Configurar certificados intermediários em um computador que está executando o IIS para autenticação de servidor

Este artigo descreve como configurar certificados intermediários em um computador que está executando o IIS para autenticação de servidor.

Versão original do produto: Serviços de Informações da Internet
Número de KB original: 954755

Resumo

Quando um computador cliente tenta estabelecer conexões SSL (Secure Sockets Layer) autenticadas pelo servidor com um servidor Web do IIS, ele valida a cadeia de certificados do servidor. Para concluir essa validação de certificado com êxito, os certificados intermediários na cadeia de certificados do servidor devem ser configurados corretamente no servidor. Caso contrário, a autenticação do servidor pode falhar. Ele também se aplica a qualquer programa que use SSL ou TLS (Transport Layer Security) para autenticação.

Impacto

Os computadores cliente não podem se conectar ao servidor que está executando o IIS. Como os servidores não têm os certificados intermediários configurados corretamente, os computadores cliente não podem autenticar esses servidores.

Recomendamos que você configure corretamente os certificados intermediários no servidor.

Detalhes técnicos

A validação do certificado X.509 consiste em várias fases, incluindo descoberta de caminho de certificado e validação de caminho.

Como parte da descoberta do caminho do certificado, os certificados intermediários devem estar localizados para criar o caminho do certificado até um certificado raiz confiável. Um certificado intermediário é útil para determinar se um certificado foi finalmente emitido por uma autoridade de certificação raiz válida (AC). Esses certificados podem ser obtidos do cache ou do repositório de certificados no computador cliente. Os servidores também podem fornecer as informações para o computador cliente.

Na negociação SSL, o certificado do servidor é validado no cliente. Nesse caso, o servidor fornece os certificados para o computador cliente, juntamente com os certificados de emissão intermediários que o computador cliente usa para criar o caminho do certificado. A cadeia de certificados completa, exceto o certificado raiz, é enviada para o computador cliente.

Uma cadeia de certificados de um certificado de autenticação de servidor configurado é criada no contexto do computador local. Dessa forma, o IIS determina o conjunto de certificados que ele envia aos clientes para TLS/SSL. Para configurar os certificados intermediários corretamente, adicione-os ao repositório de certificados de AC intermediário na conta de computador local no servidor.

Suponha que um operador de servidor instale um certificado SSL junto com os certificados de AC emissores relevantes. Quando o certificado SSL for renovado posteriormente, o operador do servidor deve garantir que os certificados de emissão intermediária sejam atualizados ao mesmo tempo.

Configurar certificados intermediários

1. Abra o snap-in do Console de Gerenciamento da Microsoft (MMC). Para fazer isso, siga estas etapas:
   1. Em um prompt de comando, digite Mmc.exe.
   2. Se você não estiver executando o programa como administrador interno, será solicitado permissão para executar o programa. Na caixa de diálogo Segurança do Windows, clique em Permitir.
   3. No menu Arquivo, clique em Adicionar/Remover Snap-in.
   4. Na caixa de diálogo Adicionar ou Remover Snap-ins , selecione o snap-in Certificados na lista de snap-ins disponíveis . Em seguida, selecione Adicionar>OK.
   5. Na caixa de diálogo Snap-in Certificados , selecione Conta de computador e, em seguida, selecione Avançar.
   6. Na caixa de diálogo Selecionar computador , selecione Concluir.
   7. Na caixa de diálogo Adicionar ou Remover Snap-ins , selecione OK.
2. Para adicionar um certificado intermediário, siga estas etapas:
   1. No snap-in do MMC certificados, expanda Certificados, clique com o botão direito do mouse em Autoridades intermediárias de certificação, aponte para Todas as Tarefas e selecione Importar.
   2. No Assistente de Importação de Certificados, selecione Avançar.
   3. Na página Arquivo para Importar, digite o nome do arquivo do certificado que você deseja importar na caixa Nome do arquivo . Em seguida, selecione Avançar.
   4. Selecione Avançar e conclua o Assistente de Importação de Certificados.

Referências

Para obter mais informações sobre como a CryptoAPI função cria cadeias de certificados e valida status de revogação, visite Solucionar problemas de status e revogação do certificado.