IIS e certificati client

Colonna di Support Voice di IIS

IIS e certificati client

Per personalizzare questa colonna in base alle esigenze, desideriamo invitati a inviare le proprie idee sugli argomenti che sono interessano e problemi che si desidera vedere soluzione nei futuri articoli della Knowledge Base e le colonne di Support Voice. È possibile inviare idee e commenti e suggerimenti tramite il modulo Ask For It . È inoltre disponibile un collegamento al modulo nella parte inferiore della colonna.

Introduzione

Ciao. Mi chiamo David Dietz e supporto Microsoft Internet Information Services (IIS) negli ultimi sei anni. Nel corso di questa fase, un argomento che è stato una sfida per molti amministratori Web sono i certificati client. In questo articolo, verranno esaminate alcune nozioni di base dei certificati client e si tenterà di chiarire il loro scopo e le loro potenzialità.

Sono riportate alcune delle erronee che vediamo regolarmente
  • Sono necessari i certificati client SSL per il corretto funzionamento.
  • Quando si utilizzano i certificati client, non è necessario un certificato del server.
  • Un certificato client emesso da qualsiasi autorità di certificazione funzionerà con qualsiasi server.
  • Se si rilascia un certificato client, server Web verranno automaticamente accettarla.
Il primo e probabilmente la maggior parte dei punti confusi è la differenza tra i certificati client e i certificati server Secure Sockets Layer (SSL). Sebbene i certificati client e i certificati server SSL utilizzano i certificati, non sono direttamente correlati tra loro. I certificati server SSL forniscono funzionalità di crittografia e protezione. I certificati client forniscono la funzionalità di autenticazione utente. Se in questo senso, il resto dovrebbe essere semplice.

I certificati client vengono emessi a un utente da un'autorità di certificazione. Sono composti dalla chiave pubblica del certificato e una chiave privata che viene mantenuta solo per l'entità a cui è stato rilasciato il certificato. L'autorità di certificazione può essere un'organizzazione pubblica nota che fornisce servizi certificati come parte della sua attività, o potrebbe trattarsi di un server interno che utilizza solo la società. In entrambi i casi, il certificato client disporrà di alcune informazioni che identificano l'utente singolarmente o come parte di un gruppo.

In IIS, avete la possibilità di ignorare, accettazione o richiedono certificati client quando un utente accede a risorse sul server. Ignorando i certificati significa semplicemente non li si utilizza, non richiede il client per uno e uno verranno ignorate se viene inviato al server. Se si sceglie di accettare i certificati, il server richiede un certificato ma non necessariamente negherà l'accesso se non viene fornito un certificato. Se si richiedono i certificati client, l'utente deve fornire un certificato valido o l'utente riceverà un messaggio di errore.

Per un certificato per il corretto funzionamento, è necessario soddisfare determinati requisiti sia il server che il client. Ogni lato ha un elenco di autorità di certificazione principale attendibili sono. Quando il server richiede un certificato, la richiesta include un elenco delle autorità di certificazione che consideri attendibile il server. Il client quindi di confrontare questo elenco per l'elenco delle autorità di certificazione che il client trust e viene creato un elenco di quelli che corrispondono. Quindi, il client viene confrontata l'elenco dei certificati client ha e determina gli eventuali certificati emessi da autorità di certificazione fonti attendibili sia il client e il server. In base al client, viene visualizzato un elenco di certificati, tra cui scegliere, se è presente più di un'autorità di certificazione attendibili entrambi i lati. Il client invia quindi la parte pubblica del certificato al server. A questo punto, in genere il server verifica per assicurarsi che il certificato è valido e, se non viene eseguito alcun mapping, le comunicazioni tra il client e il server possono continuare.

Si tratta della funzionalità di base dei certificati client. A questo punto, il server riconosce solo che il client disponga di un certificato valido.

Qui è dove le cose interessanti. Il server può essere configurato per eseguire il mapping del certificato a un account utente. Può trattarsi di un mapping uno a uno, il certificato specifico in cui è mappato a un singolo account utente o un mapping molti-a-uno, in cui il server utilizza alcuni campi le informazioni del certificato per eseguire il mapping di qualsiasi certificato corrispondente a un account utente designato. Quando viene utilizzato un mapping, il certificato consente all'utente di concedere o negare l'accesso alle risorse di un determinato utente. Quando si utilizzano i certificati client in questo modo, non è necessario usare qualsiasi altro metodo di autenticazione.

Messaggi di errore comuni che riguardano i certificati client

403.7 - necessario certificato client
Se un client non fornisce un certificato client quando è necessario, si riceve questo messaggio di errore. Il client ha rifiutato di inviare un certificato client o il client non dispone di un certificato rilasciato da un'autorità di certificazione di fiducia.
403.13 - certificato client revocato
Questo messaggio di errore indica che il client ha inviato un certificato, ma il certificato viene visualizzato come elenco di revoche di certificati dell'autorità emittente o il server Impossibile recuperare un CRL dell'autorità emittente.
403.16 - certificato client non attendibile o non valido.
Questo messaggio di errore viene generato principalmente quando il certificato client fornito è corretto. Può essere generato anche se non vi sono autorità di certificazione intermedie nella catena di certificati non attendibili dal server Web.
403.17 - certificato client scaduto o non ancora valido
Questo messaggio di errore è di facile comprensione. Significa che la data corrente sul server non all'interno di intervalli di date sono presentati nel certificato client.

Ulteriori informazioni

Per ulteriori informazioni, fare clic sui numeri per visualizzare gli articoli della Microsoft Knowledge Base:

252657 IIS 5.0: HTTP 403.16 accesso negato: certificato Client non attendibile o non valido

Messaggio di errore 248031 : HTTP 403.17 - operazione non consentita: certificato Client scaduto o non è ancora valido

294305 viene restituito il messaggio di errore "certificato Client 403.13 revocato" HTTP anche se il certificato non è stato revocato.

313070 come configurare il mapping dei certificati client in Internet Information Services (IIS) 5.0

Mapping dei certificati client (IIS 6.0)Teoria certificato SPKICome sempre, non esitate a inviare idee sugli argomenti di cui si desidera che in futuro indirizzati colonne o nella Knowledge Base utilizzando il
Modulo Ask For It .
Proprietà

ID articolo: 907274 - Ultima revisione: 30 gen 2017 - Revisione: 1

Feedback