Al momento sei offline in attesa che la connessione Internet venga ristabilita

IIS e certificati client

IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 907274
Colonna di Support Voice di IIS

IIS e certificati client

Per personalizzare questa colonna in base alle esigenze, desideriamo invitati a inviare le proprie idee sugli argomenti che sono interessano e problemi che si desidera vedere soluzione nei futuri articoli della Knowledge Base e le colonne di Support Voice. È possibile inviare idee e commenti e suggerimenti tramite il Richiedere i modulo. È inoltre disponibile un collegamento al modulo nella parte inferiore della colonna.

Introduzione

Ciao. Mi chiamo David Dietz e supporto Microsoft Internet Information Services (IIS) negli ultimi sei anni. Nel corso di questa fase, un argomento che è stata una sfida per molti amministratori Web è certificati client. In questo articolo, I verranno esaminate alcune nozioni di base dei certificati client e tenta di effettuare un certo senso di definizione per e cosa può fare.

Sono riportate alcune delle erronee che vediamo regolarmente
  • I certificati client sono necessari per rendere SSL workproperly.
  • Quando si utilizzano i certificati client, non è necessario un server di certificateon.
  • Un certificato client emesso da tutte le operazioni di authoritywill di certificazione con qualsiasi server.
  • Se si rilascia un certificato client, il willautomatically del server Web accettarla.
Il primo e probabilmente la maggior parte dei punti confusi è la differenza tra i certificati client e i certificati server Secure Sockets Layer (SSL). Sebbene i certificati client e i certificati server SSL utilizzano i certificati, non sono direttamente correlati tra loro. I certificati server SSL forniscono funzionalità di crittografia e protezione. I certificati client forniscono la funzionalità di autenticazione utente. Se in questo senso, il resto dovrebbe essere semplice.

I certificati client vengono emessi a un utente da un'autorità di certificazione. Sono composti dalla chiave pubblica del certificato e una chiave privata che viene mantenuta solo per l'entità a cui è stato rilasciato il certificato. L'autorità di certificazione può essere un'organizzazione pubblica nota che fornisce servizi certificati come parte della sua attività, o potrebbe trattarsi di un server interno che utilizza solo la società. In entrambi i casi, il certificato client disporrà di alcune informazioni che identificano l'utente singolarmente o come parte di un gruppo.

In IIS, avete la possibilità di ignorare, accettazione o richiedono certificati client quando un utente accede a risorse sul server. Ignorando i certificati significa semplicemente non li si utilizza, non richiede il client per uno e uno verranno ignorate se viene inviato al server. Se si sceglie di accettare i certificati, il server richiede un certificato ma non necessariamente negherà l'accesso se non viene fornito un certificato. Se si richiedono i certificati client, l'utente deve fornire un certificato valido o l'utente riceverà un messaggio di errore.

Per un certificato per il corretto funzionamento, è necessario soddisfare determinati requisiti sia il server che il client. Ogni lato ha un elenco di autorità di certificazione principale attendibili sono. Quando il server richiede un certificato, la richiesta include un elenco delle autorità di certificazione che consideri attendibile il server. Il client quindi di confrontare questo elenco per l'elenco delle autorità di certificazione che il client trust e viene creato un elenco di quelli che corrispondono. Quindi, il client viene confrontata l'elenco dei certificati client ha e determina gli eventuali certificati emessi da autorità di certificazione fonti attendibili sia il client e il server. In base al client, viene visualizzato un elenco di certificati, tra cui scegliere, se è presente più di un'autorità di certificazione attendibili entrambi i lati. Il client invia quindi la parte pubblica del certificato al server. A questo punto, in genere il server verifica per assicurarsi che il certificato è valido e, se non viene eseguito alcun mapping, le comunicazioni tra il client e il server possono continuare.

Si tratta della funzionalità di base dei certificati client. A questo punto, il server riconosce solo che il client disponga di un certificato valido.

Qui è dove le cose interessanti. Il server può essere configurato per eseguire il mapping del certificato a un account utente. Può trattarsi di un mapping uno a uno, il certificato specifico in cui è mappato a un singolo account utente o un mapping molti-a-uno, in cui il server utilizza alcuni campi le informazioni del certificato per eseguire il mapping di qualsiasi certificato corrispondente a un account utente designato. Quando viene utilizzato un mapping, il certificato consente all'utente di concedere o negare l'accesso alle risorse di un determinato utente. Quando si utilizzano i certificati client in questo modo, non è necessario usare qualsiasi altro metodo di autenticazione.

Messaggi di errore comuni che riguardano i certificati client

403.7 - necessario certificato client
Se un client non fornisce un certificato client quando è necessario, si riceve questo messaggio di errore. Il client ha rifiutato di inviare un certificato client o il client non dispone di un certificato rilasciato da un'autorità di certificazione di fiducia.
403.13 - certificato client revocato
Questo messaggio di errore indica che il client ha inviato un certificato, ma il certificato viene visualizzato come elenco di revoche di certificati dell'autorità emittente o il server Impossibile recuperare un CRL dell'autorità emittente.
403.16 - certificato client non attendibile o non valido.
Questo messaggio di errore viene generato principalmente quando il certificato client fornito è corretto. Può essere generato anche se non vi sono autorità di certificazione intermedie nella catena di certificati non attendibili dal server Web.
403.17 - certificato client scaduto o non ancora valido
Questo messaggio di errore è di facile comprensione. Significa che la data corrente sul server non all'interno di intervalli di date sono presentati nel certificato client.
Informazioni
Per ulteriori informazioni, fare clic sui numeri per visualizzare gli articoli della Microsoft Knowledge Base:
252657 IIS 5.0: HTTP 403.16 operazione non consentita: certificato Client non attendibile o non valido
248031 Messaggio di errore: HTTP 403.17 - operazione non consentita: certificato Client scaduto o non è ancora valido
294305 IIS restituisce il messaggio di errore "certificato Client 403.13 revocato" HTTP, anche se il certificato non revocato
313070 Come configurare il mapping dei certificati client in Internet Information Services (IIS) 5.0
Mapping dei certificati client (IIS 6.0)Teoria certificato SPKICome sempre, non esitate a inviare idee sugli argomenti di cui si desidera che in futuro indirizzati colonne o nella Knowledge Base utilizzando il Richiedere i modulo.
Autorità di certificazione CA

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 907274 - Ultima revisione: 02/06/2016 06:49:00 - Revisione: 2.0

Microsoft Internet Information Services 6.0

  • kbiis kbinfo kbhowto kbmt KB907274 KbMtit
Feedback