IIS'de Web sitenizle etkileşim kuran tüm müşteriler için SSL'yi etkinleştirme

  • Makale

Bu makalede, Microsoft Internet Information Services'da (IIS) Web sitenizle etkileşim kuran tüm müşteriler için Güvenli Yuva Katmanı'nın (SSL) nasıl etkinleştirileceği açıklanır.

Özgün ürün sürümü: Internet Information Services
Özgün KB numarası: 298805

Özet

Bu makale aşağıdaki konuları içerir:

  • Müşterilerinizin Web sitenizin geçerli olduğundan ve size gönderdikleri tüm bilgilerin özel ve gizli kaldığından emin olabilmesi için sunucu sertifikalarını ayarlama ve etkinleştirme.
  • Güvenli Yuva Katmanı'nı (SSL) etkinleştirmek için üçüncü taraf sertifikaları kullanma ve üçüncü taraf sertifika almak için kullanılan Sertifika İmzalama İsteği (CSR) oluşturmak için kullanılan işleme genel bir genel bakış.
  • Web siteniz için SSL bağlantısını etkinleştirme.
  • Tüm bağlantılar için SSL'yi zorlama ve istemcileriniz ile Web siteniz arasında gerekli şifreleme uzunluğunu ayarlama.

web sunucunuzun SSL güvenlik özelliklerini iki kimlik doğrulaması türü için kullanabilirsiniz. Kullanıcıların, kredi kartı numarası gibi kişisel bilgileri iletmeden önce Web sitenizin kimliğini doğrulamalarına izin vermek için bir sunucu sertifikası kullanabilirsiniz. Ayrıca, Web sitenizde bilgi isteyen kullanıcıların kimliğini doğrulamak için istemci sertifikalarını kullanabilirsiniz.

Bu makalede, Web sunucunuz için kimlik doğrulaması sağlamak üzere bir üçüncü taraf sertifika yetkilisi (CA) kullanacağınız varsayılır.

SSL sunucu sertifikası doğrulamasını etkinleştirmek ve müşterilerinizin istediği güvenlik düzeyini sağlamak için üçüncü taraf CA'dan sertifika almanız gerekir. Kuruluşunuza üçüncü taraf CA tarafından verilen sertifikalar genellikle Web sunucusuna ve daha özel olarak SSL bağladığınız Web sitesine bağlıdır. IIS sunucusuyla kendi sertifikanızı oluşturabilirsiniz, ancak bunu yaparsanız, istemcilerinizin sertifika yetkilisi olarak size örtük olarak güvenmesi gerekir.

Bu makalede aşağıdakiler varsayılır:

  • IIS'yi yüklediniz.
  • SSL ile güvenliğini sağlamak istediğiniz Web sitesini oluşturdunuz ve yayımladınız.

Sertifika alma

Sertifikayı alma işlemine başlamak için bir CSR oluşturmanız gerekir. Bunu IIS yönetim konsolu aracılığıyla yaparsınız; bu nedenle, CSR oluşturabilmeniz için önce IIS'nin yüklenmesi gerekir. CSR temelde sunucunuzda oluşturduğunuz ve üçüncü taraf CA'dan sertifika istediğinizde sunucunuzla ilgili bilgisayara özgü bilgileri doğrulayan bir sertifikadır. CSR, yalnızca ortak/özel anahtar çifti ile şifrelenmiş şifrelenmiş bir metin iletisidir.

Genellikle, bilgisayarınızla ilgili aşağıdaki bilgiler oluşturduğunuz CSR'ye eklenir:

  • Organizasyon
  • Kuruluş birimi   
  • Ülke/bölge
  • Eyalet/il
  • Şehir/yerellik
  • Ortak ad

Not

Ortak ad genellikle ana bilgisayarınızın adından ve xyz.com gibi ait olduğu etki alanından oluşur. Bu durumda, bilgisayar .com etki alanının bir parçasıdır ve XYZ olarak adlandırılır. Bu, kurumsal etki alanınızın kök sunucusu veya yalnızca bir Web sitesi olabilir.

CSR oluşturma

  1. IIS Microsoft Yönetim Konsolu'na (MMC) erişin. Bunu yapmak için Bilgisayarım'a sağ tıklayın ve Yönet'i seçin. Bu işlem, Bilgisayar Yönetim Konsolu'nu açar. Hizmetler ve Uygulama bölümünü genişletin. IIS'yi bulun ve IIS konsolunu genişletin.

  2. Sunucu sertifikası yüklemek istediğiniz web sitesini seçin. Siteye sağ tıklayın ve Özellikler'i seçin.

  3. Dizin Güvenliği sekmesini seçin. Güvenli İletişim bölümünde Sunucu Sertifikası'nı seçin. Bu, Web Sunucusu Sertifika Sihirbazı'nı başlatır. İleri'yi seçin.

  4. Yeni Sertifika Oluştur'u ve ardından İleri'yi seçin.

  5. İsteği şimdi hazırla'yı seçin, ancak daha sonra gönderin ve İleri'yi seçin.

  6. Ad alanına anımsayabileceğiniz bir ad girin. Varsayılan olarak CSR'yi oluşturduğunuz Web sitesinin adıdır.

    Not

    CSR'yi oluştururken bir bit uzunluğu belirtmeniz gerekir. Şifreleme anahtarının bit uzunluğu, üçüncü taraf CA'ya gönderdiğiniz şifrelenmiş sertifikanın gücünü belirler. Bit uzunluğu ne kadar yüksek olursa şifreleme de o kadar güçlü olur. Çoğu üçüncü taraf CA en az 1024 biti tercih eder.

  7. Kuruluş Bilgileri bölümünde, kuruluşunuzun ve kuruluş birimi bilgilerinizi girin. Bu kimlik bilgilerini bir üçüncü taraf CA'ya sunduğundan ve sertifika lisanslamalarına uymanız gerektiğinden bu doğru olmalıdır. Sitenizin Ortak Adı bölümüne erişmek için İleri'yi seçin.

  8. Sitenizin Ortak Adı bölümü, sertifikayı Web sitenize bağlamakla sorumludur. SSL sertifikaları için, etki alanı adıyla ana bilgisayar adını girin. İntranet sunucuları için, siteyi barındıran bilgisayarın NetBIOS adını kullanabilirsiniz. Coğrafi bilgilere erişmek için İleri'yi seçin.

  9. Ülke veya bölge, eyalet veya il ile şehir veya yerellik bilgilerinizi girin. Bölgenizi, ilinizi, şehrinizi veya bölgenizi tamamen hecelersiniz. Ayrıca kısaltma kullanmayın. İleri'yi seçin.

  10. Dosyayı .txt dosyası olarak kaydedin.

  11. İstek ayrıntılarınızı onaylayın. Bitirmek için İleri'yi seçin ve Web Sunucusu Sertifika Sihirbazı'dan çıkın.

Sertifikayı isteme

İsteğinizi göndermenin farklı yöntemleri vardır. Yönteminin kullanılması ve gereksinimleriniz için en iyi sertifika düzeyinin belirlenmesi için seçtiğiniz sertifika sağlayıcısına başvurun. İsteğinizi CA'ya göndermek için seçilen yönteme bağlı olarak, CSR dosyasını CSR oluşturma bölümündeki 10. adımdan gönderebilir veya bu dosyanın içeriğini isteğe yapıştırmanız gerekebilir. Bu dosya şifrelenir ve içerik için bir üst bilgi ve alt bilgi içerir. Sertifikayı istediğinizde hem üst bilgiyi hem de alt bilgiyi eklemeniz gerekir. CSR'niz aşağıdakine benzer olmalıdır:

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

Sertifikayı yükleme

Üçüncü taraf CA bir sunucu sertifikası isteğinizi tamamladıktan sonra e-postayla veya indirme sitesiyle alırsınız. Sertifika, güvenli iletişim sağlamak istediğiniz Web sitesine yüklenmelidir.

Sertifikayı yüklemek için şu adımları izleyin:

  1. CA'dan aldığınız sertifikayı web sunucusuna indirin veya kopyalayın.
  2. CSR Oluşturma bölümünde açıklandığı gibi IIS MMC'yi açın.
  3. Sertifikayı yüklediğiniz Web sitesinin Özellikler iletişim kutusuna erişin.
  4. Dizin Güvenliği sekmesini ve ardından Sunucu Sertifikası'nı seçin. Bu, Web Sunucusu Sertifika Sihirbazı'nı başlatır. İleri'yi seçin.
  5. Bekleyen İsteği İşle'yi seçip sertifikayı yükleyin ve ardından İleri'yi seçin.
  6. 1. adımda kaydettiğiniz sertifikanın konumuna göz atın. İki kez İleri'yi ve ardından Son'u seçin.

SSL bağlantılarını zorunlu kılma

Sunucu sertifikası yüklendikten sonra, Web sunucusunun istemcileri ile SSL güvenli kanal iletişimini zorunlu kılabilirsiniz. İlk olarak, Web sitesiyle güvenli iletişim için 443 numaralı bağlantı noktasını etkinleştirmeniz gerekir. Bunu yapmak için şu adımları uygulayın:

  1. Bilgisayar Yönetimi konsolunda, SSL'yi zorunlu kılmak istediğiniz Web sitesine sağ tıklayın ve Özellikler'i seçin.
  2. Web Sitesi sekmesini seçin. Web Sitesi Kimliği bölümünde SSL Bağlantı Noktası alanının 443 sayısal değeriyle doldurulduğunu doğrulayın.
  3. Gelişmiş'i seçin. İki alan görmeniz gerekir. Web sitesinin IP adresi ve bağlantı noktası, bu web sitesi için birden çok kimlik alanında zaten listelenmiş olmalıdır. Bu web sitesi için Birden Çok SSL Kimliği alanının altında 443 numaralı bağlantı noktası listede yoksa Ekle'yi seçin. Sunucunun IP adresini seçin ve SSL Bağlantı Noktası alanına 443 sayısal değerini yazın. Tamam'ı seçin.

Artık 443 numaralı bağlantı noktası etkinleştirildiğine göre SSL bağlantılarını zorunlu kılabilirsiniz. Bunu yapmak için şu adımları uygulayın:

  1. Dizin Güvenliği sekmesini seçin. Güvenli İletişim bölümünde Düzenle seçeneği kullanıma sunulmuştur. Düzenle'yi seçin.

  2. Güvenli Kanal (SSL) gerektir'i seçin.

    Not

    128 bit şifreleme belirtirseniz, 40 bit veya 56 bit güçlü tarayıcı kullanan istemciler, şifreleme gücünü yükseltmedikleri sürece sitenizle iletişim kuramaz.

  3. Tarayıcınızı açın ve standart http:// protokollerini kullanarak Web sunucunuza bağlanmayı deneyin. SSL zorlanıyorsa aşağıdaki hata iletisini alırsınız:

    Sayfa güvenli bir kanal üzerinden görüntülenmelidir
    Görüntülemeye çalıştığınız sayfa için adreste 'https' kullanılması gerekiyor.
    Lütfen aşağıdakileri deneyin: Ulaşmaya çalıştığınız adresin başına https:// yazarak yeniden deneyin. HTTP 403.4 - Yasak: SSL gerekli Internet Information Services
    Teknik Bilgiler (destek personeli için) Arka plan: Bu hata, erişmeye çalıştığınız sayfanın Güvenli Yuva Katmanı (SSL) ile güvenli hale getirildiğini gösterir.

Artık Web sitenize yalnızca https:// protokolü kullanarak bağlanabilirsiniz.