如何設定執行 IIS 的電腦上的中繼憑證以用於伺服器驗證

請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。

按一下這裡查看此文章的英文版本:954755
簡介
當用戶端電腦會嘗試建立伺服器驗證與網際網路資訊服務 (IIS) Web 伺服器的安全通訊端層 (SSL) 連線時,則伺服器的憑證鏈結會驗證用戶端電腦上。成功地完成這項憑證,驗證伺服器憑證鏈結中的中繼憑證必須正確設定在伺服器上。如果這些憑證設定不正確,伺服器驗證可能會失敗。這也適用於任何程式都使用 SSL / 傳輸層安全性 (TLS) 來進行驗證。

影響

用戶端電腦無法連線到執行 IIS 的伺服器。這是因為用戶端電腦無法進行驗證並沒有正確設定的中繼憑證的伺服器。

建議

正確設定在伺服器上的中繼憑證。如需詳細資訊,請參閱 < 其他資訊 > 一節。
其他相關資訊

技術的詳細資料

X.509 憑證驗證是由若干個階段所組成。憑證路徑探索及路徑驗證包含了。

憑證路徑探索的一部分,必須建立到信任的根憑證的憑證路徑位於中繼憑證。中繼憑證是用於判斷是否有效的根憑證授權單位 (CA) 最終發行憑證的憑證。從快取,或從用戶端電腦上的憑證存放區,可取得這些憑證。伺服器也可以提供這項資訊給用戶端電腦。

在 SSL 交涉過程中,在用戶端驗證伺服器憑證。在此情況下,伺服器會提供給用戶端電腦,以及用戶端電腦可用來建置憑證路徑中繼發行憑證的憑證。整個憑證鏈結,除了根憑證,會傳送至用戶端電腦。

IIS 會判斷它會傳送至用戶端的 TLS/SSL 建置在本機電腦內容中設定的伺服器驗證憑證的憑證鏈結的憑證集合。中繼憑證必須正確設定,透過新增它們到中間 CA 憑證存放區,在伺服器上的本機電腦帳戶。

如果伺服器操作員安裝 SSL 憑證與相關的發行 CA 憑證,然後伺服器操作員稍後更新 SSL 憑證,伺服器操作員必須確定中繼發行的憑證會更新一次。

如何設定中繼憑證

  1. 開啟 [憑證 Microsoft 管理主控台 (MMC) 嵌入式管理單元。若要執行這項操作,請參考下列步驟:
    1. 在命令提示字元中,輸入 Mmc.exe.
    2. 如果您不內建的系統管理員的身分執行程式,會提示您輸入執行程式的權限。在 [ Windows 安全性] 對話方塊中,按一下 [允許]。
    3. 在 [檔案] 功能表上按一下 [新增/移除嵌入式管理單元]。
    4. 新增或移除嵌入式管理單元] 對話方塊中,按一下 [憑證] 嵌入式管理單元中可用的嵌入式管理單元] 清單中的色彩,按一下 [新增],然後按一下[確定]
    5. 在 [憑證] 嵌入式管理單元] 對話方塊中,按一下 [電腦帳戶],然後按一下下一步]
    6. 在 [選取電腦] 對話方塊中,按一下 [完成]。
    7. 在 [新增或移除嵌入式管理單元] 對話方塊中,按一下 [ [確定]。
  2. 若要加入中繼憑證,請依照下列步驟執行︰
    1. 在 「 憑證 MMC 嵌入式管理單元,展開 [憑證中繼憑證授權單位上按一下滑鼠右鍵、 指向 [所有工作],然後按一下匯入
    2. 在「憑證匯入」精靈中,按一下 [下一步]。
    3. 匯入檔案] 頁面中,輸入您想要匯入檔案名稱] 方塊中,憑證的檔案名稱,然後按一下 [下一步]
    4. 按一下 [下一步],然後完成「憑證匯入精靈」。
参考
如需有關如何建立憑證鏈結CryptoAPI函式,並驗證撤銷狀態的詳細資訊,請造訪下列 Microsoft TechNet 網站︰

支援

如需 Microsoft 客戶支援服務電話號碼以及支援費用的相關資訊的完整清單,請造訪下列 Microsoft 網站︰附註在特殊的情況下,如果 Microsoft 支援專業人員認為某特定更新程式可以解決您的問題時,可能就不會收取一般因支援電話所產生的費用。收取支援費用會套用,如果有其他支援問題是,不能限定的特定更新程式。

安全性資源

如需有關 Microsoft 產品中的安全性的詳細資訊,請造訪下列 Microsoft TechNet 網站︰

免責聲明

微軟知識庫文件中所提供的資訊係依 「 現狀 」 不附帶任何擔保。Microsoft 不作任何責任擔保,明示或暗示保證,包括適售性以及適合某特定用途之擔保責任。在 Microsoft 公司或其供應商對於而概之任何損害皆不包含直接、 間接、 附隨性、 衍生性損害,遺失營業利益或特殊的損害賠償責任,即使 Microsoft 公司或其供應商已經被告知賠償的可能性。某些州並允許排除及限制推衍後果或意外損害責任,因此前述限制可能不適用。

警告:本文為自動翻譯

內容

文章識別碼:954755 - 最後檢閱時間:07/04/2016 01:13:00 - 修訂: 3.0

Microsoft Internet Information Services 7.0, Microsoft Internet Information Services 6.0, Microsoft Internet Information Services 5.1

  • kbhowto kbexpertiseadvanced kbinfo kbmt KB954755 KbMtzh
意見反應