Certificados de cliente e IIS

Traduções deste artigo Traduções deste artigo
ID do artigo: 907274 - Exibir os produtos aos quais esse artigo se aplica.
Coluna de voz de suporte do IIS

Certificados de cliente e IIS

para personalizar esta coluna às suas necessidades, queremos convidá-lo para enviar suas idéias sobre tópicos que interessam a você e problemas que você deseja ver abordados artigos do Knowledge Base no futuro e colunas de voz de suporte. Você pode enviar suas idéias e comentários usando o formulário Ask For It. Há também um link para o formulário na parte inferior desta coluna.
Expandir tudo | Recolher tudo

Neste artigo

Introdução

Hello. Meu nome é David Dietz e tenha sido suporte Microsoft (IIS) nos últimos seis anos. No decorrer de neste momento, um tópico que foi um desafio para muitos administradores da Web é certificados de cliente. Neste artigo, será vá sobre algumas noções básicas de certificados de cliente e tente fazer algum sentido do que eles são para e o que eles podem fazer.

Alguns dos erros de concepção vemos regularmente são:
  • Certificados de cliente são necessárias para tornar o SSL funcionar corretamente.
  • Ao usar certificados de cliente, não é necessário um certificado no servidor.
  • Um certificado de cliente que é emitido por qualquer autoridade de certificação irá trabalhar com qualquer servidor.
  • Se você emitir um certificado de cliente, seu servidor Web serão automaticamente aceitas-lo.
O primeiro e talvez a maioria dos ponto confuso é a diferença entre certificados de cliente e certificados de servidor SSL (Secure Sockets LAYER). Embora certificados de cliente e o certificados de servidor SSL usam certificados, eles não estão diretamente relacionados umas às outras. Certificados de servidor SSL fornecem funcionalidade de criptografia e segurança. Certificados de cliente fornecem funcionalidade de autenticação de usuário. Se isso faz sentido, o restante deve ser fácil.

Cliente certificados são emitidos para um usuário por uma autoridade de certificação. Elas consistem na parte da chave pública do certificado e uma chave particular que é mantida somente pela entidade ao qual o certificado é emitido. A autoridade de certificação pode ser uma organização pública conhecida que fornece serviços de certificados como parte de seus negócios, ou pode ser um servidor interno que usa somente sua empresa. Em ambos os casos, o certificado de cliente terá determinadas informações que identifica o usuário individualmente ou como parte de um grupo.

No IIS, você tem a opção de ignorar, aceitando ou exigir certificados de cliente quando um usuário acessa recursos no servidor. Ignorar certificados simplesmente significa que você não os estiver usando, não solicitará o cliente um e descartará um se ele for enviado para seu servidor. Se você optar por aceitar certificados, o servidor solicitará um certificado, mas não necessariamente negará acesso se um certificado não for fornecido. Se os necessários certificados de cliente, o usuário deve fornecer um certificado válido ou o usuário receberá uma mensagem de erro.

Para um certificado funcione corretamente, certos requisitos devem ser atendidos no servidor e o cliente. Cada lado possui uma lista de autoridades de certificação raiz que eles confiam. Quando o servidor solicita um certificado, a solicitação inclui uma lista de autoridades de certificação que o servidor confia. O cliente, em seguida, compara essa lista para a lista de autoridades de certificação que o cliente confia e cria uma lista das que corresponde ao. Em seguida, o cliente compara essa lista para os certificados de cliente possui e determina que, se houver, certificados tem sido emitidos por autoridades de certificação que o cliente e o servidor confiam. Dependendo do cliente, você poderá ver uma lista de certificados para escolher se houver mais de uma autoridade de certificação confiam em ambos os lados. O cliente, em seguida, envia a parte pública do certificado para o servidor. Neste ponto, o servidor geralmente verifica para garantir que o certificado é válido e, se nenhum mapeamento é executado, as comunicações entre o cliente e o servidor podem continuar.

Isso é a funcionalidade mais básica de certificados de cliente. Neste ponto, o servidor sabe apenas que o cliente tem um certificado válido.

Aqui é onde as coisas ficam interessantes. O servidor pode ser configurado para fazer um mapeamento de certificado a uma conta de usuário. Isso pode ser um mapeamento um-para-um, onde o certificado específico é mapeado para uma conta de usuário único ou um mapeamento de muitos-para-um, onde o servidor usa determinados campos nas informações de certificado para mapear qualquer certificado correspondente para uma conta de usuário designado. Quando um mapeamento é usado, o certificado permite que o usuário ser concedido ou negado acesso a recursos como um usuário específico. Ao usar certificados de cliente dessa maneira, não é necessário usar qualquer outro método de autenticação.

Mensagens de erro comuns relacionadas a certificados de cliente

403.7 - Certificado de cliente necessário
Essa mensagem de erro é recebida se um cliente não fornecer um certificado de cliente quando um é necessário. Talvez o cliente se recusou a enviar um certificado de cliente ou o cliente com um certificado emitido por uma autoridade de certificação mutuamente confiável.
403.13 - Cliente certificado revogado
Essa mensagem de erro significa que o cliente enviado um certificado, mas tanto o certificado exibido como revogado na lista de revogação de certificados da autoridade emissora ou o servidor não pôde recuperar uma lista da autoridade de emissão.
403.16 - Certificado de cliente não é confiável ou inválido.
Essa mensagem de erro é gerada principalmente quando o certificado que o cliente fornecido é formado incorretamente. Ele também pode ser gerado se não houver autoridades de certificação intermediária na cadeia de certificados que não são confiáveis para o servidor Web.
403.17 - Certificado de cliente expirou ou ainda não é válido
Essa mensagem de erro é bastante auto-explicativo. Isso significa que a data atual no servidor não é nos intervalos de data válida que são apresentados no certificado de cliente.

Mais Informações

Para obter mais informações, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
252657IIS 5.0: HTTP 403.16 Proibido: certificados de cliente não confiável ou inválido
248031Mensagem de erro: HTTP 403.17 - Proibido: o certificado de cliente expirou ou ainda não é válido
294305O IIS retorna HTTP "403.13 certificado de cliente revogado" mensagem de erro embora o certificado não foi revogado
313070Como configurar mapeamentos de certificado de cliente no Internet Information Services (IIS) 5.0
mapeamento de certificado de cliente (IIS 6.0)
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/751c99bd-9657-41a5-b541-569d305872ef.mspx?mfr=true
SPKI teoria de certificado
http://www.ietf.org/rfc/rfc2693.txt
Como sempre, vontade enviar idéias sobre tópicos desejado no futuro abordada colunas ou na Base de dados de Conhecimento usando o formulário Ask For It.

Propriedades

ID do artigo: 907274 - Última revisão: segunda-feira, 3 de dezembro de 2007 - Revisão: 1.3
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services version 5.1
  • Microsoft Internet Information Services 5.0
Palavras-chave: 
kbmt kbiis kbinfo kbhowto KB907274 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 907274

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com