Služba IIS a klientských certifikátů

Sloupec hlasové podpory služby IIS

Služba IIS a klientských certifikátů

Chcete-li upravit tento sloupec vašim potřebám, chceme pozvat sdělit své nápady o tématech, které zajímají je a problémy, které chcete zobrazit adresovány v budoucnu články znalostní báze a podpora hlasové sloupce. Můžete odeslat nápady a názor pomocí formuláře Požádat pro něj . Je také odkaz na formulář v dolní části tohoto sloupce.

Úvod

Dobrý den. Mé jméno je David Dietz a I mít byla podpůrných Internetová informační služba (IIS) pro posledních šest let. V průběhu této doby je jedno téma, které bylo výzvou pro mnoho webových správců klientských certifikátů. V tomto článku se I projít základy klientské certifikáty a zkuste některé smysl jsou pro a co můžete udělat.

Některé mylné představy, které vidíme v pravidelných intervalech jsou:
  • Klientské certifikáty, je třeba nastavit SSL pracovat správně.
  • Při použití certifikátů klientů, nepotřebujete certifikát na serveru.
  • Klientský certifikát vydaný jakékoli certifikační úřad bude pracovat s libovolný server.
  • Pokud vydáte certifikát klienta, webový server bude automaticky přijmout.
První a možná nejvíce matoucí bod je rozdíl mezi klientské certifikáty a certifikáty serveru protokol SSL (Secure Sockets Layer) (SSL). Ačkoli klientské certifikáty a certifikáty serveru protokol SSL používat certifikáty, nejsou ve spojení přímo k sobě navzájem. Certifikáty SSL serveru poskytují funkce pro šifrování a zabezpečení. Klientské certifikáty poskytují funkce ověřování uživatele. Pokud to dává smysl, zbytek by měl být snadno.

Klientské certifikáty jsou uživateli vydán certifikačním úřadem. Skládají se z veřejné části klíče certifikát a soukromý klíč, který je v držení pouze entity, které je certifikát vydán. Certifikační úřad může být dobře známé veřejné organizace, která poskytuje služby certificate services v rámci své obchodní nebo může být interní server, který používá pouze pro vaši společnost. V obou případech bude mít klientský certifikát určité informace, které identifikuje uživatele samostatně nebo jako součást skupiny.

Ve službě IIS máte možnost Ignorovat, přijímat nebo vyžadující klientské certifikáty, pokud uživatel přistupuje k prostředkům na serveru. Ignorování certifikáty znamená je nepoužíváte, nebude klient požádat o jednu a dojde ke ztrátě jednoho Pokud je odeslána na server. Pokud se rozhodnete přijmout certifikáty serveru bude výzvu k potvrzení ale nikoli nutně odepřete přístup, pokud certifikát není k dispozici. Pokud budete vyžadovat klientské certifikáty, je nutné zadat platný certifikát nebo uživatel obdrží chybovou zprávu.

Certifikát správně fungovat musí být splněny určité požadavky na serveru a klienta. Každá strana obsahuje seznam kořenových certifikačních úřadů, které důvěřují. Pokud server zobrazí výzvu k potvrzení, žádost obsahuje seznam certifikačních úřadů, které server důvěřuje. Klient potom porovná tento seznam do seznamu certifikačních úřadů, že klient důvěřuje a vytvoří seznam těch, které odpovídají. Klient potom porovná tento seznam klientských certifikátů má a určuje, které případné certifikáty byly vydány certifikačními úřady, které klient i server důvěryhodné. V závislosti na klientovi může zobrazit seznam certifikátů, které můžete vybírat, pokud existuje více než jeden certifikační úřad, který obě strany vztahu důvěryhodnosti. Klient potom odešle veřejné části certifikátu na server. V tomto okamžiku server obecně zkontroluje, ujistěte se, že je certifikát platný a pokud je provedeno žádné mapování, můžete pokračovat v komunikaci mezi klientem a serverem.

Toto je základní funkce klientské certifikáty. V tomto okamžiku server ví pouze, že má klient platný certifikát.

Zde je, kde získat zajímavé věci. Server lze nakonfigurovat mapování certifikátu na uživatelský účet. Může to být prosté mapování, kde je konkrétní certifikát mapován na jeden uživatelský účet nebo mapování typu n: 1, pokud server používá určitých polí certifikátu informace mapovat odpovídající certifikát určený uživatelský účet. Při použití mapování certifikátu umožňuje uživateli udělen nebo odepřen přístup k prostředkům jako určitý uživatel. Při použití klientské certifikáty tímto způsobem, není nutné použít jinou metodu ověřování.

Běžné chybové zprávy, které souvisejí s klientskými certifikáty

403.7 – požadován klientský certifikát
Tato chybová zpráva je přijata, pokud klient neposkytuje certifikát klienta je požadována. Klient odmítl odeslat certifikát klienta nebo klient nemá certifikát vydaný důvěryhodné certifikační autority.
403.13 – klientský certifikát byl odvolán
Tato chybová zpráva znamená, že klient odešle certifikát, ale buď certifikát se zobrazí jako odvolaný v seznamu odvolaných certifikátů vydávající orgán nebo server nemohl načíst seznam CRL od vydávajícího úřadu.
403.16 – klientský certifikát je nedůvěryhodný nebo neplatný.
Tato chybová zpráva především dojde je nesprávně vytvořený certifikát klienta k dispozici. Mohou být také generovány, pokud zprostředkující certifikační autority v řetězu certifikátů, které nejsou důvěryhodné webovým serverem.
403.17 – Platnost klientského certifikátu vypršela nebo ještě není platný
Tato chybová zpráva je poměrně zřejmé. Znamená to, že aktuální datum na serveru není v rámci platné rozsahy, které jsou uvedeny v certifikátu klienta.

Další informace

Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

252657 služby IIS 5.0: HTTP 403.16 zakázáno: klientský certifikát je nedůvěryhodný nebo neplatný

248031 chybová zpráva: HTTP 403.17 - zakázáno: klientského certifikátu vypršela nebo ještě není platný

294305 služba IIS vrátí chybovou zprávu protokolu HTTP "403.13 klientský certifikát odvolán" Přestože certifikát nebyl odvolán.

Jak konfigurovat mapování klientského certifikátu v Internetová informační služba (IIS) 5.0 313070

Mapování klientských certifikátů (IIS 6.0)Teorie certifikát SPKIJako vždy, atmosféru volného odeslat nápady na témata chcete určeno v budoucnosti sloupce nebo pomocí znalostní báze Knowledge Base
Dotaz pro jeho formuláře.
Vlastnosti

ID článku: 907274 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor