Como implementar o SSL com um servidor autônomo de certificado no Virtual Server 2005

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 887490
Este artigo foi arquivado. É oferecido "como está" e não será mais atualizado.
INTRODUÇÃO
Para ajudar a melhorar a segurança, recomendamos que você execute o site de administração no Microsoft Virtual Server 2005 através de uma conexão SSL (Secure Sockets LAYER). Este artigo descreve as etapas para configurar uma conexão SSL em um ambiente onde os certificados de servidor baseados em uma raiz autônoma. Se você usar uma autoridade de raiz de certificação de terceiros ou uma autoridade de raiz de certificação corporativa, você ainda pode siga estas etapas não suposições são feitas nesse processo sobre o local ou a propriedade de cada componente que é usado para configurar SSL para o Virtual Server 2005.

Você pode usar esse processo para configurar SSL para o Virtual Server 2005 em um host baseado no Microsoft Windows XP ou em um host baseado no Microsoft Windows Server 2003. Em um host baseado no Windows Server 2003, você configurar um certificado para o site que você usar. Nesse caso, que é o site Virtual Server, não o site padrão. No Windows XP, há apenas um site. Esse site é o site padrão.

back to the top
Mais Informações

Parte 1: Instalar certificado de serviços

Se houver uma autoridade de certificação disponível para emitir certificados em sua rede, o procedimento a seguir pode ser opcional. Você pode usar qualquer produto de servidor Microsoft atual para instalar a autoridade de certificação. Siga estas etapas para instalar serviços de certificados em um computador baseado no Windows Server 2003:
  1. No Painel de controle , clique duas vezes em Adicionar ou remover programas e, em seguida, clique em componentes do Windows Adicionar ou remover .
  2. Clique para selecionar a caixa de seleção Serviços de certificados e, em seguida, clique em Avançar .
  3. Clique em autoridade de certificação raiz autônoma e, em seguida, clique em Avançar .
  4. Digite o nome que você deseja usar na caixa de nome comum para essa CA . Normalmente, isso é o nome do computador. Este nome de computador poderia ser diferente do computador que você estiver executando o Virtual Server 2005 em. Além disso, talvez seja necessário apenas um servidor de certificados para vários hosts do Virtual Server.
  5. Clique em Avançar para aceitar as configurações padrão para o compartilhamento é criado e para os arquivos de log.
  6. Insira a mídia de instalação do Windows quando for solicitado.
  7. Clique em Sim ao receber a mensagem de aviso de Active Server Pages (ASP).
Observação Quando você executa esse procedimento, pára, o Microsoft Internet Information Services (IIS) e páginas ASP são instaladas. Em seguida, reiniciar o IIS para concluir a instalação. Não é necessário reiniciar o computador.

O que considerar quando você instala uma autoridade de certificação

  • Podem causar problemas de autoridade de certificação você tenha para reinstalar o sistema operacional no computador que POSSUI a autoridade de certificação e emitir novos certificados para todos os seus sites. Pense nisso quando você seleciona um servidor para a instalação da CA raiz. Isso pode ser um computador diferente do que o computador host do Virtual Server.
  • Restaurar um estado do sistema desatualizados pode causar problemas de autoridade de certificação.
  • Remover o computador do domínio quebras a autoridade de certificação.
  • A autoridade de certificação está vinculada a seu nome de usuário. Isso não é normalmente um problema, exceto durante a instalação se a caixa de Nome distinto estiver em branco. No entanto, pode ser um problema se você efetuar logon à rede usando seu nome de usuário de domínio, mesmo que o computador host do Virtual Server já esteja no domínio. O nome distinto deve ser um nome puder ser resolvido de nome de domínio (DNS) que está na sintaxe do nome distinto. Por exemplo: CN = Concours88, DN = sulamerica, DN = corp, DC = Microsoft, DC = com.
  • Você pode digitar manualmente as informações necessárias em um campo em branco quando você solicitar um certificado.
back to the top

Parte 2: Preparar uma solicitação de certificado

Preparar uma solicitação de certificado para o site do Virtual Server no snap-in Gerenciador de Internet Information Service (IIS):
  1. No computador de host do Virtual Server, inicie o snap-in Gerenciador serviço de informações da Internet (IIS)
  2. No painel de navegação, expanda Server_Name, clique com o botão direito padrão do Site ou Servidor Virtual e, em seguida, clique em Propriedades .
  3. Na guia Directory Security , clique em Certificados de servidor em comunicações de segurança .
  4. No Assistente de certificado do IIS, clique em Avançar .
  5. Clique em criar um novo certificado e, em seguida, clique em Avançar .
  6. Clique em preparar a solicitação agora, mas enviá-la posteriormente e, em seguida, clique em Avançar .
  7. Digite o nome que você deseja usar ou use o nome padrão. O nome padrão do certificado é igual ao nome do site, por exemplo, o Virtual Server.
  8. Na caixa tamanho de bit , clique em um comprimento de chave e, em seguida, clique em Avançar . Normalmente, você pode usar o valor de comprimento de bit padrão.
  9. Para um certificado interno, digite o nome que você deseja usar na caixa organização e na caixa Unidade organizacional .

    Por exemplo, digite o nome da sua organização na caixa organização e em seguida, digite o nome do seu departamento na caixa Unidade organizacional . Certificados de terceiros têm requisitos de dados específicos para esses campos. Essa informação é fornecida pela CA de terceiros.
  10. No campo nome comum , digite o nome NetBIOS ou o nome DNS.

    Observação O nome comum é importante porque você precisa decidir o nome completo do seu site. Você pode escolher um nome NetBIOS ou o nome DNS. Selecionando um permite que você emitir uma conexão do Microsoft Internet Explorer usando o nome. No entanto, se você usar um nome que seja diferente do nome comum que foi discutido anteriormente, você receberá uma mensagem de aviso sobre a incompatibilidade de nome. Use a sintaxe usada com mais freqüência no seu ambiente para evitar a mensagem de aviso. Essa mensagem de aviso aparece em uma janela, mas a mensagem não bloqueia o acesso ao site. Não é importante se você escolher o nome NetBIOS ou o nome DNS.
  11. Digite o país correto, estado e cidade.
  12. Digite um nome de arquivo para a solicitação de certificado que você está exportando.
back to the top

Parte 3: Solicitar um certificado

  1. No Internet Explorer, abra a página da Web de autoridade de certificação:
  2. Em Selecione uma tarefa , clique em Solicitar um certificado .
  3. Em Solicitar um certificado , clique em solicitação avançada de certificado e, em seguida, clique em Enviar uma solicitação salva .
  4. Configurações de segurança podem impedir a usando os links página da Web a partir daqui.

    Como alternativa, copie todo o texto do arquivo C:\Certreq.txt. Em seguida, cole o texto na caixa Solicitação salva a página Enviar uma solicitação de certificado ou solicitação de renovação . A solicitação de certificado é um arquivo de texto que contém as informações que você digitou na etapa 1. The certificate request is encoded the same as the following sample.
    -----BEGIN NEW CERTIFICATE REQUEST-----MIIDTTCCArYCAQAwcjESMBAGA1UEAxMJZnVua3libHVlMRMwEQYDVQQLEwpEZXBhcnRtZW50MRkwFwYDVQQKHhAATwByAGcAXwBOAGEAbQBlMRIwEAYDVQQHEwlTdXF1YW1pc2gxCzAJBgNVBAgTAldhMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEApGI6rK3DjiUAfRYkqlw17AS1KGy15lg6X2miuEc6mz8aRLQ6cxnrIrXLMePT5rR5KhLw6TWO3HPfpIbqbgaN1FeAbLz0ByzX1P/nXee+zbSEn+4l1BTw4yfP4/0RySCqN5DwHNQD5zSpn9lGFs5UW0Tshr0/6zYRR6DbZgmfMMMCAwEAAaCCAZkwGgYKKwYBBAGCNw0CAzEMFgo1LjEuMjYwMC4yMHsGCisGAQQBgjcCAQ4xbTBrMA4GA1UdDwEB/wQEAwIE8DBEBgkqhkiG9w0BCQ8ENzA1MA4GCCqGSIb3DQMCAgIAgDAOBggqhkiG9w0DBAICAIAwBwYFKw4DAgcwCgYIKoZIhvcNAwcwEwYDVR0lBAwwCgYIKwYBBQUHAwEwgf0GCisGAQQBgjcNAgIxge4wgesCAQEeWgBNAGkAYwByAG8AcwBvAGYAdAAgAFIAUwBBACAAUwBDAGgAYQBuAG4AZQBsACAAQwByAHkAcAB0AG8AZwByAGEAcABoAGkAYwAgAFAAcgBvAHYAaQBkAGUAcgOBiQCTSR8dKSviOwRXJreaBSjJpgw7jnoQI1mvgJv5aE+B7F+M47mrA4bWgM5NorJyuRzmkb4g8FCer7hyi1PyFYlDClz6oZvzFQROnEKiSGuE3nTv28Ver/l2weSa05PCRKpKfP3Ku5WjFh4NDyMjcobcdODHAW2jyhmeb4T5jiiyFQAAAAAAAAAAMA0GCSqGSIb3DQEBBQUAA4GBACJ6OT9VeyKfPYFzkHATgGiJ8KVHGQuxE70r1W2wCvpWCLRfjhxzgoc3I84ddS2o9QQDoU4P4CIp9Lw89x0jJtI2PD+xVmRdz7Trkl0lKB17nfVcnDXXwygm6PUUy/52PXkXU6RggFy1m28khilKK8uXBfHLyRrK8W3zyygiJMgV-----END NEW CERTIFICATE REQUEST-----
  5. Clique em Enviar .

    importante Se você desejar fazer várias envios, é uma boa idéia para documentar a ordem exata que você enviou as solicitações no. Não pode haver nenhuma maneira de identificar os certificados da página de exportação de certificado quando você exportar o certificado mais tarde neste procedimento. Isso ocorre porque o nome de exibição não está disponível em qualquer página da Web de serviços de certificados do IIS ou no snap-in de autoridade de certificação.
  6. Deixe o site de serviços de certificados aberto para a parte 5.
back to the top

Parte 4: Emitir o certificado

  1. Inicie o snap-in autoridade de certificação em Ferramentas administrativas.
  2. No painel esquerdo, expanda CA_name e, em seguida, clique em Solicitações pendentes .
  3. No painel direito, clique com o botão direito sua solicitação, aponte para todas as tarefas e, em seguida, clique em questão .

    Isso aprova a solicitação. O status do certificado é alterado de pendente para emitido.
back to the top

Parte 5: Exportar o certificado

Retornar à página da Web de autoridade de certificação e, em seguida, exportar o certificado.
  1. Em Selecione uma tarefa , clique em Exibir o status de uma solicitação de certificado pendente .

    Observação Você só tem uma chance para fazer isso. Se você clicar em baixar um certificado de CA , você pode escolher de certificados que são instalados no computador, normalmente da CA raiz. Você não pode escolher entre os certificados que são aprovados e que são solicitados. Além disso, se vários certificados estiverem disponíveis, talvez não seja capaz de identificar um certificado. Até mesmo a autoridade de certificação snap-in pode não exibir informações úteis que lhe permitirá determinar o certificado que pertence a uma solicitação.
  2. Em Certificado emitido , clique em codificado em base 64 .
  3. Clique em fazer download do certificado e, em seguida, salvar o certificado localmente.
back to the top

Parte 6: Importar o certificado

  1. No computador host do Virtual Server, inicie o snap-in Internet Information Service (IIS) Gerenciador.
  2. No painel de navegação, expanda Server_Name e, em seguida, clique com o botão direito Servidor Virtual ou Site padrão . Em seguida, clique em Propriedades .
  3. Na guia Directory Security , clique em Certificados de servidor em comunicações de segurança .
  4. Na guia Directory Security , clique em Certificado do servidor .
  5. Clique em processar a solicitação pendente e instalar o certificado . Em seguida, clique em Avançar .
  6. Use as anotações que você fez anteriormente para localizar e, em seguida, selecionar o certificado que corresponde a solicitação.
  7. Use o valor padrão porta 443.
  8. Conclua o assistente.
  9. Se você for bem-sucedida, a opção Exibir certificado é exibida em Certificado do servidor na guia Segurança de diretório .
back to the top

Parte 7: Etapas de post-certificate opcionais

  1. Desative o acesso anônimo para o site do Virtual Server:
    1. Abra as propriedades de site do servidor virtual ou as propriedades de site padrão no snap-in Gerenciador de Internet Information Service (IIS).
    2. Na guia Directory Security , clique em Editar em Anonymous access and authentication control .
    3. Clique para desmarcar a caixa de seleção acesso anônimo .
    4. Clique em OK duas vezes e, em seguida, feche o snap-in Gerenciador serviço de informações da Internet (IIS).
  2. Exigir SSL e criptografia de 128 bits:
    1. Abra as propriedades de site do servidor virtual ou as propriedades de site padrão no snap-in Gerenciador de Internet Information Service (IIS).
    2. Na guia Segurança de diretório , clique em Editar em comunicações de segurança .
    3. Clique para selecionar exigir SSL e criptografia de 128 bits .
    4. Clique em OK duas vezes e, em seguida, feche o snap-in Gerenciador serviço de informações da Internet (IIS).
  3. Adicione porta 443 na guia Site nas propriedades de site do servidor virtual ou nas propriedades de site padrão no snap-in Gerenciador de Internet Information Service (IIS).
back to the top

Solução de problemas

  • Se você não pode concluir esses procedimentos, inicie novamente. Abra as propriedades de site do servidor virtual ou as propriedades de site padrão no snap-in Gerenciador de Internet Information Service (IIS), clique na guia Segurança de diretório e inicie o assistente novamente. Uma das duas páginas é exibida. Uma página informa que um certificado já está instalado. Esta página fornece opções para remover ou substituir o certificado. A outra página permite que você importar um certificado de uma solicitação pendente. Essa página também permite que você cancelar a solicitação. Você poderá cancelar a solicitação e recomeçar.
  • Se você receber uma mensagem de erro informando que o certificado não coincide com a solicitação, isso pode indicar que você esqueceu de clique na opção codificado em base 64 quando exportados o certificado da página da Web de autoridade de certificados. Cancelar a solicitação e, em seguida, envie novamente a solicitação.
  • Se você receber uma mensagem de erro informando que o certificado já está instalado, você pode ter clicado em baixar um certificado de CA em vez de Exibir o status de uma solicitação de certificado pendente .
back to the top

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 887490 - Última Revisão: 01/16/2015 01:36:22 - Revisão: 1.2

Microsoft Virtual Server 2005 Standard Edition

  • kbnosurvey kbarchive kbmt kbcertservices kbhowtomaster KB887490 KbMtpt
Comentários