Jak implementovat protokol SSL ve službě IIS

Souhrn



Internet otevřel nových způsobů organizace komunikaci interně i externě. Lepší komunikace mezi zaměstnanci, dodavateli a zákazníky umožňuje organizaci vyjmout náklady na uvedení produktů na trh rychleji a vytvořit silnější vztahy se zákazníky. Toto zlepšení komunikace vyžaduje----v době přenosu citlivých informací v sítích intranet a Internet. Proto bude nezbytné mít možnost provádět nepadělatelné, soukromé komunikace se známými osobami. To přineslo organizace můžete vytvořit zabezpečenou infrastrukturu založené na kryptografii veřejného klíče pomocí digitálních certifikátů pomocí technologií, jako například protokol SSL (Secure Sockets Layer) (SSL). Tento podrobný návod popisuje, jak nastavit protokol SSL v počítači informační služby (IIS).


Požadavky

Následující položky popisují doporučený hardware, software, síťovou infrastrukturu, dovednosti a knowledge a aktualizace service Pack, které budete potřebovat:

  • Systém Windows 2000 Server, Advanced Server nebo Professional s Internetová informační služba (IIS) verze 5.0 a Microsoft Certificate Server verze 2.0 nainstalován a nakonfigurován.
  • Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition, Windows Server 2003 Datacenter Edition nebo počítač se systémem Windows Server 2003 Web Edition s Internetová informační služba (IIS) 6.0 a služba Certificate Services nainstalována a nakonfigurována.
Pokud počítač, který je hostitelem certifikační Server není počítači, který má služba IIS, budete potřebovat platné síťové či internetové připojení k serveru, který je hostitelem certifikační Server.


Vytvoření žádosti o certifikát

Webový server musí nejprve zkontrolujte žádost o certifikát. Chcete-li to provést, postupujte takto:

  1. Spustíte Internet Service Manager (ISM), který načte modul snap-in Internet Information Server konzola Microsoft Management Console (MMC). Klepněte na tlačítko Start, přejděte na příkaz programy, přejděte na položku Nástroje pro správua potom klepněte na tlačítko Správce služeb Internetu nebo Správce Internetová informační služba (IIS).
  2. Poklepejte na název serveru, aby se zobrazí všechny webové servery. Ve službě IIS 6.0 rozbalte položku webové servery.
  3. Klepněte pravým tlačítkem myši na webu, na kterém chcete nainstalovat certifikát a potom klepněte na příkaz Vlastnosti.
  4. Klepněte na kartu Zabezpečení adresáře a poté klikněte na Certifikát serveru v pololžce Zabezpečená komunikace ke spuštění Průvodce certifikátem webového serveru.
  5. Ve službě IIS 6.0 klepněte na tlačítko Další. Pokud používáte službu IIS 5.0, přejděte ke kroku 6.
  6. Vyberte vytvořit nový certifikát a klepněte na tlačítko Další.
  7. Vyberte připravit žádost nyní, ale odeslat ji později a klepněte na tlačítko Další.
  8. Zadejte název pro certifikát. Chcete shodovat s názvem certifikátu k názvu webového serveru. Nyní vyberte bitová délka; Čím vyšší bitová délka, tím silnější šifrovací certifikát. Vyberte Server Gated Cryptography , pokud uživatelé mohou přicházejících z zemích s omezeními šifrování.
  9. Zadejte název organizace a organizační jednotky (například MyWeb a rozvoj oddělení). Klepněte na tlačítko Další.
  10. Jako běžný název zadejte úplný doménový název (FQDN) nebo název serveru. Pokud vytváříte certifikát, který bude použit v síti Internet, je vhodnější použít úplný název domény (například www.MyWeb.com). klikněte na tlačítko Další.
  11. Zadejte informace o umístění a potom klepněte na tlačítko Další.
  12. Zadejte cestu a název, který chcete uložit informace o certifikátu na a klepněte na tlačítko Další pokračujte.

    Poznámka: Pokud zadáte cokoli jiné než výchozí umístění a název souboru, ujistěte se, zda je Poznámka: název a umístění, které vyberete, budou mít přístup k tomuto souboru v dalších krocích.
  13. Ověřit informace, které jste zadali a potom klepněte na tlačítko Další dokončení procesu a vytvoření žádosti o certifikát.

Odeslání žádosti o certifikát

Žádost o certifikát, které jste právě vytvořili potřebám předkládané k certifikačním úřadem (CÚ). Vlastní server s Certificate Server 2.0 nainstalována na Certifikačního úřadu online jako je například VeriSign nebo to může být. Obraťte se na poskytovatele certifikátu podle vašeho výběru a určit nejlepší úroveň certifikátu pro vaše potřeby. Existují různé způsoby podání požadavku. Obraťte se na certifikační úřad podle vašeho výběru k vyžádání a obdržení certifikátu. Můžete vytvořit svůj vlastní certifikát s Certificate Server 2.0, ale klienti implicitně důvěřují je jako certifikační úřad. Následující kroky předpokládají, že používáte Certificate Server 2.0 jako zprostředkovatel certifikátů.



Poznámka: Průvodce certifikátem služby IIS rozpozná pouze šablony výchozí webový Server. Pokud vyberete Online CÚ rozlehlé sítě, nebude uveden orgán Pokud CÚ používá výchozí Server WWW šablony.
  1. Otevřete prohlížeč a přejděte do http://YourWebServerName/CertSrv /.
  2. Služba IIS 5.0 vyberte žádost o certifikát a klepněte na tlačítko Další. Ve službě IIS 6.0 klepněte na tlačítko žádost o certifikát.
  3. Ve službě IIS 5.0 vyberte Advanced Request a klepněte na tlačítko Další. Ve službě IIS 6.0 klepněte na tlačítko rozšířené žádosti o certifikát.
  4. Služba IIS 5.0 vyberte Odeslat požadavek certifikátu s kódováním Base64 pomocí a klepněte na tlačítko Další. Ve službě IIS 6.0 klepněte na tlačítko Odeslat žádost o certifikát pomocí base kódováním base64 CMC nebo PKCS 10 souboru nebo odeslat žádost o obnovení certifikátu pomocí souboru PKCS #7 kódování base-64.
  5. V Microsoft Notepad otevřete doklad, který jste vytvořili v oddílu "Vytvoření žádosti o certifikát". Ve službě IIS 6.0 můžete také klepnout Vyhledat vkládaný soubor.
  6. Zkopírujte obsah dokumentu. Obsah by měl vypadat takto:
    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIICcjCCAhwCAQAwYjETMBEGA1UEAxMKcm9ic3NlcnZlcjELMAkGA1UECxMCTVMx
    CzAJBgNVBAoTAk1TMREwDwYDVQQHEwhCZWxsZXZ1ZTERMA8GA1UECBMIV2FzaGl0
    b24xCzAJBgNVBAYTAlVTMFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBALYK4sYDNQ7h
    LmSfL0qpIvUfY7Ddw7fNCvDp3rM7z4QqoLhA2c8TkyamqWTBsV0WRHIidf/J6mU4
    wN4wrUzJTLUCAwEAAaCCAVMwGgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMDUG
    CisGAQQBgjcCAQ4xJzAlMA4GA1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEF
    BQcDATCB/QYKKwYBBAGCNw0CAjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0
    ACAAUgBTAEEAIABTAEMAaABhAG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBw
    AGgAaQBjACAAUAByAG8AdgBpAGQAZQByA4GJAGKa0jzBn8fkxScrWsdnU2eUJOMU
    K5Ms87Q+fjP1/pWN3PJnH7x8MBc5isFCjww6YnIjD8c3OfYfjkmWc048ZuGoH7Zo
    D6YNfv/SfAvQmr90eGmKOFFiTD+hl1hM08gu2oxFU7mCvfTQ/2IbXP7KYFGEqaJ6
    wn0Z5yLOByPqblQZAAAAAAAAAAAwDQYJKoZIhvcNAQEFBQADQQCgRCWkaXlY2nVa
    tbn6p5miPwWfrbViYo0B62wkuH0f7J0nSGcxMnn/6Q/iLEIsgHqFhox5PWCzIV0J
    tXKPWrBL
    -----END NEW CERTIFICATE REQUEST-------

    Poznámka: Pokud dokument uložíte s výchozí název a umístění, je umístěn v C:\Certreq.txt.


    Poznámka: Nezapomeňte zkopírovat celý obsah stejně, jak je znázorněno.


  7. Vložte obsah dokumentu do textového pole Base64 kódovaný žádost o certifikát webového formuláře.
  8. V části Šablona certifikátuvyberte Server WWW nebo uživatelea klepněte na tlačítko Odeslat.
  9. Pokud je nastaven Certificate Server Vždy vystavit certifikát, můžete okamžitě přistupovat certifikát. Chcete-li to provést, postupujte takto:
    1. Klepněte na tlačítko Stáhnout certifikát CÚ (neklepejte na Stáhnout certifikát CÚ cesta nebo Stáhnout řetěz certifikátu).
    2. Po zobrazení výzvy, vyberte Uložit tento soubor na disk a uložte certifikát na ploše nebo v jiném umístění, které si zapamatujete. Nyní můžete přejít přímo k "certifikát nainstalovat a nastavit webový server s SSL" oddílu.

Vydávání a stažení certifikátu

Chcete-li vydat certifikát v certifikační Server, postupujte takto:

  1. Otevřete modul snap-in MMC certifikačního úřadu. Klepněte na tlačítko Start, přejděte na příkaz programy, přejděte na položku Nástroje pro správua potom klepněte na tlačítko Certifikační úřad.
  2. Ve službě IIS 5.0 rozbalte položku Certifikační úřad a klepněte na složku Čekající požadavky . V pravém podokně se zobrazí vaše žádosti o certifikát čekající na vyřízení. Ve službě IIS 6.0 rozbalte název serveru.
  3. Klepněte pravým tlačítkem myši čekající žádosti o certifikát, který jste právě odeslali, vyberte Všechny úkolya potom klepněte na tlačítko problém.

    Poznámka: Po výběru problémcertifikát zobrazený v tomto okně a složky. Nyní je umístěn ve složce vydaných certifikátů.
  4. Po vydání (a oprávnění) certifikátu, můžete vrátit certifikát servery webové rozhraní pro výběr a stažení certifikátu. Chcete-li to provést, postupujte takto:
    1. Procházet http://YourWebServerName/CertSrv /.
    2. Na výchozí stránce vyberte možnost Zkontrolovat certifikát čekající na vyřízení a klepněte na tlačítko Další. Ve službě IIS 6.0 klepněte na tlačítko Zobrazit stav žádosti o certifikát čekající na vyřízení.
    3. Vyberte certifikát čekající na vyřízení a klepněte na tlačítko Další přejděte na stránku pro stahování.
    4. Na této stránce, klepněte na tlačítko Stáhnout certifikát CÚ (neklepejte na Stáhnout certifikát CÚ cesta nebo Stáhnout řetěz certifikátu).
    5. Po zobrazení výzvy, vyberte Uložit tento soubor na disk a uložte certifikát na ploše nebo v jiném umístění, které si zapamatujete.

Certifikát nainstalovat a nastavit web používající protokol SSL

Chcete-li tento certifikát nainstalovat, postupujte takto:
  1. Otevřete Správce služeb sítě Internet a rozbalte název serveru, takže můžete zobrazit webové servery.
  2. Klepněte pravým tlačítkem myši webový server, pro kterou jste vytvořili požadavek na certifikát a klepněte na příkaz Vlastnosti.
  3. Klepněte na kartu Zabezpečení adresáře . Ve skupinovém rámečku Zabezpečená komunikaceklepněte na tlačítko Certifikát serveru. Spustí se Průvodce instalací certifikátu. Klepněte na tlačítko Další pokračujte.
  4. Vyberte Proces čekající žádosti a instalace certifikátu a klepněte na tlačítko Další.
  5. Zadejte umístění certifikátu, který jste stáhli v části "Problém a stažení certifikátu" a potom klepněte na tlačítko Další. Průvodce zobrazí certifikát souhrnné informace. Ověřte správnost informací a potom klepněte na tlačítko Další pokračujte.
  6. Klepněte na tlačítko Dokončit dokončete proces.

Konfiguraci a testování certifikát

Chcete-li konfiguraci a testování certifikát, postupujte takto:

  1. Na kartě Zabezpečení adresáře klepněte ve skupinovém rámečku Zabezpečená komunikaceVšimněte si, že jsou nyní k dispozici tři možnosti. Chcete-li nastavit na webu vyžadovat zabezpečené připojení, klepněte na tlačítko Upravit. Zobrazí se dialogové okno Zabezpečená komunikace .
  2. Vyberte Vyžadovat zabezpečený kanál (SSL) a klepněte na tlačítko OK.
  3. Klepněte na tlačítko použít a poté OK zavřete okno vlastností.
  4. Přejděte na web a ověřte, zda funguje. Chcete-li to provést, postupujte takto:
    1. Zadáním http://localhost/Postinfo.html v prohlížeči přístup k webu prostřednictvím protokolu HTTP. Zobrazí chybová zpráva podobná následující:
      HTTP 403.4 – zakázáno: SSL vyžadováno.
    2. Zkuste procházet stejné webové stránce pomocí zabezpečené připojení (HTTPS) zadáním https://localhost/postinfo.html v prohlížeči. Můžete obdržet výstraha zabezpečení, oznamující, že certifikát není z důvěryhodné kořenové CA. klepněte na tlačítko Ano pokračujte na webovou stránku. Pokud se zobrazí stránka, úspěšně jste nainstalovali certifikát.

Poradce při potížích

  • Používání protokolu SSL zpomaluje výkon mezi HTTP serverů a prohlížečů. Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:

    150031 použít protokol SSL vytváří nároky na výkon prohlížeče

  • Při použití aplikace Microsoft Visual InterDev verze 6.0 do Autor webových serverů pomocí protokolu SSL, existuje několik problémů a omezení:
    Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

    Pomocí aplikace Visual InterDev a protokol SSL (Secure Sockets Layer) 238662

  • Tento článek popisuje pouze certifikáty serveru. Certifikát serveru umožňuje uživatelům ověřit identitu serveru, platnost obsahu stránek WWW a navázat zabezpečené připojení. Pokud chcete k ověřování uživatelů, kteří přejdou na web, můžete zvážit použití klientských certifikátů. Typický klientský certifikát obsahuje následující informace: identitu uživatele, identitu certifikačního úřadu, veřejný klíč, který slouží k zabezpečení komunikace, a ověřovací informace, jako například datum konce platnosti a sériové číslo.

ODKAZY

Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

228991 jak vytvořit a nainstalovat certifikát SSL v Internet Information Server 4.0

257591 popis metody handshake protokol SSL (Secure Sockets Layer) (SSL)

299525 jak nastavit protokol SSL pomocí služby IIS 5.0 a Certificate Server 2.0

298805 jak povolit protokol SSL pro všechny zákazníky, kteří pracují s webem v Internetová informační služba

Další informace naleznete následujícím webu Microsoft Developer Network (MSDN):
Vlastnosti

ID článku: 299875 - Poslední kontrola: 19. 1. 2017 - Revize: 1

Váš názor