Включение SSL для всех клиентов, взаимодействующих с веб-сайтом в IIS

  • Статья

В этой статье описывается, как включить протокол SSL для всех клиентов, которые взаимодействуют с веб-сайтом в Microsoft IIS (IIS).

Оригинальная версия продукта: службы IIS
Исходный номер базы знаний: 298805

Сводка

Эта статья содержит следующие разделы:

  • Настройка и включение сертификатов сервера, чтобы клиенты могли быть уверены, что ваш веб-сайт действителен, а любая информация, которую они отправляют вам, остается конфиденциальной и конфиденциальной.
  • Использование сторонних сертификатов для включения SSL, а также общий обзор процесса, используемого для создания запроса на подпись сертификата (CSR), который используется для получения стороннего сертификата.
  • Включение SSL-подключения для веб-сайта.
  • Как применить SSL для всех подключений и задать требуемую длину шифрования между клиентами и веб-сайтом.

Функции безопасности SSL веб-сервера можно использовать для двух типов проверки подлинности. Сертификат сервера можно использовать, чтобы позволить пользователям проходить проверку подлинности веб-сайта перед передачей персональных данных, таких как кредит карта номер. Кроме того, сертификаты клиента можно использовать для проверки подлинности пользователей, запрашивающих сведения на веб-сайте.

В этой статье предполагается, что вы будете использовать сторонний центр сертификации (ЦС) для проверки подлинности веб-сервера.

Чтобы включить проверку сертификата SSL-сервера и обеспечить требуемый уровень безопасности, необходимо получить сертификат из стороннего ЦС. Сертификаты, выданные вашей организации сторонним ЦС, обычно привязаны к веб-серверу, а точнее к веб-сайту, к которому необходимо привязать SSL. Вы можете создать собственный сертификат на сервере IIS, но в этом случае клиенты должны неявно доверять вам как центру сертификации.

Статья предполагает следующее:

  • Вы установили СЛУЖБЫ IIS.
  • Вы создали и опубликовали веб-сайт, который необходимо защитить с помощью SSL.

Получение сертификата

Чтобы начать процесс получения сертификата, необходимо создать CSR. Это можно сделать с помощью консоль управления IIS, поэтому перед созданием CSR необходимо установить IIS. CSR — это, по сути, сертификат, создаваемый на сервере, который проверяет сведения о сервере, относящиеся к компьютеру, при запросе сертификата из стороннего ЦС. CSR — это просто зашифрованное текстовое сообщение, зашифрованное парой открытого и закрытого ключей.

Как правило, в создаваемый CSR включаются следующие сведения о вашем компьютере:

  • Организация
  • Подразделения
  • Страна или регион
  • Штат или провинция
  • Город или населенный пункт
  • Общее имя

Примечание.

Общее имя обычно состоит из имени хост-компьютера и домена, к которому он принадлежит, например xyz.com. В этом случае компьютер является частью домена .com и называется XYZ. Это может быть корневой сервер для корпоративного домена или просто веб-сайт.

Создание CSR

  1. Получите доступ к консоли управления (MMC) IIS. Для этого щелкните правой кнопкой мыши Мой компьютер и выберите Управление. Откроется консоль управления компьютером. Разверните раздел Службы и приложения . Найдите IIS и разверните консоль IIS.

  2. Выберите конкретный веб-сайт, на котором требуется установить сертификат сервера. Щелкните сайт правой кнопкой мыши и выберите Пункт Свойства.

  3. Перейдите на вкладку Безопасность каталога . В разделе Безопасное взаимодействие выберите Сертификат сервера. Откроется мастер сертификатов веб-сервера. Нажмите кнопку Далее.

  4. Выберите Создать новый сертификат и нажмите кнопку Далее.

  5. Выберите Подготовить запрос сейчас, но отправьте его позже и нажмите кнопку Далее.

  6. В поле Имя введите имя, которое можно запомнить. По умолчанию будет указано имя веб-сайта, для которого создается CSR.

    Примечание.

    При создании CSR необходимо указать битовую длину. Битовая длина ключа шифрования определяет надежность зашифрованного сертификата, отправляемого в сторонний ЦС. Чем больше длина бита, тем сильнее шифрование. Большинство сторонних ЦС предпочитают не менее 1024 бит.

  7. В разделе Сведения об организации введите сведения об организации и подразделении. Это должно быть точным, так как вы предоставляете эти учетные данные стороннему ЦС и должны соответствовать их лицензированию сертификата. Нажмите кнопку Далее , чтобы открыть раздел Общее имя вашего сайта .

  8. За привязку сертификата к веб-сайту отвечает раздел "Общее имя вашего сайта ". Для SSL-сертификатов введите имя главного компьютера с именем домена. Для серверов интрасети можно использовать NetBIOS-имя компьютера, на котором размещен сайт. Нажмите кнопку Далее , чтобы получить доступ к географическим данным.

  9. Введите свою страну или регион, штат или провинцию, а также город или населенный пункт. Полностью укажите свой штат или провинцию, а также город или населенный пункт. И не используйте аббревиаций. Нажмите кнопку Далее.

  10. Сохраните файл как файл .txt.

  11. Подтвердите сведения о запросе. Нажмите кнопку Далее , чтобы завершить работу, и закройте мастер сертификатов веб-сервера.

Запрос сертификата

Существует несколько способов отправки запроса. Обратитесь к поставщику сертификатов по своему выбору, чтобы использовать метод и определить оптимальный уровень сертификата для ваших потребностей. В зависимости от метода, выбранного для отправки запроса в ЦС, вы можете отправить CSR-файл из шага 10 раздела Создание CSR или вставить содержимое этого файла в запрос. Этот файл будет зашифрован и будет содержать верхний и нижний колонтитулы для содержимого. При запросе сертификата необходимо включить как верхний, так и нижний колонтитул. CsR должен выглядеть следующим образом:

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

Установка сертификата

После того как сторонний ЦС завершит запрос на сертификат сервера, вы получите его по электронной почте или на сайте скачивания. Сертификат должен быть установлен на веб-сайте, на котором требуется обеспечить безопасное взаимодействие.

Чтобы установить сертификат, выполните следующие действия.

  1. Скачайте или скопируйте сертификат, полученный из ЦС, на веб-сервер.
  2. Откройте IIS MMC, как описано в разделе Создание CSR .
  3. Откройте диалоговое окно Свойства веб-сайта, на котором устанавливается сертификат.
  4. Перейдите на вкладку Безопасность каталога , а затем выберите Сертификат сервера. Откроется мастер сертификатов веб-сервера. Нажмите кнопку Далее.
  5. Выберите Обработать ожидающий запрос и установите сертификат, а затем нажмите кнопку Далее.
  6. Перейдите к расположению сертификата, сохраненного на шаге 1. Дважды нажмите кнопку Далее , а затем нажмите кнопку Готово.

Принудительное применение SSL-подключений

Теперь, когда сертификат сервера установлен, вы можете принудительно установить обмен данными между защищенными каналами SSL с клиентами веб-сервера. Сначала необходимо включить порт 443 для безопасного взаимодействия с веб-сайтом. Для этого выполните следующие действия:

  1. В консоли управления компьютером щелкните правой кнопкой мыши веб-сайт, на котором требуется применить SSL, и выберите Свойства.
  2. Перейдите на вкладку Веб-сайт . В разделе Идентификация веб-сайта убедитесь, что поле ПОРТ SSL заполнено числовым значением 443.
  3. Выберите Дополнительно. Должно появиться два поля. IP-адрес и порт веб-сайта уже должны быть указаны в поле Несколько удостоверений для этого веб-сайта. В поле Несколько удостоверений SSL для этого веб-сайта выберите Добавить , если порт 443 еще не указан. Выберите IP-адрес сервера и введите числовое значение 443 в поле ПОРТ SSL. Нажмите ОК.

Теперь, когда порт 443 включен, можно применить SSL-подключения. Для этого выполните следующие действия:

  1. Перейдите на вкладку Безопасность каталога . В разделе Secure Communication (Безопасное взаимодействие ) теперь доступно изменение . Нажмите Изменить.

  2. Выберите Требовать безопасный канал (SSL).

    Примечание.

    Если указать 128-разрядное шифрование, клиенты, использующие 40-разрядный или 56-разрядный браузер, не смогут взаимодействовать с вашим сайтом, если не обновят свою надежность шифрования.

  3. Откройте браузер и попробуйте подключиться к веб-серверу по стандартному протоколу http:// . При принудительном применении SSL появляется следующее сообщение об ошибке:

    Страница должна просматриваться по защищенному каналу
    Страница, которую вы пытаетесь просмотреть, требует использования https в адресе.
    Повторите попытку, введя https:// в начале адреса, на который вы пытаетесь связаться. HTTP 403.4 — запрещено: необходимые службы IIS ssl
    Техническая информация (для сотрудников службы поддержки). Эта ошибка указывает, что страница, к которому вы пытаетесь получить доступ, защищена с помощью протокола SSL.

Теперь вы можете подключаться к веб-сайту только по протоколу https:// .