Je bent nu offline; er wordt gewacht tot er weer een internetverbinding is

IIS en clientcertificaten

BELANGRIJK: Dit artikel is vertaald door de vertaalmachine software van Microsoft in plaats van door een professionele vertaler. Microsoft biedt u professioneel vertaalde artikelen en artikelen vertaald door de vertaalmachine, zodat u toegang heeft tot al onze knowledge base artikelen in uw eigen taal. Artikelen vertaald door de vertaalmachine zijn niet altijd perfect vertaald. Deze artikelen kunnen fouten bevatten in de vocabulaire, zinsopbouw en grammatica en kunnen lijken op hoe een anderstalige de taal spreekt en schrijft. Microsoft is niet verantwoordelijk voor onnauwkeurigheden, fouten en schade ontstaan door een incorrecte vertaling van de content of het gebruik ervan door onze klanten. Microsoft past continue de kwaliteit van de vertaalmachine software aan door deze te updaten.

De Engelstalige versie van dit artikel is de volgende:907274
IIS ondersteuning Voice kolom

IIS en clientcertificaten

Deze kolom aan uw behoeften aanpassen, willen we nodigen u uit om uw ideeën over onderwerpen die interessant zijn voor problemen die u wilt zien en behandeld in toekomstige Knowledge Base-artikelen en ondersteuning Voice kolommen. U kunt uw ideeën en feedback via indienen deVoor deze vraagformulier. Er is een koppeling naar het formulier onderaan deze kolom.

Inleiding

Hallo. Mijn naam is David Dietz en ik zijn hebben Microsoft Internet Information Services (IIS) voor ondersteuning. de afgelopen zes jaar. In de loop van dit moment een onderwerp heeft is dat een uitdaging voor vele webbeheerders clientcertificaten is. In deze artikel, ik ga over enkele grondbeginselen van clientcertificaten en probeert te Sommige zinvol wat ze zijn en wat zij kunnen doen.

Sommige van de misconceptions we regelmatig zien zijn:
  • Clientcertificaten nodig zijn om SSL werken juist.
  • Als u clientcertificaten, hoeft u niet een certificaat op de server.
  • Een clientcertificaat dat is uitgegeven door een certificeringsinstantie werken met de server.
  • Als u een certificaat verleent, wordt uw webserver automatisch accepteren.
De eerste en misschien wel de meeste verwarrend punt is het verschil tussen client en servercertificaten van SSL (Secure Sockets Layer). Hoewel certificaten en SSL-servercertificaten beide certificaten, gebruiken ze niet rechtstreeks zijn gerelateerd aan elkaar. SSL-servercertificaten bieden codering en beveiligingsfunctionaliteit. Clientcertificaten bevatten gebruikersverificatie functionaliteit. Als dit zinvol, moet de rest eenvoudig.

Client certificaten voor een gebruiker door een certificeringsinstantie. Zij bestaan uit de openbare sleutel gedeelte van het certificaat en een persoonlijke sleutel wordt gehouden door de entiteit waaraan het certificaat is uitgegeven. Mogelijk is de certificeringsinstantie een bekende openbare organisatie certificaatservices als onderdeel van biedt de bedrijf of een interne server alleen voor uw bedrijf gebruikt kan worden. In beide gevallen het clientcertificaat hebben bepaalde informatie die geeft de gebruiker afzonderlijk of als onderdeel van een groep.

In IIS u hebt de optie negeren, accepteren of clientcertificaten vereist Wanneer een gebruiker toegang krijgt tot bronnen op uw server. Certificaten negeren gewoon betekent dat u niet gebruikt, geen vraagt de client een, en zal een negeren als naar uw server verzonden. Als u certificaten accepteren de server vraagt om een certificaat, maar niet noodzakelijkerwijs weigert de toegang Als een certificaat is niet beschikbaar. Als u clientcertificaten vereist, moet de gebruiker opgeven een geldig certificaat of de gebruiker ontvangt een foutbericht.

Voor een certificaat goed werken, bepaalde eisen voldaan op de server en de client. Elke kant heeft een lijst met hoofd-CA de autoriteiten die ze vertrouwen. Wanneer de server een certificaat vraagt, verzoek bevat een lijst met certificeringsinstanties die de server vertrouwt. Vervolgens vergelijkt deze lijst op de client de lijst van de client vertrouwt en maakt een lijst van certificeringsinstanties die overeenkomen. Vervolgens vergelijkt de client met de clientcertificaten het heeft en bepaalt welke eventuele certificaten zijn uitgegeven door certificeringsinstanties die door de client en de server vertrouwen. Afhankelijk van de client u een lijst van certificaten als er meer dan één certificeringsinstantie kiezen uit kan zien dat beide zijden vertrouwen. De client stuurt het openbare gedeelte van het certificaat de server. Op dit punt controleert de server meestal Zorg ervoor dat de certificaat geldig is en als er geen toewijzing uitgevoerd, de communicatie tussen de client en de server kunnen blijven.

Dit is de meest elementaire de functionaliteit van clientcertificaten. Op dit moment weet alleen de server de client heeft een geldig certificaat.

Hier is waar dingen krijgen interessant. De server kan worden geconfigureerd toewijzing van het certificaat een gebruikersaccount. Dit kan een-op-een toewijzing, waarbij het specifieke certificaat is toegewezen aan één gebruikersaccount of een veel-op-één-toewijzing, waar de server gebruikmaakt van bepaalde velden in de certificaatgegevens een toewijzen overeenkomende certificaat aan een gebruikersaccount toegewezen. Wanneer een toewijzing wordt gebruikt, de certificaat kunt verlenen of weigeren van toegang tot bronnen als u een bepaalde gebruiker. Als u clientcertificaten op deze manier, maar geen andere verificatiemethode gebruiken.

Veelvoorkomende foutberichten die betrekking op clientcertificaten hebben

403.7 - Certificaat vereist
Dit foutbericht wordt ontvangen als een client biedt een Wanneer een clientcertificaat is vereist. De client verzendt een clientcertificaat geweigerd of de client geen certificaat uitgegeven door een wederzijds vertrouwde certificeringsinstantie.
403.13 - Client het certificaat is ingetrokken
Dit foutbericht betekent dat de client een certificaat verzonden maar of het certificaat weergegeven als in de uitgevende instantie certificaten ingetrokken Intrekkingslijst of de server kan geen CRL ophalen vanaf de afgifte autoriteit.
403.16 - Clientcertificaat is niet vertrouwd of ongeldig.
Dit foutbericht wordt vooral gegenereerd wanneer de certificaat van de client is onjuist gevormd. Deze kan ook worden gegenereerd als Er zijn tussenliggende certificeringsinstanties in het certificaat dat toeleveringsketen niet worden vertrouwd door de webserver.
403.17- Clientcertificaat verlopen of nog niet geldig
Dit foutbericht is vrij duidelijk. Dit betekent dat de huidige datum op de server niet de bereiken van geldige datum die in het clientcertificaat.
Meer informatie
Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
252657IIS 5.0: HTTP 403.16: niet vertrouwd of ongeldig clientcertificaat
248031Foutbericht: HTTP 403.17 - verboden: clientcertificaat is verlopen of nog niet geldig
294305IIS HTTP-foutbericht '403. 13 clientcertificaat ingetrokken' geretourneerd, hoewel er geen certificaat is ingetrokken
313070Toewijzingen van clientcertificaten configureren in Internet Information Services (IIS) 5.0
Clientcertificaattoewijzing (IIS 6.0)SPKI certificaat theorieZoals altijd gerust ideeën over onderwerpen die u wilt verzenden in toekomstige kolommen of in de Knowledge Base met deVoor deze vraagformulier.
Certificeringsinstantie

Waarschuwing: dit artikel is automatisch vertaald

Eigenschappen

Artikel-id: 907274 - Laatst bijgewerkt: 03/17/2011 08:01:00 - Revisie: 2.0

Microsoft Internet Information Services 6.0

  • kbiis kbinfo kbhowto kbmt KB907274 KbMtnl
Feedback
l>