JAK: Włączanie protokołu SSL w Internetowych usługach informacyjnych dla wszystkich klientów korzystających z Twojej witryny sieci Web

Streszczenie

W tym artykule opisano następujące tematy:
 • Instalowanie i włączanie certyfikatów serwera, które umożliwiają klientom zyskanie pewności, że witryna sieci Web jest ważna i wszystkie wysyłane przez nich informacje pozostają poufne i niedostępne publicznie.
 • Używanie certyfikatów innych firm do włączania protokołu SSL (Secure Sockets Layer) oraz ogólne omówienie procesu używanego do generowania żądania CSR (Certificate Signing Request), używanego do uzyskania certyfikatu innej firmy.
 • Włączanie łączności protokołu SSL we własnej witrynie sieci Web.
 • Wymuszanie protokołu SSL dla wszystkich połączeń i ustawianie wymaganego poziomu szyfrowania pomiędzy klientami i witryną sieci Web.
Funkcji zabezpieczeń protokołu SSL serwera sieci Web można użyć do dwóch rodzajów uwierzytelniania. Typ certyfikat serwera służy do zezwolenia użytkownikom na uwierzytelnienie Twojej witryny sieci Web przed wysłaniem do niej informacji osobistych, takich jak numer karty kredytowej. Typ certyfikaty klienta służy do uwierzytelnienia użytkowników żądających informacji z Twojej witryny sieci Web.


W tym artykule zakłada się, że dla zapewnienia uwierzytelniania własnego serwera sieci Web używany jest urząd certyfikacji innej firmy.


Aby włączyć weryfikację certyfikatu serwera protokołu SSL i udostępnić poziom bezpieczeństwa wymagany przez klientów, należy uzyskać certyfikat od urzędu certyfikacji innej firmy. Certyfikaty wydane organizacji przez urząd certyfikacji innej firmy są zwykle przypisane do serwera sieci Web, a właściwie do witryny sieci Web, z którą związano protokół SSL. Można też utworzyć własny certyfikat za pomocą serwera Internetowych usług informacyjnych (IIS), ale w takim przypadku klienci muszą mieć zaufanie do Twojego urzędu certyfikacji.


W tym artykule zakłada się, że:
 • Usługi IIS są zainstalowane.
 • Została utworzona i opublikowana witryna sieci Web, która będzie zabezpieczona z użyciem protokołu SSL.
Powrót do początku

Uzyskiwanie certyfikatu

Aby rozpocząć proces uzyskiwania certyfikatu, należy wygenerować żądanie CSR. W tym celu można użyć konsoli zarządzania usługami IIS; to oznacza, że przed wygenerowaniem żądania CSR muszą zostać zainstalowane usługi IIS. Żądanie CSR to innymi słowy certyfikat generowany na serwerze, sprawdzający, na skutek Twojego żądania certyfikatu od urzędu certyfikacji innej firmy, poprawność określonych dla komputera informacji o serwerze. Żądanie CSR stanowi wiadomość tekstową, zaszyfrowaną za pomocą pary kluczy publiczny/prywatny.


W wygenerowanym żądaniu CSR zawarte są zwykle następujące informacje o komputerze:
 • Organizacja
 • Jednostka organizacyjna
 • Kraj
 • Województwo
 • Miasto
 • Nazwa pospolitaUWAGA: Nazwa pospolita składa się zwykle z nazwy komputera hosta i domeny, do której należy, na przykład xyz.com. W tym przypadku komputer jest członkiem domeny .com i nosi nazwę XYZ. To może być serwer macierzysty domeny firmowej lub po prostu witryna sieci Web.
Powrót do początku

Generowanie żądania CSR

 1. Otwórz konsolę Microsoft Management Console (MMC) usług IIS. W tym celu kliknij prawym przyciskiem myszy ikonę Mój komputer, a następnie kliknij polecenie Zarządzaj. Zostanie otwarta Konsola zarządzania komputerem. Rozwiń gałąź Usługi i aplikacje. Zlokalizuj pozycję Internetowe usługi informacyjne i rozwiń konsolę IIS.
 2. Zaznacz wybraną witrynę sieci Web, dla której chcesz zainstalować certyfikat serwera. Kliknij witrynę prawym przyciskiem myszy, a następnie kliknij polecenie Właściwości.
 3. Kliknij kartę Zabezpieczenia katalogów. W sekcji Bezpieczna komunikacja kliknij pozycję Certyfikat serwera. Zostanie uruchomiony Kreator certyfikatów serwera sieci Web. Kliknij przycisk Dalej.
 4. Zaznacz opcję Utwórz nowy certyfikat, a następnie kliknij przycisk Dalej.
 5. Zaznacz opcję Przygotuj żądanie teraz, ale wyślij później, a następnie kliknij przycisk Dalej.
 6. W polu Nazwa wprowadź nazwę. Będzie to domyślna nazwa witryny sieci Web, dla której będzie generowane żądanie CSR.UWAGA: Podczas generowania żądania CSR, należy określić długość w bitach. Długość w bitach klucza szyfrowania określa siłę zaszyfrowanego certyfikatu wysyłanego do urzędu certyfikacji innej firmy. Im większa długość w bitach, tym silniejsze szyfrowanie. Większość urzędów certyfikacji innych firm zaleca minimalną długość 1024 bity.


 7. : Podczas generowania żądania CSR, należy określić długość w bitach. Długość w bitach klucza szyfrowania określa siłę zaszyfrowanego certyfikatu wysyłanego do urzędu certyfikacji innej firmy. Im większa długość w bitach, tym silniejsze szyfrowanie. Większość urzędów certyfikacji innych firm zaleca minimalną długość 1024 bity. W sekcji Informacje o organizacji wprowadź informacje o organizacji i jednostce organizacyjnej. Informacje muszą być dokładne, ponieważ zostaną przekazane do urzędu certyfikacji innej firmy i umieszczone w certyfikacie. Kliknij przycisk Dalej, aby przejść do sekcji Nazwa pospolita witryny.
 8. : Podczas generowania żądania CSR, należy określić długość w bitach. Długość w bitach klucza szyfrowania określa siłę zaszyfrowanego certyfikatu wysyłanego do urzędu certyfikacji innej firmy. Im większa długość w bitach, tym silniejsze szyfrowanie. Większość urzędów certyfikacji innych firm zaleca minimalną długość 1024 bity. Sekcja Nazwa pospolita witryny jest odpowiedzialna za powiązanie certyfikatu z Twoją witryną sieci Web. W przypadku certyfikatów SSL, wprowadź nazwę komputera hosta oraz nazwę domeny. W przypadku serwerów intranetowych, można użyć nazwy NetBIOS komputera obsługującego witrynę. Kliknij przycisk Dalej, aby przejść do informacji geograficznych.
 9. : Podczas generowania żądania CSR, należy określić długość w bitach. Długość w bitach klucza szyfrowania określa siłę zaszyfrowanego certyfikatu wysyłanego do urzędu certyfikacji innej firmy. Im większa długość w bitach, tym silniejsze szyfrowanie. Większość urzędów certyfikacji innych firm zaleca minimalną długość 1024 bity. Wprowadź informacje o kraju i województwie lub regionie. Sprawdź pisownię kraju i województwa lub regionu; nie używaj skrótów. Kliknij przycisk Dalej.
 10. : Podczas generowania żądania CSR, należy określić długość w bitach. Długość w bitach klucza szyfrowania określa siłę zaszyfrowanego certyfikatu wysyłanego do urzędu certyfikacji innej firmy. Im większa długość w bitach, tym silniejsze szyfrowanie. Większość urzędów certyfikacji innych firm zaleca minimalną długość 1024 bity. Zapisz plik jako plik z rozszerzeniem .txt. Podczas wysyłania żądania do urzędu certyfikacji, do żądania należy wkleić zawartość tego pliku. Plik zostanie zaszyfrowany i będzie zawierać nagłówek i stopkę zawartości. Należy je dołączyć podczas wysyłania żądania certyfikatu. Żądanie CSR powinno być podobne do następującego:
   
  -----BEGIN NEW CERTIFICATE REQUEST-----
  MIIDATCCAmoCAQAwbDEOMAwGA1UEAxMFcGxhbjgxDDAKBgNVBAsTA1BTUzESMBAG
  A1UEChMJTWljcm9zb2Z0MRIwEAYDVQQHEwlDaGFybG90dGUxFzAVBgNVBAgTDk5v
  cnRoIENhcm9saW5hMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEFAAOBjQAw
  gYkCgYEAtW1koGfdt+EoJbKdxUZ+5vE7TF1ZuT+xaK9jEWHESfw11zoRKrHzHN0f
  IASnwg3vZ0ACteQy5SiWmFaJeJ4k7YaKUb6chZXG3GqL4YiSKFaLpJX+YRiKMtmI
  JzFzict5GVVGHsa1lY0BDYDO2XOAlstGlHCtENHOKpzdYdANRg0CAwEAAaCCAVMw
  GgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMDUGCisGAQQBgjcCAQ4xJzAlMA4G
  A1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEFBQcDATCB/QYKKwYBBAGCNw0C
  AjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0ACAAUgBTAEEAIABTAEMAaABh
  AG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBwAGgAaQBjACAAUAByAG8AdgBp
  AGQAZQByA4GJAGKa0jzBn8fkxScrWsdnU2eUJOMUK5Ms87Q+fjP1/pWN3PJnH7x8
  MBc5isFCjww6YnIjD8c3OfYfjkmWc048ZuGoH7ZoD6YNfv/SfAvQmr90eGmKOFFi
  TD+hl1hM08gu2oxFU7mCvfTQ/2IbXP7KYFGEqaJ6wn0Z5yLOByPqblQZAAAAAAAA
  AAAwDQYJKoZIhvcNAQEFBQADgYEAhpzNy+aMNHAmGUXQT6PKxWpaxDSjf4nBmo7o
  MhfC7CIvR0McCQ+CBwuLzD+UJxl+kjgb+qwcOUkGX2PCZ7tOWzcXWNmn/4YHQl0M
  GEXu0w67sVc2R9DlsHDNzeXLIOmjUl935qy1uoIR4V5C48YNsF4ejlgjeCFsbCoj
  Jb9/2RM=
  -----END NEW CERTIFICATE REQUEST-----
 11. : Podczas generowania żądania CSR, należy określić długość w bitach. Długość w bitach klucza szyfrowania określa siłę zaszyfrowanego certyfikatu wysyłanego do urzędu certyfikacji innej firmy. Im większa długość w bitach, tym silniejsze szyfrowanie. Większość urzędów certyfikacji innych firm zaleca minimalną długość 1024 bity. Potwierdź szczegóły żądania. Kliknij przycisk Dalej, aby zakończyć i zakończ pracę Kreatora certyfikatów serwera sieci Web.
Powrót do początku

Żądanie certyfikatu

Jest wiele metod przesyłania żądania. Skontaktuj się z wybranym dostawcą certyfikatów, aby wybrać najlepszy, odpowiedni dla Twoich potrzeb certyfikat i ustalić metodę jego uzyskania.


Powrót do początku

Instalowanie certyfikatu

Po ukończeniu przetwarzania żądania certyfikatu przez urząd certyfikacji innej firmy, zostanie on przesłany pocztą e-mail lub udostępniony do pobrania z witryny sieci Web. Certyfikat musi zostać zainstalowany w witrynie sieci Web, w której masz zamiar wprowadzić bezpieczną komunikację.


Aby zainstalować certyfikat, wykonaj następujące czynności:
 1. Klucz może zostać odszyfrowany tylko za pomocą wygenerowanego wcześniej klucza prywatnego. Skopiuj tekst certyfikatu (powinien przypominać klucz wygenerowany wcześniej) i wklej go do pliku .txt. Pamiętaj o dołączeniu nagłówka i stopki certyfikatu. Zapisz plik jako plik Cert.txt.
 2. Otwórz przystawkę MMC usług IIS w sposób opisany w części „Generowanie żądania CSR”.
 3. Otwórz okno dialogowe Właściwości witryny sieci Web, w której instalowany jest certyfikat.
 4. Kliknij kartę Zabezpieczenia katalogów i kliknij pozycję Certyfikat serwera. Zostanie uruchomiony Kreator certyfikatów serwera sieci Web. Kliknij przycisk Dalej.
 5. Zaznacz opcję Przetwarzaj oczekujące żądanie i zainstaluj certyfikat, a następnie kliknij przycisk Dalej.
 6. Przeglądaj do lokalizacji pliku tekstowego zapisanego w kroku 1. Kliknij dwa razy przycisk Dalej, a następnie kliknij przycisk Zakończ.
Powrót do początku

Wymuszanie połączeń protokołu SSL

Po zainstalowaniu certyfikatu serwera można wymusić bezpieczną komunikację z klientami serwera sieci Web z użyciem protokołu SSL. Na początku należy włączyć port 443 dla bezpiecznej komunikacji z witryną sieci Web. Aby to zrobić, wykonaj następujące kroki:
 1. W konsoli Zarządzanie komputerem kliknij prawym przyciskiem myszy witrynę sieci Web, w której chcesz wymusić użycie protokołu SSL i kliknij polecenie Właściwości.
 2. Kliknij kartę Witryna sieci Web. Sprawdź w sekcji Identyfikacja witryny sieci Web, czy pole Port SSL jest wypełnione wartością numeryczną 443.
 3. Kliknij przycisk Zaawansowane. Zostaną wyświetlone dwa pola. Adres IP i port witryny sieci Web powinny już znajdować się w kolumnie Wiele tożsamości tej witryny sieci Web. Jeśli portu 443 nie ma na liście, w polu Wiele tożsamości SSL tej witryny sieci Web kliknij przycisk Dodaj. Zaznacz adres IP serwera i wpisz wartość numeryczną 443 w polu Port SSL. Kliknij przycisk OK.
Po włączeniu portu 443, można wymusić połączenia SSL. Aby to zrobić, wykonaj następujące kroki:
 1. Kliknij kartę Zabezpieczenia katalogów. W sekcji Bezpieczna komunikacja zostanie włączony przycisk Edytuj. Kliknij przycisk Edytuj.
 2. Wybierz opcję Wymagaj bezpiecznego kanału (SSL).UWAGA: Jeśli zostanie wybrane szyfrowanie 128-bitowe, klienci używający przeglądarki używającej 40-bitowej lub 56-bitowej siły szyfrowania nie będą mogli komunikować się z witryną do chwili uaktualnienia siły szyfrowania.
 3. : Jeśli zostanie wybrane szyfrowanie 128-bitowe, klienci używający przeglądarki używającej 40-bitowej lub 56-bitowej siły szyfrowania nie będą mogli komunikować się z witryną do chwili uaktualnienia siły szyfrowania. Otwórz przeglądarkę i spróbuj połączyć się z serwerem sieci Web za pomocą standardowego protokołu http://. Jeśli wymuszony jest protokół SSL, pojawi się następujący komunikat o błędzie:
  Ta strona musi być wyświetlana za pośrednictwem bezpiecznego kanału

  Strona, którą chcesz wyświetlić, wymaga użycia ciągu „https” w adresie.


  Spróbuj wykonać następujące czynności: Próbuj ponownie, wpisując ciąg https:// na początku adresu, z którym chcesz się połączyć. HTTP 403.4 - Zabroniony: wymagane SSL Internetowe usługi informacyjne

  Informacje techniczne (dla specjalistów Pomocy technicznej) Tło: Ten błąd oznacza, że strona, do której próbujesz uzyskać dostęp, jest zabezpieczona protokołem SSL (Secure Sockets Layer).
  Z witryną sieci Web można łączyć się tylko za pomocą protokołu https://.
Powrót do początku
Właściwości

Identyfikator artykułu: 298805 — ostatni przegląd: 26.06.2003 — zmiana: 1

Opinia