Como configurar certificados intermédios num computador que esteja a executar o IIS para autenticação de servidor

Quando um computador cliente tenta estabelecer ligações de (Secure Sockets Layer) de autenticação de servidor com um servidor Web dos serviços de informação Internet (IIS), a cadeia de certificados de servidor é validada no computador cliente. Para validação este certificado ser concluída com êxito, os certificados intermédios na cadeia de certificados de servidor devem estar configurados correctamente no servidor. Se estes certificados são configurados incorrectamente, poderá falhar a autenticação do servidor. Isto também se aplica a qualquer programa que utiliza SSL / Transport Layer Security (TLS) para autenticação.

Impacto

Computadores cliente não é possível ligar ao servidor que está a executar o IIS. Isto ocorre porque os computadores clientes não poderão autenticar os servidores que não tenham certificados intermédios que estão configurados correctamente.

Recomendação

Configure correctamente os certificados intermédios no servidor. Para mais informações, consulte a secção "Mais informação".

Detalhes técnicos

Validação do certificado X.509 consiste em várias fases. Estas fases incluem a validação de identificação e o caminho do caminho de certificado.

Como parte da identificação de caminho de certificado, os certificados intermédios devem estar localizados para criar o caminho de certificado de um certificado de raiz fidedigna. Um certificado intermédio é um certificado que é útil para determinar se um certificado em última análise foi emitido por uma autoridade de certificação (AC) de raiz válida. Estes certificados podem ser obtidos a partir da cache ou de arquivo de certificados no computador cliente. Os servidores podem também fornecer estas informações para o computador cliente.

Na negociação de SSL, o certificado de servidor é validado no cliente. Neste caso, o servidor fornece os certificados para o computador cliente juntamente com os certificados de emissão intermédios que o computador cliente pode utilizar para criar o caminho do certificado. Cadeia de certificados completa, excepto para o certificado raiz, é enviada para o computador cliente.

O IIS determina o conjunto de certificados que envia para clientes de TLS/SSL criando uma cadeia de certificado de um certificado de autenticação de servidor no contexto de computador local. Certificados intermédios devem estar configurados correctamente adicionando-o arquivo de certificados AC intermediário na conta de computador local no servidor.

Se um operador de servidor instala um certificado SSL juntamente com os certificados de AC emissora relevantes e, em seguida, o operador de servidor mais tarde renova o certificado de SSL, o operador de servidor deve garantir que os certificados de emissão intermédios são actualizados ao mesmo tempo.

Como configurar certificados intermédios

1. Abra o snap-in certificados Microsoft Management Console (MMC). Para o fazer, siga estes passos:
   1. Na linha de comandos, escreva MMC.exe .
   2. Se não estiver a executar o programa como administrador incorporado, vai ser-lhe permissão para executar o programa. Na caixa de diálogo Segurança do Windows , clique em Permitir .
   3. No menu ficheiro , clique em Adicionar/remover Snap-in .
   4. Na caixa de diálogo Adicionar ou remover snap-ins , clique no snap-in certificados na lista de snap-ins disponíveis , clique em Adicionar e, em seguida, clique em OK .
   5. Na caixa de diálogo snap-in Certificados , clique em conta de computador e, em seguida, clique em seguinte .
   6. Na caixa de diálogo Seleccionar computador , clique em Concluir .
   7. Na caixa de diálogo Adicionar ou remover snap-ins , clique em OK.
2. Para adicionar um certificado intermédio, siga estes passos:
   1. No snap-in MMC de certificados, expanda certificados , clique com o botão direito do rato em Autoridades de certificação intermediárias , aponte para Todas as tarefas e, em seguida, clique em Importar .
   2. No Assistente para Importar certificados , clique em seguinte .
   3. Na página ficheiro a importar , escreva o nome de ficheiro do certificado que pretende importar na caixa nome do ficheiro e, em seguida, clique em seguinte .
   4. Clique em seguinte e conclua o assistente.

Para obter mais informações sobre como a função CryptoAPI cria cadeias de certificados e valida o estado de revogação, visite o seguinte site da Web da Microsoft TechNet:

Suporte

Para obter uma lista completa dos números de telefone de suporte técnico da Microsoft e informações sobre os custos de suporte, visite o seguinte Web site da Microsoft: Nota Em casos especiais, os custos normalmente inerentes às chamadas de suporte poderão ser anulados, se um técnico de suporte da Microsoft determinar que uma actualização específica resolverá o problema. Os custos normais do suporte serão aplicados a problemas adicionais e questões de suporte que não se enquadrem na atualização específica em questão.

Recursos de segurança

Para obter mais informações sobre segurança em produtos Microsoft, visite o seguinte site da Web da Microsoft TechNet:

Exclusão de responsabilidade

As informações que são fornecidas no artigo base de dados de conhecimento da Microsoft são fornecidas "tal como está" sem garantias de qualquer tipo. Microsoft não oferece quaisquer garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a um fim específico. Em não caso a Microsoft Corporation ou dos seus fornecedores serão responsáveis por quaisquer prejuízos tipo de prejuízo incluindo directa, indirecta, incidentais, consequentes, perda de lucros negociais ou prejuízos especiais, mesmo que a Microsoft Corporation ou dos seus fornecedores tenham sido notificados da possibilidade de tais prejuízos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por prejuízos consequentes ou incidentais pelo que a limitação supra poderá não ser aplicável.