Implementieren von SSL in IIS

Zusammenfassung



Das Internet eröffnet neue Wege für Unternehmen intern und extern kommunizieren. Kommunikation zwischen Mitarbeitern, Lieferanten und Kunden kann eine Organisation zu senken, Produkte schneller auf den Markt bringen, stärker Kundenkontakte. Überträgt diese verbesserte Kommunikation erfordert - manchmal - vertrauliche Informationen über das Internet und Intranets. Es wird unbedingt private, manipulationssichere Kommunikation mit bekannten durchführen. Um dies zu erreichen, können Organisationen eine sichere Infrastruktur basierend auf öffentlichen Schlüsseln mit digitalen Zertifikaten Technologien wie Secure Sockets Layer (SSL) erstellen. Diese Anleitung beschreibt, wie SSL auf einem Internetinformationsdienste (IIS)-Computer einrichten.


Voraussetzungen

Der folgenden Liste sind die empfohlene Hardware, Software, Netzwerkinfrastruktur, Qualifikationen und Kenntnisse und Servicepacks, die Sie benötigen:

  • Windows 2000 Server, Advanced Server oder Professional Services (IIS) Version 5.0 und Microsoft Certificate Server Version 2.0 installiert und konfiguriert.
  • Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition, Windows Server 2003 Datacenter Edition oder Windows Server 2003 Web Edition-Computer mit Internet Information Services (IIS) 6.0 und Zertifikatsdienste installiert und konfiguriert.
Wenn der Computer der den Certificate Server hostet nicht derselbe Computer ist wie jener auf dem IIS läuft, benötigen Sie eine gültige Netzwerk- oder Internet-Verbindung mit dem Server, der Certificate Server hostet.


Erstellen Sie eine Zertifikat-Anforderung

Erstens müssen der Webserver eine Anforderung. Gehen Sie hierzu folgendermaßen vor:

  1. Starten Sie Internet Service Manager (ISM), die Internet-Informationsdienste-Snap-in für Microsoft Management Console (MMC) lädt. Dazu klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltungund klicken Sie auf Internetdienste-Manager oder Internet Information Services (IIS) Manager.
  2. Doppelklicken Sie auf den Servernamen, sodass Sie alle Websites anzeigen. Erweitern Sie Websitesin IIS 6.0.
  3. Maustaste auf Website, auf der Sie das Zertifikat installieren möchten, und klicken Sie auf Eigenschaften.
  4. Klicken Sie auf der Registerkarte Sicherheit , und klicken Sie unter Sichere Kommunikation , starten Sie den Assistenten für Webserverzertifikate auf Serverzertifikat .
  5. Klicken Sie in IIS 6.0 auf Weiter. Wenn Sie IIS 5.0 ausführen, gehen Sie zu Schritt 6.
  6. Wählen Sie Neues Zertifikat erstellen , und klicken Sie auf Weiter.
  7. Wählen Sie Anforderung jetzt vorbereiten, aber später senden aus, und klicken Sie auf Weiter.
  8. Geben Sie einen Namen für das Zertifikat. Sie sollten der Name auf den Namen der Website entsprechen. Wählen Sie nun eine Bitlänge; Je größer die Bitlänge, desto stärker die Verschlüsselung des Zertifikats. Wählen Sie Server Gated Cryptography , wenn Benutzer aus Ländern mit Verschlüsselung kommen können.
  9. Geben Sie den Namen Ihrer Organisation und Organisationseinheit (MyWeb und Entwicklung Abteilung). Klicken Sie auf Weiter.
  10. Geben Sie den vollqualifizierten Domänennamen (FQDN) oder den Servernamen als gemeinsamen Namen ein. Wenn Sie ein Zertifikat erstellen, die über das Internet verwendet wird, wird empfohlen, einen FQDN (z. B. www.MyWeb.com) verwenden. Klicken Sie auf Weiter.
  11. Geben Sie Ihre Standortinformationen und klicken Sie dann auf Weiter.
  12. Geben Sie Pfad und Dateiname die Zertifikatsinformationen zu speichern, und klicken Sie auf Weiter .

    Hinweis Wenn Sie nichts als den standardmäßigen Speicherort und Dateinamen eingeben, müssen Sie Namen und Speicherort der gewählte beachten, da Sie diese Datei später müssen.
  13. Überprüfen Sie die eingegebenen Informationen, und klicken Sie auf Weiter um den Vorgang abzuschließen und die Anforderung zu erstellen.

Anfordern eines Zertifikats

Die Anforderung, dass Sie gerade erstellten muss zu einer Zertifizierungsstelle (CA) übermittelt werden. Dies kann Ihr eigener Server mit Certificate Server 2.0 oder eine Onlinezertifizierungsstelle wie VeriSign installiert sein. Wenden Sie sich an den Zertifikatsanbieter Ihrer Wahl, und ermitteln Sie die beste Zertifikat für Ihre Bedürfnisse. Es gibt verschiedene Methoden übermitteln der Anforderung. Wenden Sie sich an die Zertifizierungsstelle Ihrer Wahl zu Ihrem Zertifikat. Erstellen eines eigenen Zertifikats mit Certificate Server 2.0, aber Ihre Kunden müssen implizit Ihnen als Zertifizierungsstelle vertrauen. Folgendermaßen wird davon ausgegangen, dass Sie Certificate Server 2.0 als Zertifikatsanbieter verwenden.



Hinweis IIS-Zertifikats-Assistenten erkennt nur die Vorlage Standard-Webserver. Beim Auswählen einer Online-Unternehmens-CA werden die Behörde nur die Zertifizierungsstelle die Vorlage Standard-Webserver ist nicht aufgeführt.
  1. Öffnen Sie einen Browser, und navigieren Sie zu http://IhrWebservername/CertSrv.
  2. Wählen Sie in IIS 5.0 ein Zertifikat anfordern , und klicken Sie auf Weiter. Klicken Sie in IIS 6.0 auf Zertifikat anfordern.
  3. Wählen Sie in IIS 5.0 Erweiterte Anforderung , und klicken Sie auf Weiter. Klicken Sie auf Erweiterte Anforderungin IIS 6.0.
  4. Wählen Sie in IIS 5.0 Senden Sie ein Zertifikat mit einem Base64 , und klicken Sie auf Weiter. Klicken Sie in IIS 6.0 auf Anfordern eines Zertifikats mithilfe einer Base-64-codierte CMC oder PKCS #10-Datei oder senden eine Erneuerungsanfrage mithilfe einer Base-64-codierte PKCS #7-Datei.
  5. Öffnen Sie in Microsoft Notepad Anforderungsbelegs, der im Abschnitt "Erstellen einer" erstellt. In IIS 6.0 können Sie auch eine Datei einfügenklicken.
  6. Kopieren Sie den Inhalt des Dokuments. Der Inhalt sollte folgendermaßen aussehen:
    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIICcjCCAhwCAQAwYjETMBEGA1UEAxMKcm9ic3NlcnZlcjELMAkGA1UECxMCTVMx
    CzAJBgNVBAoTAk1TMREwDwYDVQQHEwhCZWxsZXZ1ZTERMA8GA1UECBMIV2FzaGl0
    b24xCzAJBgNVBAYTAlVTMFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBALYK4sYDNQ7h
    LmSfL0qpIvUfY7Ddw7fNCvDp3rM7z4QqoLhA2c8TkyamqWTBsV0WRHIidf/J6mU4
    wN4wrUzJTLUCAwEAAaCCAVMwGgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMDUG
    CisGAQQBgjcCAQ4xJzAlMA4GA1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEF
    BQcDATCB/QYKKwYBBAGCNw0CAjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0
    ACAAUgBTAEEAIABTAEMAaABhAG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBw
    AGgAaQBjACAAUAByAG8AdgBpAGQAZQByA4GJAGKa0jzBn8fkxScrWsdnU2eUJOMU
    K5Ms87Q+fjP1/pWN3PJnH7x8MBc5isFCjww6YnIjD8c3OfYfjkmWc048ZuGoH7Zo
    D6YNfv/SfAvQmr90eGmKOFFiTD+hl1hM08gu2oxFU7mCvfTQ/2IbXP7KYFGEqaJ6
    wn0Z5yLOByPqblQZAAAAAAAAAAAwDQYJKoZIhvcNAQEFBQADQQCgRCWkaXlY2nVa
    tbn6p5miPwWfrbViYo0B62wkuH0f7J0nSGcxMnn/6Q/iLEIsgHqFhox5PWCzIV0J
    tXKPWrBL
    -----END NEW CERTIFICATE REQUEST-------

    Hinweis Wenn Sie das Dokument mit dem Standardnamen und Speicherort speichern, befindet sich unter C:\Certreq.txt.


    Hinweis Achten Sie darauf, alle Inhalte wie kopieren.


  7. Fügen Sie den Inhalt des Dokuments in das Webformular Base64-codiertes Zertifikat Textfeld.
  8. Zertifikatsvorlagewählen Sie Web Server oder Benutzer ausund dann auf Senden.
  9. Wenn Certificate Server auf Zertifikat immer ausstellenfestgelegt ist, können Sie das Zertifikat direkt zugreifen. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Download des Zertifizierungsstellenzertifikats (klicken Sie nicht Downloaden eines Zertifizierungspfades oder Download der Zertifikatkette).
    2. Wenn Sie aufgefordert werden, wählen Sie Datei auf Datenträger speichern , und speichern Sie das Zertifikat auf dem Desktop oder einem anderen Speicherort, den Sie sich leicht merken können. Sie können nun direkt mit "Installieren des Zertifikats und Einrichten einer SSL-Website" Abschnitt.

Ausstellen und Downloaden eines Zertifikats

Gehen Sie folgendermaßen vor, um ein Zertifikat in Certificate Server auszustellen:

  1. Öffnen Sie die CA-MMC-Snap-in. Dazu klicken Sie auf Start, zeigen Sie auf Programme, Verwaltung, und klicken Sie dann auf Zertifizierungsstelle.
  2. In IIS 5.0 erweitern Sie Zertifizierungsstelle , und klicken Sie auf den Ordner Ausstehende Anforderungen . Ihre ausstehende Anfragen werden im rechten Fensterbereich angezeigt. Erweitern Sie den Servernamen in IIS 6.0.
  3. Maustaste auf die ausstehende Anforderung, die nur übermittelt, wählen Sie Alle Tasksund Klicken.

    Hinweis Nach Themaauswählen, wird das Zertifikat nicht mehr in diesem Fenster und Ordner angezeigt. Es befindet sich nun im Ordner ausgestellte Zertifikate.
  4. Wenn Sie ausgestellt (autorisierten Zertifikat haben), kehren Sie auf die Weboberfläche von Certificate Server auswählen und downloaden Sie das Zertifikat. Gehen Sie hierzu folgendermaßen vor:
    1. Navigieren Sie zu http://IhrWebservername/CertSrv /.
    2. Auf der Standardseite wählen auf ein ausstehendes Zertifikat überprüfen , und klicken Sie auf Weiter. Klicken Sie in IIS 6.0 auf eine ausstehende Anforderung anzeigen.
    3. Ausstehende Zertifikat, klicken Sie auf Weiter um zur Downloadseite zu wechseln.
    4. Klicken Sie auf der Downloadseite auf Download des Zertifizierungsstellenzertifikats (klicken Sie nicht Downloaden eines Zertifizierungspfades oder Download der Zertifikatkette).
    5. Wenn Sie aufgefordert werden, wählen Sie Datei auf Datenträger speichern , und speichern Sie das Zertifikat auf dem Desktop oder einem anderen Speicherort, den Sie sich leicht merken können.

Installieren des Zertifikats und Einrichten einer SSL-Website

Gehen Sie folgendermaßen vor, um das Zertifikat zu installieren:
  1. Öffnen Sie den Internetdienste-Manager, und erweitern Sie den Servernamen, so dass Websites anzeigen können.
  2. Die Website, für die die Anforderung erstellt, und Eigenschaften.
  3. Klicken Sie auf die Registerkarte Sicherheit . Klicken Sie unter Sichere Kommunikationauf Serverzertifikat. Dadurch wird dem Assistenten gestartet. Klicken Sie auf Weiter .
  4. Wählen Sie ausstehende Anforderung verarbeiten und Zertifikat installieren , und klicken Sie auf Weiter.
  5. Geben Sie den Speicherort des Zertifikats, das Sie im Abschnitt "Problem und Downloaden eines Zertifikats" heruntergeladen und dann auf Weiter. Der Assistent zeigt die Zusammenfassung. Überprüfen Sie die Informationen und dann auf Weiter .
  6. Klicken Sie auf Fertig stellen , um den Vorgang abzuschließen.

Konfigurieren und Testen des Zertifikats

Konfigurieren und Testen des Zertifikats, gehen Sie folgendermaßen vor:

  1. Beachten Sie auf der Registerkarte Sicherheit unter Sichere Kommunikation, dass jetzt drei Optionen. Um die Website sichere Verbindungen festzulegen, klicken Sie auf Bearbeiten. Das Dialogfeld Sichere Kommunikation wird angezeigt.
  2. Sicheren Kanal verlangen (SSL) wählen Sie, und klicken Sie auf OK.
  3. Klicken Sie auf Übernehmen und anschließend auf OK , um das Eigenschaftenblatt zu schließen.
  4. Navigieren Sie zu der Website und überprüfen Sie, ob es funktioniert. Gehen Sie hierzu folgendermaßen vor:
    1. Zugriff auf die Website über HTTP http://localhost/Postinfo.html im Browser eingeben. Sie erhalten eine Fehlermeldung, die der folgenden ähnelt:
      HTTP 403.4 - verboten: SSL erforderlich.
    2. Versuchen Sie, wechseln Sie zu derselben Webseite über eine sichere Verbindung (HTTPS) https://localhost/postinfo.html im Browser eingeben. Sie erhalten eine Warnung, die besagt, dass das Zertifikat nicht von einem vertrauenswürdigen Stamm Zertifizierungsstelle auf Ja weiterhin auf der Webseite. Wenn die Seite angezeigt wird, haben das Zertifikat erfolgreich installiert.

Problembehandlung:

  • Die Verwendung von SSL vermindert die Leistung zwischen HTTP-Servern und -Browsern. Für Weitere Informationen klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

    150031 SSL verwenden erstellt Leistungsaufwand für Browser

  • Wenn Sie Microsoft Visual InterDev, Version 6.0, Autor von Websites mit SSL verwenden, gibt es mehrere Probleme und Nachteile berücksichtigen.
    Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

    238662 mit Visual InterDev und Secure Sockets Layer

  • In diesem Artikel werden nur Serverzertifikate erläutert. Ein Serverzertifikat ermöglicht Benutzern Server authentifizieren, die Gültigkeit von Webinhalten überprüfen und eine sichere Verbindung herstellen. Wenn Sie Benutzer Ihre Website authentifizieren möchten, sollten Sie mit Clientzertifikaten. Normale Clientzertifikat enthält verschiedene Informationen: die Identität des Benutzers, die Identität der Zertifizierungsstelle einen öffentlichen Schlüssel, die sichere Kommunikation, und Validierungsinformationen wie Ablaufdatum und Seriennummer verwendet wird.

REFERENZEN

Klicken Sie für weitere Informationen auf die folgenden Artikelnummern, um die betreffenden Artikel in der Microsoft Knowledge Base anzuzeigen:

228991 zum Erstellen und installieren Sie ein SSL-Zertifikat in Internet Information Server 4.0

257591 Beschreibung des Secure Sockets Layer (SSL) handshake

299525 zum Einrichten von SSL mit IIS 5.0 und Certificate Server 2.0

298805 wie aktivieren Sie SSL für alle Kunden, die mit Ihrer Website in Internetinformationsdienste

Weitere Informationen finden Sie auf der folgenden Website von Microsoft Developer Network (MSDN):
Eigenschaften

Artikelnummer: 299875 – Letzte Überarbeitung: 20.01.2017 – Revision: 1

Feedback