é mantida somente pela entidade ao qual o certificado é emitido. A autoridade de certificação pode ser uma organização pública conhecida que fornece serviços de certificados como parte de seus negócios, ou pode ser um servidor interno que usa somente sua empresa. Em ambos os casos, o certificado de cliente terá determinadas informações que identifica o usuário individualmente ou como parte de um grupo.

No IIS, você tem a opção de ignorar, aceitando ou exigir certificados de cliente quando um usuário acessa recursos no servidor. Ignorar certificados simplesmente significa que você não os estiver usando, não solicitará o cliente um e descartará um se ele for enviado para seu servidor. Se você optar por aceitar certificados, o servidor solicitará um certificado, mas não necessariamente negará acesso se um certificado não for fornecido. Se os necessários certificados de cliente, o usuário deve fornecer um certificado válido ou o usuário receberá uma mensagem de erro.

Para um certificado funcione corretamente, certos requisitos devem ser atendidos no servidor e o cliente. Cada lado possui uma lista de autoridades de certificação raiz que eles confiam. Quando o servidor solicita um certificado, a solicitação inclui uma lista de autoridades de certificação que o servidor confia. O cliente, em seguida, compara essa lista para a lista de autoridades de certificação que o cliente confia e cria uma lista das que corresponde ao. Em seguida, o cliente compara essa lista para os certificados de cliente possui e determina que, se houver, certificados tem sido emitidos por autoridades de certificação que o cliente e o servidor confiam. Dependendo do cliente, você poderá ver uma lista de certificados para escolher se houver mais de uma autoridade de certificação confiam em ambos os lados. O cliente, em seguida, envia a parte pública do certificado para o servidor. Neste ponto, o servidor geralmente verifica para garantir que o certificado é válido e, se nenhum mapeamento é executado, as comunicações entre o cliente e o servidor podem continuar.

Isso é a funcionalidade mais básica de certificados de cliente. Neste ponto, o servidor sabe apenas que o cliente tem um certificado válido.

Aqui é onde as coisas ficam interessantes. O servidor pode ser configurado para fazer um mapeamento de certificado a uma conta de usuário. Isso pode ser um mapeamento um-para-um, onde o certificado específico é mapeado para uma conta de usuário único ou um mapeamento de muitos-para-um, onde o servidor usa determinados campos nas informações de certificado para mapear qualquer certificado correspondente para uma conta de usuário designado. Quando um mapeamento é usado, o certificado permite que o usuário ser concedido ou negado acesso a recursos como um usuário específico. Ao usar certificados de cliente dessa maneira, não é necessário usar qualquer outro método de autenticação.

Mensagens de erro comuns relacionadas a certificados de cliente

Essa mensagem de erro é recebida se um cliente não fornecer um certificado de cliente quando um é necessário. Talvez o cliente se recusou a enviar um certificado de cliente ou o cliente com um certificado emitido por uma autoridade de certificação mutuamente confiável.Essa mensagem de erro significa que o cliente enviado um certificado, mas tanto o certificado exibido como revogado na lista de revogação de certificados da autoridade emissora ou o servidor não pôde recuperar uma lista da autoridade de emissão. Essa mensagem de erro é gerada principalmente quando o certificado que o cliente fornecido é formado incorretamente. Ele também pode ser gerado se não houver autoridades de certificação intermediária na cadeia de certificados que não são confiáveis para o servidor Web. Essa mensagem de erro é bastante auto-explicativo. Isso significa que a data atual no servidor não é nos intervalos de data válida que são apresentados no certificado de cliente.

Para obter mais informações, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft: mapeamento de certificado de cliente (IIS 6.0) SPKI teoria de certificado Como sempre, vontade enviar idéias sobre tópicos desejado no futuro abordada colunas ou na Base de dados de Conhecimento usando o formulário Ask For It (http://support.microsoft.com/common/survey.aspx?scid=sw;en;1176&p0=&p1=&p2=&p3=&p4=) .