SSL inschakelen voor alle klanten die communiceren met uw website in IIS

In dit artikel wordt beschreven hoe u SSL (Secure Sockets Layer) inschakelt voor alle klanten die communiceren met uw website in Microsoft Internet Information Services (IIS).

Oorspronkelijke productversie: Internet Information Services
Origineel KB-nummer: 298805

Samenvatting

Dit artikel bevat de volgende onderwerpen:

  • Servercertificaten instellen en inschakelen, zodat uw klanten er zeker van kunnen zijn dat uw website geldig is en dat alle informatie die ze naar u verzenden privé en vertrouwelijk blijft.
  • Certificaten van derden gebruiken om SSL (Secure Sockets Layer) in te schakelen, evenals een algemeen overzicht van het proces dat wordt gebruikt voor het genereren van een aanvraag voor certificaatondertekening (CSR), die wordt gebruikt om een certificaat van derden te verkrijgen.
  • SSL-connectiviteit inschakelen voor uw website.
  • SSL afdwingen voor alle verbindingen en de vereiste versleutelingslengte instellen tussen uw clients en uw website.

U kunt de SSL-beveiligingsfuncties van uw webserver gebruiken voor twee typen verificatie. U kunt een servercertificaat gebruiken om gebruikers toe te staan uw website te verifiëren voordat ze persoonlijke gegevens, zoals een creditcardnummer, verzenden. U kunt ook clientcertificaten gebruiken om gebruikers te verifiëren die informatie op uw website aanvragen.

In dit artikel wordt ervan uitgegaan dat u een externe certificeringsinstantie (CA) gebruikt om verificatie voor uw webserver te bieden.

Als u ssl-servercertificaatverificatie wilt inschakelen en het beveiligingsniveau wilt bieden dat uw klanten wensen, moet u een certificaat verkrijgen van een externe CA. Certificaten die door een externe CA aan uw organisatie worden uitgegeven, zijn doorgaans gekoppeld aan de webserver en meer specifiek aan de website waaraan u SSL wilt binden. U kunt uw eigen certificaat maken met de IIS-server, maar als u dit doet, moeten uw clients u impliciet vertrouwen als de certificeringsinstantie.

In dit artikel wordt uitgegaan van het volgende:

  • U hebt IIS geïnstalleerd.
  • U hebt de website gemaakt en gepubliceerd die u wilt beveiligen met SSL.

Een certificaat verkrijgen

Als u het proces voor het verkrijgen van het certificaat wilt starten, moet u een CSR genereren. U doet dit via de IIS-beheerconsole; daarom moet IIS worden geïnstalleerd voordat u een CSR kunt genereren. Een CSR is in feite een certificaat dat u op uw server genereert en waarmee de computerspecifieke informatie over uw server wordt gevalideerd wanneer u een certificaat aanvraagt bij een externe CA. De CSR is gewoon een versleuteld sms-bericht dat is versleuteld met een openbaar/persoonlijk sleutelpaar.

Doorgaans wordt de volgende informatie over uw computer opgenomen in de CSR die u genereert:

  • Organisatie
  • Organisatie-eenheid   
  • Land/regio
  • Staat/provincie
  • Plaats/plaats
  • Algemene naam

Opmerking

De algemene naam bestaat meestal uit de naam van uw hostcomputer en het domein waartoe deze behoort, zoals xyz.com. In dit geval maakt de computer deel uit van het .com domein en heeft de naam XYZ. Dit kan de hoofdserver voor uw bedrijfsdomein of gewoon een website zijn.

De CSR genereren

  1. Toegang tot de IIS Microsoft Management Console (MMC). Klik hiervoor met de rechtermuisknop op Deze computer en selecteer Beheren. Hiermee opent u de Computerbeheerconsole. Vouw de sectie Services en toepassingen uit . Zoek IIS en vouw de IIS-console uit.

  2. Selecteer de specifieke website waarop u een servercertificaat wilt installeren. Klik met de rechtermuisknop op de site en selecteer Eigenschappen.

  3. Selecteer het tabblad Adreslijstbeveiliging. Selecteer servercertificaat in de sectie Beveiligde communicatie. Hiermee wordt de wizard Webservercertificaat gestart. Selecteer Volgende.

  4. Selecteer Een nieuw certificaat maken en selecteer Volgende.

  5. Selecteer De aanvraag nu voorbereiden, maar later verzenden en selecteer Volgende.

  6. Voer in het veld Naam een naam in die u kunt onthouden. Deze wordt standaard ingesteld op de naam van de website waarvoor u de CSR genereert.

    Opmerking

    Wanneer u de CSR genereert, moet u een beetje lengte opgeven. De bitlengte van de versleutelingssleutel bepaalt de sterkte van het versleutelde certificaat dat u naar de externe CA verzendt. Hoe hoger de bitlengte, hoe sterker de versleuteling. De meeste CA's van derden geven de voorkeur aan minimaal 1024 bits.

  7. Voer in de sectie Organisatiegegevens de gegevens van uw organisatie en organisatie-eenheid in. Dit moet nauwkeurig zijn, omdat u deze referenties presenteert aan een externe CA en u moet voldoen aan hun licentieverlening voor het certificaat. Selecteer Volgende om de sectie Algemene naam van uw site te openen.

  8. De sectie Algemene naam van uw site is verantwoordelijk voor het binden van het certificaat aan uw website. Voer voor SSL-certificaten de naam van de hostcomputer in met de domeinnaam. Voor intranetservers kunt u de NetBIOS-naam gebruiken van de computer waarop de site wordt gehost. Selecteer Volgende om toegang te krijgen tot geografische gegevens.

  9. Voer uw land of regio, staat of provincie en stad of plaatsgegevens in. Schrijf uw staat of provincie en stad of plaats volledig uit. En gebruik geen afkortingen. Selecteer Volgende.

  10. Sla het bestand op als een .txt-bestand.

  11. Bevestig uw aanvraaggegevens. Selecteer Volgende om te voltooien en sluit de wizard Webservercertificaat af.

Het certificaat aanvragen

Er zijn verschillende methoden om uw aanvraag in te dienen. Neem contact op met de certificaatprovider van uw keuze voor de methode die u wilt gebruiken en om het beste certificaatniveau voor uw behoeften te bepalen. Afhankelijk van de methode die is gekozen voor het verzenden van uw aanvraag naar de CA, kunt u het CSR-bestand verzenden vanaf stap 10 in de sectie Csr genereren of moet u mogelijk de inhoud van dit bestand in de aanvraag plakken. Dit bestand wordt versleuteld en bevat een kop- en voettekst voor de inhoud. U moet zowel de koptekst als de voettekst opnemen wanneer u het certificaat aanvraagt. Uw CSR moet er als volgt uitzien:

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

Het certificaat installeren

Zodra de externe CA uw aanvraag voor een servercertificaat heeft voltooid, ontvangt u deze per e-mail of downloadsite. Het certificaat moet zijn geïnstalleerd op de website waarop u beveiligde communicatie wilt bieden.

Voer de volgende stappen uit om het certificaat te installeren:

  1. Download of kopieer het certificaat dat u van de CA hebt verkregen naar de webserver.
  2. Open de IIS MMC zoals beschreven in de sectie De CSR genereren .
  3. Open het dialoogvenster Eigenschappen voor de website waarop u het certificaat installeert.
  4. Selecteer het tabblad Adreslijstbeveiliging en selecteer vervolgens Servercertificaat. Hiermee wordt de wizard Webservercertificaat gestart. Selecteer Volgende.
  5. Selecteer De aanvraag in behandeling verwerken en het certificaat installeren en selecteer vervolgens Volgende.
  6. Blader naar de locatie van het certificaat dat u in stap 1 hebt opgeslagen. Selecteer twee keer Volgende en selecteer vervolgens Voltooien.

SSL-verbindingen afdwingen

Nu het servercertificaat is geïnstalleerd, kunt u beveiligde SSL-kanaalcommunicatie afdwingen met clients van de webserver. Eerst moet u poort 443 inschakelen voor veilige communicatie met de website. Ga hiervoor als volgt te werk:

  1. Klik in de computerbeheerconsole met de rechtermuisknop op de website waarop u SSL wilt afdwingen en selecteer Eigenschappen.
  2. Selecteer het tabblad Website . Controleer in de sectie Website-identificatie of het veld SSL-poort is ingevuld met de numerieke waarde 443.
  3. Selecteer Geavanceerd. U ziet nu twee velden. Het IP-adres en de poort van de website moeten al worden vermeld in het veld Meerdere identiteiten voor deze website. Selecteer onder het veld Meerdere SSL-identiteiten voor deze website de optie Toevoegen als poort 443 nog niet wordt vermeld. Selecteer het IP-adres van de server en typ de numerieke waarde 443 in het veld SSL-poort. Selecteer OK.

Nu poort 443 is ingeschakeld, kunt u SSL-verbindingen afdwingen. Ga hiervoor als volgt te werk:

  1. Selecteer het tabblad Adreslijstbeveiliging . In de sectie Beveiligde communicatie is Bewerken nu beschikbaar. Selecteer Bewerken.

  2. Selecteer Secure Channel (SSL) vereisen.

    Opmerking

    Als u 128-bits versleuteling opgeeft, kunnen clients die een browser met 40-bits of 56 bitssterkte gebruiken, niet communiceren met uw site, tenzij ze hun versleutelingssterkte upgraden.

  3. Open uw browser en probeer verbinding te maken met uw webserver met behulp van het standaardprotocol http:// . Als SSL wordt afgedwongen, ontvangt u het volgende foutbericht:

    De pagina moet worden weergegeven via een beveiligd kanaal
    De pagina die u probeert weer te geven, vereist het gebruik van 'https' in het adres.
    Probeer het volgende: Probeer het opnieuw door https:// te typen aan het begin van het adres dat u probeert te bereiken. HTTP 403.4 - Verboden: SSL-vereiste Internet Information Services
    Technische informatie (voor ondersteuningsmedewerkers) Achtergrond: Deze fout geeft aan dat de pagina die u probeert te openen, is beveiligd met SSL (Secure Sockets Layer).

U kunt nu alleen verbinding maken met uw website met behulp van het https:// -protocol.