Habilitar o SSL para todos os clientes que interagem com seu site no IIS

Este artigo descreve como habilitar o SSL (Secure Sockets Layer) para todos os clientes que interagem com seu site no Serviços de Informações da Internet da Microsoft (IIS).

Versão original do produto: Serviços de Informações da Internet
Número de KB original: 298805

Resumo

Este artigo contém os seguintes tópicos:

• Como configurar e habilitar certificados de servidor para que seus clientes possam ter certeza de que seu site é válido e que todas as informações enviadas para você permanecem privadas e confidenciais.
• Como usar certificados de terceiros para habilitar a SSL (Secure Sockets Layer), bem como uma visão geral do processo que é usado para gerar uma CSR (Solicitação de Assinatura de Certificado), que é usada para obter um certificado de terceiros.
• Como habilitar a conectividade SSL para seu site.
• Como impor o SSL para todas as conexões e definir o comprimento de criptografia necessário entre seus clientes e seu site.

Você pode usar os recursos de segurança SSL do servidor Web para dois tipos de autenticação. Você pode usar um certificado de servidor para permitir que os usuários autentiquem seu site antes que eles transmitam informações pessoais, como um número de cartão de crédito. Além disso, você pode usar certificados de cliente para autenticar usuários que solicitam informações em seu site.

Este artigo pressupõe que você usará uma AC (autoridade de certificado) de terceiros para fornecer autenticação para seu servidor Web.

Para habilitar a verificação de certificado do servidor SSL e fornecer o nível de segurança desejado pelos clientes, você deve obter um certificado de uma AC de terceiros. Certificados emitidos à sua organização por uma AC de terceiros normalmente estão vinculados ao servidor Web e, mais especificamente, ao site ao qual você associará o SSL. Você pode criar seu próprio certificado com o servidor IIS, mas, se o fizer, seus clientes devem confiar implicitamente em você como a autoridade de certificado.

Este artigo pressupõe o seguinte:

• Você instalou o IIS.
• Você criou e publicou o site que deseja proteger com o SSL.

Obter um certificado

Para iniciar o processo para obter o certificado, você deve gerar um CSR. Você faz isso por meio do console de gerenciamento do IIS; portanto, o IIS deve ser instalado antes de gerar um CSR. Um CSR é basicamente um certificado que você gera em seu servidor que valida as informações específicas do computador sobre seu servidor quando você solicita um certificado de uma AC de terceiros. O CSR é simplesmente uma mensagem de texto criptografada que é criptografada com um par de chaves público/privado.

Normalmente, as seguintes informações sobre seu computador são incluídas no CSR que você gera:

• Organização
• Unidade organizacional
• País/região
• Estado/província
• Cidade/localidade
• Nome comum

Gerar o CSR

1. Acesse o MMC (Console de Gerenciamento da Microsoft) do IIS. Para fazer isso, clique com o botão direito do mouse em Meu Computador e selecione Gerenciar. Isso abre o Console de Gerenciamento de Computadores. Expanda a seção Serviços e Aplicativos . Localize o IIS e expanda o console do IIS.

2. Selecione o site específico no qual você deseja instalar um certificado de servidor. Clique com o botão direito do mouse no site e selecione Propriedades.

3. Selecione a guia Segurança do Diretório . Na seção Comunicação Segura , selecione Certificado do Servidor. Isso inicia o Assistente de Certificado do Servidor Web. Selecione Avançar.

4. Selecione Criar um Novo Certificado e selecione Avançar.

5. Selecione Preparar a solicitação agora, mas envie-a mais tarde e selecione Avançar.

6. No campo Nome , insira um nome que você possa lembrar. Ele será padrão para o nome do site para o qual você está gerando o CSR.

   Observação

   Quando você gera o CSR, você precisa especificar um pouco de comprimento. O tamanho do bit da chave de criptografia determina a força do certificado criptografado que você envia para a AC de terceiros. Quanto maior o comprimento do bit, mais forte será a criptografia. A maioria dos CAs de terceiros prefere um mínimo de 1024 bits.

7. Na seção Informações da Organização , insira suas informações de organização e unidade organizacional. Isso deve ser preciso, pois você está apresentando essas credenciais a uma AC de terceiros e deve cumprir o licenciamento do certificado. Selecione Avançar para acessar a seção Nome Comum do Site .

8. A seção Nome Comum do Site é responsável por associar o certificado ao seu site. Para certificados SSL, insira o nome do computador host com o nome do domínio. Para servidores Intranet, você pode usar o nome NetBIOS do computador que está hospedando o site. Selecione Avançar para acessar informações geográficas.

9. Insira suas informações de país ou região, estado ou província e cidade ou localidade. Explicitar completamente seu estado, província e cidade ou localidade. E não use abreviações. Selecione Avançar.

10. Salve o arquivo como um arquivo .txt.

11. Confirme os detalhes da solicitação. Selecione Avançar para concluir e saia do Assistente de Certificado do Servidor Web.

Solicitar o certificado

Há diferentes métodos de envio de sua solicitação. Entre em contato com o provedor de certificados de sua escolha para o método a ser usado e para determinar o melhor nível de certificado para suas necessidades. Dependendo do método escolhido para enviar sua solicitação para a AC, você pode enviar o arquivo CSR da etapa 10 na seção Gerar o CSR , ou talvez você precise colar o conteúdo desse arquivo na solicitação. Esse arquivo será criptografado e conterá um cabeçalho e um rodapé para o conteúdo. Você deve incluir o cabeçalho e o rodapé ao solicitar o certificado. Sua CSR deve se assemelhar ao seguinte:

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

Instalar o certificado

Depois que a AC de terceiros tiver concluído sua solicitação de um certificado de servidor, você o receberá por email ou site de download. O certificado deve ser instalado no site da Web no qual você deseja fornecer comunicações seguras.

Para instalar o certificado, siga estas etapas:

1. Baixe ou copie o certificado obtido da AC para o servidor Web.
2. Abra o MMC do IIS, conforme descrito na seção Gerando o CSR .
3. Acesse a caixa de diálogo Propriedades do site na qual você está instalando o certificado.
4. Selecione a guia Segurança do Diretório e selecione Certificado do Servidor. Isso inicia o Assistente de Certificado do Servidor Web. Selecione Avançar.
5. Selecione Processar a Solicitação Pendente e instale o certificado e selecione Avançar.
6. Navegue até o local do certificado que você salvou na etapa 1. Selecione Avançar duas vezes e selecione Concluir.

Impor conexões SSL

Agora que o certificado do servidor está instalado, você pode impor comunicações de canal seguro SSL com clientes do servidor Web. Primeiro, você precisa habilitar a porta 443 para comunicações seguras com o site. Para fazer isso, siga estas etapas:

1. No console de Gerenciamento de Computadores, clique com o botão direito do mouse no site no qual você deseja impor o SSL e selecione Propriedades.
2. Selecione a guia Site da Web . Na seção Identificação do Site da Web, verifique se o campo porta SSL está preenchido com o valor numérico 443.
3. Selecione Avançado. Você deve ver dois campos. O endereço IP e a porta do site da Web já devem ser listados no campo Múltiplas identidades para este site. No campo Várias Identidades SSL para este site, selecione Adicionar se a porta 443 ainda não estiver listada. Selecione o endereço IP do servidor e digite o valor numérico 443 no campo Porta SSL. Selecione OK.

Agora que a porta 443 está habilitada, você pode impor conexões SSL. Para fazer isso, siga estas etapas:

1. Selecione a guia Segurança do Diretório . Na seção Comunicação Segura , Editar já está disponível. Selecione Editar.

2. Selecione Exigir Canal Seguro (SSL).

   Observação

   Se você especificar criptografia de 128 bits, os clientes que usam o navegador de força de 40 bits ou 56 bits não poderão se comunicar com seu site, a menos que atualizem sua força de criptografia.

3. Abra seu navegador e tente se conectar ao servidor Web usando o protocolo http:// padrão. Se o SSL estiver sendo imposto, você receberá a seguinte mensagem de erro:

   A página deve ser exibida em um canal seguro
   A página que você está tentando exibir requer o uso de 'https' no endereço.
   Tente o seguinte: tente novamente digitando https:// no início do endereço que você está tentando alcançar. HTTP 403.4 – Proibido: Serviços de Informações da Internet necessários para SSL
   Informações técnicas (para pessoal de suporte) Em segundo plano: esse erro indica que a página que você está tentando acessar está protegida com SSL (Secure Sockets Layer).

Agora você só pode se conectar ao seu site usando o protocolo https:// .