Включение SSL для всех клиентов, взаимодействующих с веб-сайтом в IIS
В этой статье описывается, как включить протокол SSL для всех клиентов, которые взаимодействуют с веб-сайтом в Microsoft IIS (IIS).
Оригинальная версия продукта: службы IIS
Исходный номер базы знаний: 298805
Сводка
Эта статья содержит следующие разделы:
- Настройка и включение сертификатов сервера, чтобы клиенты могли быть уверены, что ваш веб-сайт действителен, а любая информация, которую они отправляют вам, остается конфиденциальной и конфиденциальной.
- Использование сторонних сертификатов для включения SSL, а также общий обзор процесса, используемого для создания запроса на подпись сертификата (CSR), который используется для получения стороннего сертификата.
- Включение SSL-подключения для веб-сайта.
- Как применить SSL для всех подключений и задать требуемую длину шифрования между клиентами и веб-сайтом.
Функции безопасности SSL веб-сервера можно использовать для двух типов проверки подлинности. Сертификат сервера можно использовать, чтобы позволить пользователям проходить проверку подлинности веб-сайта перед передачей персональных данных, таких как кредит карта номер. Кроме того, сертификаты клиента можно использовать для проверки подлинности пользователей, запрашивающих сведения на веб-сайте.
В этой статье предполагается, что вы будете использовать сторонний центр сертификации (ЦС) для проверки подлинности веб-сервера.
Чтобы включить проверку сертификата SSL-сервера и обеспечить требуемый уровень безопасности, необходимо получить сертификат из стороннего ЦС. Сертификаты, выданные вашей организации сторонним ЦС, обычно привязаны к веб-серверу, а точнее к веб-сайту, к которому необходимо привязать SSL. Вы можете создать собственный сертификат на сервере IIS, но в этом случае клиенты должны неявно доверять вам как центру сертификации.
Статья предполагает следующее:
- Вы установили СЛУЖБЫ IIS.
- Вы создали и опубликовали веб-сайт, который необходимо защитить с помощью SSL.
Получение сертификата
Чтобы начать процесс получения сертификата, необходимо создать CSR. Это можно сделать с помощью консоль управления IIS, поэтому перед созданием CSR необходимо установить IIS. CSR — это, по сути, сертификат, создаваемый на сервере, который проверяет сведения о сервере, относящиеся к компьютеру, при запросе сертификата из стороннего ЦС. CSR — это просто зашифрованное текстовое сообщение, зашифрованное парой открытого и закрытого ключей.
Как правило, в создаваемый CSR включаются следующие сведения о вашем компьютере:
- Организация
- Подразделения
- Страна или регион
- Штат или провинция
- Город или населенный пункт
- Общее имя
Примечание.
Общее имя обычно состоит из имени хост-компьютера и домена, к которому он принадлежит, например xyz.com. В этом случае компьютер является частью домена .com и называется XYZ. Это может быть корневой сервер для корпоративного домена или просто веб-сайт.
Создание CSR
Получите доступ к консоли управления (MMC) IIS. Для этого щелкните правой кнопкой мыши Мой компьютер и выберите Управление. Откроется консоль управления компьютером. Разверните раздел Службы и приложения . Найдите IIS и разверните консоль IIS.
Выберите конкретный веб-сайт, на котором требуется установить сертификат сервера. Щелкните сайт правой кнопкой мыши и выберите Пункт Свойства.
Перейдите на вкладку Безопасность каталога . В разделе Безопасное взаимодействие выберите Сертификат сервера. Откроется мастер сертификатов веб-сервера. Нажмите кнопку Далее.
Выберите Создать новый сертификат и нажмите кнопку Далее.
Выберите Подготовить запрос сейчас, но отправьте его позже и нажмите кнопку Далее.
В поле Имя введите имя, которое можно запомнить. По умолчанию будет указано имя веб-сайта, для которого создается CSR.
Примечание.
При создании CSR необходимо указать битовую длину. Битовая длина ключа шифрования определяет надежность зашифрованного сертификата, отправляемого в сторонний ЦС. Чем больше длина бита, тем сильнее шифрование. Большинство сторонних ЦС предпочитают не менее 1024 бит.
В разделе Сведения об организации введите сведения об организации и подразделении. Это должно быть точным, так как вы предоставляете эти учетные данные стороннему ЦС и должны соответствовать их лицензированию сертификата. Нажмите кнопку Далее , чтобы открыть раздел Общее имя вашего сайта .
За привязку сертификата к веб-сайту отвечает раздел "Общее имя вашего сайта ". Для SSL-сертификатов введите имя главного компьютера с именем домена. Для серверов интрасети можно использовать NetBIOS-имя компьютера, на котором размещен сайт. Нажмите кнопку Далее , чтобы получить доступ к географическим данным.
Введите свою страну или регион, штат или провинцию, а также город или населенный пункт. Полностью укажите свой штат или провинцию, а также город или населенный пункт. И не используйте аббревиаций. Нажмите кнопку Далее.
Сохраните файл как файл .txt.
Подтвердите сведения о запросе. Нажмите кнопку Далее , чтобы завершить работу, и закройте мастер сертификатов веб-сервера.
Запрос сертификата
Существует несколько способов отправки запроса. Обратитесь к поставщику сертификатов по своему выбору, чтобы использовать метод и определить оптимальный уровень сертификата для ваших потребностей. В зависимости от метода, выбранного для отправки запроса в ЦС, вы можете отправить CSR-файл из шага 10 раздела Создание CSR или вставить содержимое этого файла в запрос. Этот файл будет зашифрован и будет содержать верхний и нижний колонтитулы для содержимого. При запросе сертификата необходимо включить как верхний, так и нижний колонтитул. CsR должен выглядеть следующим образом:
-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----
Установка сертификата
После того как сторонний ЦС завершит запрос на сертификат сервера, вы получите его по электронной почте или на сайте скачивания. Сертификат должен быть установлен на веб-сайте, на котором требуется обеспечить безопасное взаимодействие.
Чтобы установить сертификат, выполните следующие действия.
- Скачайте или скопируйте сертификат, полученный из ЦС, на веб-сервер.
- Откройте IIS MMC, как описано в разделе Создание CSR .
- Откройте диалоговое окно Свойства веб-сайта, на котором устанавливается сертификат.
- Перейдите на вкладку Безопасность каталога , а затем выберите Сертификат сервера. Откроется мастер сертификатов веб-сервера. Нажмите кнопку Далее.
- Выберите Обработать ожидающий запрос и установите сертификат, а затем нажмите кнопку Далее.
- Перейдите к расположению сертификата, сохраненного на шаге 1. Дважды нажмите кнопку Далее , а затем нажмите кнопку Готово.
Принудительное применение SSL-подключений
Теперь, когда сертификат сервера установлен, вы можете принудительно установить обмен данными между защищенными каналами SSL с клиентами веб-сервера. Сначала необходимо включить порт 443 для безопасного взаимодействия с веб-сайтом. Для этого выполните следующие действия:
- В консоли управления компьютером щелкните правой кнопкой мыши веб-сайт, на котором требуется применить SSL, и выберите Свойства.
- Перейдите на вкладку Веб-сайт . В разделе Идентификация веб-сайта убедитесь, что поле ПОРТ SSL заполнено числовым значением 443.
- Выберите Дополнительно. Должно появиться два поля. IP-адрес и порт веб-сайта уже должны быть указаны в поле Несколько удостоверений для этого веб-сайта. В поле Несколько удостоверений SSL для этого веб-сайта выберите Добавить , если порт 443 еще не указан. Выберите IP-адрес сервера и введите числовое значение 443 в поле ПОРТ SSL. Нажмите ОК.
Теперь, когда порт 443 включен, можно применить SSL-подключения. Для этого выполните следующие действия:
Перейдите на вкладку Безопасность каталога . В разделе Secure Communication (Безопасное взаимодействие ) теперь доступно изменение . Нажмите Изменить.
Выберите Требовать безопасный канал (SSL).
Примечание.
Если указать 128-разрядное шифрование, клиенты, использующие 40-разрядный или 56-разрядный браузер, не смогут взаимодействовать с вашим сайтом, если не обновят свою надежность шифрования.
Откройте браузер и попробуйте подключиться к веб-серверу по стандартному протоколу http:// . При принудительном применении SSL появляется следующее сообщение об ошибке:
Страница должна просматриваться по защищенному каналу
Страница, которую вы пытаетесь просмотреть, требует использования https в адресе.
Повторите попытку, введя https:// в начале адреса, на который вы пытаетесь связаться. HTTP 403.4 — запрещено: необходимые службы IIS ssl
Техническая информация (для сотрудников службы поддержки). Эта ошибка указывает, что страница, к которому вы пытаетесь получить доступ, защищена с помощью протокола SSL.
Теперь вы можете подключаться к веб-сайту только по протоколу https:// .
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по