Службы IIS и клиентских сертификатов

Переводы статьи Переводы статьи
Код статьи: 907274 - Vizualiza?i produsele pentru care se aplic? acest articol.
Поддержка голосовой IIS столбца

Службы IIS и клиентских сертификатов

Для настройки этого столбца в соответствии с потребностями, мы хотим пригласить можно отправлять свои идеи по темам, которые интересуют вопросы, которые вы хотите увидеть и направлено в будущих статьях базы знаний и поддержка голосовой связи столбцов. Вы можете отправить свои идеи и с помощью обратной связи Попросите его форма. Также имеется ссылка на форму в нижней части этого столбца.
Развернуть все | Свернуть все

В этой статье

Введение

Hello. Мое имя — Дэвид Dietz и я поддерживал Microsoft Интернет Information Services (IIS) для последние шесть лет. На протяжении этого времени один раздел, имеющий была сложной задачей для многих веб-администраторов — клиентские сертификаты. В этом статьи, я, рассматриваются некоторые основные принципы клиентских сертификатов и попытаться Некоторые смысла, они являются и их возможности.

Некоторые из Обилие, которые мы видим на регулярной основе являются:
  • Клиентских сертификатов, необходимых для изготовления SSL работает правильно.
  • При использовании клиентских сертификатов, не требуется сертификат на сервере.
  • Клиентский сертификат, выданный центром любого центра сертификации будет работать с любым сервером.
  • Если сертификат клиента, веб-сервер будет автоматически примите его.
Первый и возможно большинства толку точка является различие между клиентом и сертификатов Secure Sockets Layer (SSL) сервера. Несмотря на то что клиентские сертификаты и сертификаты SSL сервер используют сертификаты, они не связаны напрямую друг с другом. Серверные сертификаты SSL обеспечивает шифрование и функции безопасности. Клиентские сертификаты проверки подлинности пользователя функциональные возможности. Если это имеет смысл, остальные должно быть несложно.

Клиент сертификаты выдаются пользователю центром сертификации. Они состоят из открытую часть сертификата и закрытого ключа, который хранится только сущность к которому выдан сертификат. Возможно, известного центра сертификации общей организации, которая предоставляет службы сертификации как часть его бизнес, или может быть внутренний сервер, использующий только вашей компании. В так или иначе, клиентский сертификат будет иметь определенную информацию, идентифицирует пользователя, по отдельности или в составе группы.

В службах IIS Имеется возможность игнорирования, принятие или получить сертификаты клиентов Когда пользователь получает доступ к ресурсам на сервере. Просто игнорировать сертификаты означает, что вы не используете их, не Требуйте один клиент и будет Отмените один при отправке на сервер. Если вы решили принимать сертификаты, Ваш сервер будет запрашивать сертификат, но обязательно не запрещать доступ Если сертификат не предоставляется. Требовать сертификаты клиентов, пользователю необходимо будет ввести действительный сертификат или пользователь получит сообщение об ошибке.

Для сертификатов для нормальной работы, необходимо выполнить определенные требования на сервер и клиент. Каждая сторона имеет список корневого центра сертификации центры, которые они доверяют. Когда сервер запрашивает сертификат, запрос включает список центров сертификации, доверяет сервер. Клиент затем сравнивает этот список список центров сертификации, что клиент доверяет и создает список тех Это совпадение. Затем клиент сравнивает, перечислены в сертификаты клиента есть и определяет, какие выдан, сертификаты центров сертификации, которые доверяют клиент и сервер. В зависимости от клиента, может появиться список сертификатов для выбора при наличии более одного центра сертификации, обе стороны доверия. Клиент затем посылает открытую часть сертификата на сервере. На этом этапе сервер обычно выполняет проверку, сертификат действителен, и, если сопоставление не выполняется, связь между клиент и сервер могут продолжать.

Это самый простой функциональные возможности клиентских сертификатов. На этом этапе сервер знает только что клиент имеет действительный сертификат.

Вот где получить вещей интересно. Сервер может быть настроен для этого сопоставления сертификата учетная запись пользователя. Это может быть либо взаимно-однозначное соответствие, где определенный сертификат сопоставляется одной учетной записи пользователя или сопоставления один ко многим, где сервер использует для сопоставления любой определенных полей в сведения о сертификате Сопоставление сертификата учетной записи пользователя. При использовании сопоставления сертификат позволяет пользователю разрешен или запрещен доступ к ресурсам как конкретного пользователя. При использовании клиентских сертификатов, таким образом, у вас нет Чтобы использовать другой метод проверки подлинности.

Типичные сообщения об ошибках, связанных с сертификатами клиента

403.7 - Сертификат клиента Необходим
Это сообщение об ошибке получено, если клиент не поддерживает сертификат клиента, когда это требуется. Любой клиент отказался отправить сертификат клиента или клиент не имеет сертификат, выданный является доверенной Центр сертификации.
403.13 - Клиента сертификат отозван
Это сообщение об ошибке означает, что сертификат, отправленных клиентом но либо сертификат отображается как отозванный в выдающего центра сертификации Список отзыва или сервер не удалось получить список отзыва Сертификатов от выдачи Центр.
403.16 - Клиентский сертификат ненадежные или недопустим.
Это сообщение об ошибке является главным образом генерируются при сертификат, предоставленный клиентом имеет неправильный формат. Он также может возникать при существует промежуточных центров сертификации сертификат в цепочке, не считаются надежными веб-сервером.
403.17- Сертификат клиента истек или еще не действителен
Это сообщение об ошибке очевидно. Это означает, что текущая дата на сервере не в пределах допустимых диапазонов дат, которые представлены в сертификате клиента.

Дополнительная информация

Для получения дополнительных сведений щелкните следующие номера статей базы знаний Майкрософт:
252657IIS 5.0: HTTP 403.16 запрещено: клиентский сертификат недействителен или ненадежных
248031 Сообщение об ошибке: HTTP 403.17 - запрет доступа: клиентского сертификата уже истек или еще не действителен
294305 Службы IIS возвращают сообщение об ошибке «403.13 клиентский сертификат отозван» HTTP, несмотря на то, что сертификат не отозван
313070 Настройка сопоставления сертификата клиента в информации службы Интернета (IIS) версии 5.0
Сопоставление сертификатов клиентов (IIS 6.0)
http://www.Microsoft.com/TechNet/prodtechnol/windowsserver2003/Library/IIS/751c99bd-9657-41a5-b541-569d305872ef.mspx?mfr=true
Теория SPKI сертификата
http://www.IETF.org/RFC/rfc2693.txt
Как всегда вы можете отправить идеи по разделам требуется направлено в будущих статьях или использование знаний Попросите его форма.

Свойства

Код статьи: 907274 - Последний отзыв: 19 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Internet Information Services 6.0
Ключевые слова: 
kbiis kbinfo kbhowto kbmt KB907274 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:907274

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com