Aktivieren von SSL für alle Kunden, die mit Ihrer Website in IIS interagieren

  • Artikel

In diesem Artikel wird beschrieben, wie Sie Secure Sockets Layer (SSL) für alle Kunden aktivieren, die mit Ihrer Website in Microsoft-Internetinformationsdienste (IIS) interagieren.

Ursprüngliche Produktversion: Internetinformationsdienste
Ursprüngliche KB-Nummer: 298805

Zusammenfassung

Dieser Artikel enthält die folgenden Themen:

  • Hier erfahren Sie, wie Sie Serverzertifikate einrichten und aktivieren, damit Ihre Kunden sicher sein können, dass Ihre Website gültig ist und dass alle Informationen, die sie an Sie senden, privat und vertraulich bleiben.
  • Hier erfahren Sie, wie Sie Zertifikate von Drittanbietern verwenden, um Secure Sockets Layer (SSL) zu aktivieren, sowie eine allgemeine Übersicht über den Prozess, mit dem eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) generiert wird, die zum Abrufen eines Drittanbieterzertifikats verwendet wird.
  • Aktivieren der SSL-Konnektivität für Ihre Website
  • Erfahren Sie, wie Sie SSL für alle Verbindungen erzwingen und die erforderliche Verschlüsselungslänge zwischen Ihren Clients und Ihrer Website festlegen.

Sie können die SSL-Sicherheitsfeatures Ihres Webservers für zwei Arten der Authentifizierung verwenden. Sie können ein Serverzertifikat verwenden, um Benutzern die Authentifizierung Ihrer Website zu ermöglichen, bevor sie personenbezogene Informationen übertragen, z. B. eine Gutschrift Karte Nummer. Außerdem können Sie Clientzertifikate verwenden, um Benutzer zu authentifizieren, die Informationen auf Ihrer Website anfordern.

In diesem Artikel wird davon ausgegangen, dass Sie eine Drittanbieterzertifizierungsstelle (Ca) verwenden, um die Authentifizierung für Ihren Webserver bereitzustellen.

Um die SSL-Serverzertifikatüberprüfung zu aktivieren und die von Ihren Kunden gewünschte Sicherheitsstufe bereitzustellen, sollten Sie ein Zertifikat von einer Drittanbieterzertifizierungsstelle beziehen. Zertifikate, die von einer Drittanbieterzertifizierungsstelle für Ihre organization ausgestellt werden, sind in der Regel an den Webserver und insbesondere an die Website gebunden, an die Sie SSL binden möchten. Sie können ihr eigenes Zertifikat mit dem IIS-Server erstellen, aber wenn Sie dies tun, müssen Ihre Clients Ihnen als Zertifizierungsstelle implizit vertrauen.

In diesem Artikel wird Folgendes vorausgesetzt:

  • Sie haben IIS installiert.
  • Sie haben die Website erstellt und veröffentlicht, die Sie mit SSL schützen möchten.

Abrufen eines Zertifikats

Um den Prozess zum Abrufen des Zertifikats zu starten, müssen Sie eine CSR generieren. Dies erfolgt über die IIS-Verwaltungskonsole. Daher muss IIS installiert werden, bevor Sie eine CSR generieren können. Eine CSR ist im Grunde ein Zertifikat, das Sie auf Ihrem Server generieren, das die computerspezifischen Informationen zu Ihrem Server überprüft, wenn Sie ein Zertifikat von einer Drittanbieterzertifizierungsstelle anfordern. Die CSR ist einfach eine verschlüsselte TEXTnachricht, die mit einem öffentlichen/privaten Schlüsselpaar verschlüsselt ist.

In der Regel sind die folgenden Informationen zu Ihrem Computer in der von Ihnen generierten CSR enthalten:

  • Organisation
  • Organisationseinheit
  • Land/Region
  • Bundesland/Bundesland
  • Ort/Ort
  • Allgemeiner Name

Hinweis

Der allgemeine Name besteht in der Regel aus dem Namen Ihres Hostcomputers und der Domäne, zu der er gehört, z . B. xyz.com. In diesem Fall ist der Computer Teil der .com Domäne und heißt XYZ. Dies kann der Stammserver für Ihre Unternehmensdomäne oder einfach eine Website sein.

Generieren der CSR

  1. Greifen Sie auf die MICROSOFT Management Console (MMC) von IIS zu. Klicken Sie hierzu mit der rechten Maustaste auf Arbeitsplatz , und wählen Sie Verwalten aus. Dadurch wird die Computerverwaltungskonsole geöffnet. Erweitern Sie den Abschnitt Dienste und Anwendung . Suchen Sie NACH IIS, und erweitern Sie die IIS-Konsole.

  2. Wählen Sie die spezifische Website aus, auf der Sie ein Serverzertifikat installieren möchten. Klicken Sie mit der rechten Maustaste auf den Standort, und wählen Sie Eigenschaften aus.

  3. Wählen Sie die Registerkarte Verzeichnissicherheit aus. Wählen Sie im Abschnitt Sichere Kommunikationdie Option Serverzertifikat aus. Dadurch wird der Assistent für Webserverzertifikate gestartet. Wählen Sie Weiter aus.

  4. Wählen Sie Neues Zertifikat erstellen und dann Weiter aus.

  5. Wählen Sie Anforderung jetzt vorbereiten aus, aber senden Sie sie später, und wählen Sie Weiter aus.

  6. Geben Sie im Feld Name einen Namen ein, den Sie sich merken können. Standardmäßig wird der Name der Website verwendet, für die Sie die CSR generieren.

    Hinweis

    Wenn Sie die CSR generieren, müssen Sie eine Bitlänge angeben. Die Bitlänge des Verschlüsselungsschlüssels bestimmt die Stärke des verschlüsselten Zertifikats, das Sie an die Drittanbieterzertifizierungsstelle senden. Je höher die Bitlänge, desto stärker die Verschlüsselung. Die meisten Zertifizierungsstellen von Drittanbietern bevorzugen mindestens 1.024 Bits.

  7. Geben Sie im Abschnitt Organisationsinformationen Ihre organization- und Organisationseinheiteninformationen ein. Dies muss korrekt sein, da Sie diese Anmeldeinformationen einer Drittanbieterzertifizierungsstelle vorlegen und deren Lizenzierung des Zertifikats einhalten müssen. Wählen Sie Weiter aus, um auf den Abschnitt Allgemeiner Name Ihrer Website zuzugreifen.

  8. Der Abschnitt Allgemeiner Name Ihrer Website ist für die Bindung des Zertifikats an Ihre Website zuständig. Geben Sie für SSL-Zertifikate den Namen des Hostcomputers mit dem Domänennamen ein. Für Intranetserver können Sie den NetBIOS-Namen des Computers verwenden, auf dem die Website gehostet wird. Wählen Sie Weiter aus, um auf geografische Informationen zuzugreifen.

  9. Geben Sie Ihr Land oder Ihre Region, Ihr Bundesland oder Ihre Provinz sowie Informationen zu Ort oder Ort ein. Schreiben Sie Ihr Bundesland oder Ihre Provinz und Stadt oder Lokalität vollständig aus. Und verwenden Sie keine Abkürzungen. Wählen Sie Weiter aus.

  10. Speichern Sie die Datei als .txt Datei.

  11. Bestätigen Sie Ihre Anforderungsdetails. Wählen Sie Weiter aus, um den Vorgang abzuschließen, und beenden Sie den Assistenten für Webserverzertifikate.

Anfordern des Zertifikats

Es gibt verschiedene Methoden zum Übermitteln Ihrer Anforderung. Wenden Sie sich an den Zertifikatanbieter Ihrer Wahl, um die zu verwendende Methode und die beste Zertifikatstufe für Ihre Anforderungen zu ermitteln. Abhängig von der Methode, die zum Senden Ihrer Anforderung an die Zertifizierungsstelle ausgewählt wurde, können Sie die CSR-Datei aus Schritt 10 im Abschnitt Generieren der CSR senden, oder Sie müssen den Inhalt dieser Datei in die Anforderung einfügen. Diese Datei wird verschlüsselt und enthält eine Kopf- und Eine Fußzeile für den Inhalt. Sie müssen sowohl die Kopf- als auch die Fußzeile einschließen, wenn Sie das Zertifikat anfordern. Ihre CSR sollte in etwa wie folgt aussehen:

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

Installieren des Zertifikats

Sobald die Drittanbieterzertifizierungsstelle Ihre Anforderung für ein Serverzertifikat abgeschlossen hat, erhalten Sie es per E-Mail oder Downloadwebsite. Das Zertifikat muss auf der Website installiert sein, auf der Sie eine sichere Kommunikation bereitstellen möchten.

Führen Sie die folgenden Schritte aus, um das Zertifikat zu installieren:

  1. Laden Sie das Zertifikat, das Sie von der Zertifizierungsstelle erhalten haben, auf den Webserver herunter, oder kopieren Sie es.
  2. Öffnen Sie die IIS-MMC wie im Abschnitt Generieren der CSR beschrieben.
  3. Greifen Sie auf das Dialogfeld Eigenschaften für die Website zu, auf der Sie das Zertifikat installieren.
  4. Wählen Sie die Registerkarte Verzeichnissicherheit und dann Serverzertifikat aus. Dadurch wird der Assistent für Webserverzertifikate gestartet. Wählen Sie Weiter aus.
  5. Wählen Sie Ausstehende Anforderung verarbeiten aus, und installieren Sie das Zertifikat, und wählen Sie dann Weiter aus.
  6. Navigieren Sie zum Speicherort des Zertifikats, das Sie in Schritt 1 gespeichert haben. Wählen Sie zweimal Weiter und dann Fertig stellen aus.

Erzwingen von SSL-Verbindungen

Nachdem das Serverzertifikat installiert wurde, können Sie die sichere SSL-Kanalkommunikation mit Clients des Webservers erzwingen. Zunächst müssen Sie Port 443 für die sichere Kommunikation mit der Website aktivieren. Gehen Sie dazu wie folgt vor:

  1. Klicken Sie in der Computerverwaltungskonsole mit der rechten Maustaste auf die Website, auf der Sie SSL erzwingen möchten, und wählen Sie Eigenschaften aus.
  2. Wählen Sie die Registerkarte Website aus. Überprüfen Sie im Abschnitt Websiteidentifikation , ob das Feld SSL-Port mit dem numerischen Wert 443 aufgefüllt ist.
  3. Wählen Sie Erweitert aus. Es sollten zwei Felder angezeigt werden. Die IP-Adresse und der Port der Website sollten bereits im Feld Mehrere Identitäten für diese Website aufgeführt sein. Wählen Sie im Feld Mehrere SSL-Identitäten für diese Website die Option Hinzufügen aus, wenn Port 443 noch nicht aufgeführt ist. Wählen Sie die IP-Adresse des Servers aus, und geben Sie den numerischen Wert 443 in das Feld SSL-Port ein. Wählen Sie OK aus.

Nachdem Port 443 aktiviert ist, können Sie SSL-Verbindungen erzwingen. Gehen Sie dazu wie folgt vor:

  1. Wählen Sie die Registerkarte Verzeichnissicherheit aus. Im Abschnitt Sichere Kommunikation ist jetzt Bearbeiten verfügbar. Wählen Sie Bearbeiten aus.

  2. Wählen Sie Sicheren Kanal (SSL) erforderlich aus.

    Hinweis

    Wenn Sie die 128-Bit-Verschlüsselung angeben, können Clients, die einen Browser mit 40-Bit- oder 56-Bit-Stärke verwenden, nur dann mit Ihrer Website kommunizieren, wenn sie ihre Verschlüsselungsstärke aktualisieren.

  3. Öffnen Sie Ihren Browser, und versuchen Sie, mithilfe des Standardprotokolls http:// eine Verbindung mit Ihrem Webserver herzustellen. Wenn SSL erzwungen wird, erhalten Sie die folgende Fehlermeldung:

    Die Seite muss über einen sicheren Kanal angezeigt werden.
    Die Seite, die Sie anzeigen möchten, erfordert die Verwendung von "https" in der Adresse.
    Versuchen Sie Folgendes: Versuchen Sie es erneut, indem Sie https:// am Anfang der Adresse eingeben, die Sie erreichen möchten. HTTP 403.4 – Verboten: SSL erforderliche Internetinformationsdienste
    Technische Informationen (für Supportmitarbeiter) Hintergrund: Dieser Fehler gibt an, dass die Seite, auf die Sie zugreifen möchten, mit Secure Sockets Layer (SSL) geschützt ist.

Sie können jetzt nur eine Verbindung mit Ihrer Website herstellen, indem Sie das protokoll https:// verwenden.