SSL und IIS

Der Einsatz von SSL in IIS, dem Web-Server hat, um ein digitales Zertifikat von einer Zertifizierungsstelle (CA), und installieren Sie das digitale Zertifikat als gut. Ein digitales Zertifikat in der Regel enthält eine Nummer, die Version der X.509-Standard-Version, die für die Bescheinigung, die Seriennummer des Zertifikats, die CA, dass die Bescheinigung ausgestellt, die Signatur-Algorithmus-ID, die das CA-Algorithmus, der für die digitale Signatur von die Bescheinigung, die Gültigkeitsdauer des Zertifikats, die, an die die Bescheinigung ausgestellt wurde, die vorgesehene Verwendung der Bescheinigung vermerkt ist, den öffentlichen Schlüssel, und die Lage der Certificate Revocation List (CRL).
Um nützliche oder vertrauenswürdige Zertifikate, müssen Sie erhalten ein Zertifikat von einer vertrauenswürdigen Stelle, dem so genannten Certification Authority (CA). Eine Certification Authority (CA) ist der vertrauenswürdigen Unternehmen, und führt die Verwendung von Zertifikaten. Eine CA kann ein externer Dritter CA wie VeriSign, GeoTrust, Thawte, IT-Institut und GlobalSign, oder können Sie Ihre eigenen internen CA. Sie können auch eine Kombination von internen und externen CA. Manuell um Zertifikate von einer CA tritt auf, wenn Sie ausdrücklich auf Antrag der zuständigen Behörde eine Bescheinigung ausstellen. Zertifikate werden automatisch beantragt, wenn eine Anwendung fordert und erhält ein Zertifikat als Prozess im Hintergrund, ohne Benutzereingriff.
Für die Konfiguration der internen CA, bietet Microsoft Certificate Services. Sie können die Installation von Certificate Services Control Panel, über Programme hinzufügen oder entfernen. Sie können Certificate Services zum Einsatz entweder Enterprise CA, oder Stand-alone-CA. Enterprise CA sind in Active Directory, und veröffentlichen Zertifikate und CRLs in Active Directory. Enterprise CA kann nur Zertifikate für Benutzer und Computer in Active Directory. Enterprise CA nutzt die Informationen im Active Directory-Datenbank automatisch genehmigen oder ablehnen Zertifikatsregistrierung Anfragen. Stand-alone-CA sind nicht abhängig von Active Directory für die Ausstellung.

Wenn ein Client-Web-Browser eine Verbindung zu einem Web-Server ist so konfiguriert, dass für SSL, ein SSL-Handshake wird mit dem Web-Server. Das SSL-Handshake-Verfahren zwischen Client und Web-Server, um die Verhandlungen über den geheimen Schlüssel Verschlüsselungs-Algorithmus, die den Client-und Web-Server nutzen, der zum Verschlüsseln der Daten, die übertragen wird, in der SSL-Sitzung.

Der Prozess, der sich zur Schaffung einer sicheren SSL-Sitzung wird im Folgenden beschrieben:

Der Client initiiert die Einrichtung der SSL-Sitzung, indem sie den öffentlichen Schlüssel aus dem Web-Server.
Der Server antwortet, indem Sie dem Kunden die öffentlichen Schlüssel.
Der Kunde geht, um die Web-Server eine Session-Key. Der Schlüssel wird verschlüsselt mit dem öffentlichen Schlüssel.
Der Server entschlüsselt die nächste Session-Key erhält er mit seinem privaten Schlüssel.
Die Sitzungs-Schlüssel wird zum Verschlüsseln und Entschlüsseln von Daten zwischen Client und Server.
Der Session-Key wird verworfen, wenn der SSL-Sitzung mal entweder aus oder wird beendet.

Die Vorteile der Verwendung von SSL in IIS

Ein paar Vorteile der Verwendung von SSL in IIS sind im Folgenden zusammengefasst:

Für Web-Traffic, SSL bietet die folgenden:

Server-Authentifizierung: Diese ermöglicht es einem Benutzer zur Überprüfung der Identität des Servers.
Client-Authentifizierung: Diese ermöglicht es einem Server zur Überprüfung der Identität des Kunden
Sichere, verschlüsselte Verbindungen: Datenschutz gewährleistet ist, weil die Kommunikation zwischen Server und Client verschlüsselt und entschlüsselt.

Für FTP-Sites, können Sie SSL-Verschlüsselung über WebDAV unterstützt FTP-Verzeichnisse, um die Kommunikation.

Für Network News Transfer Protocol Für das Simple Mail Transfer Protocol (SMTP)-Dienst, eine andere IIS-Komponente, können Sie die Sicherheit erhöhen, indem Sie Transport Layer Security

Wie zu beantragen und installieren Sie ein Server-Zertifikat auf IIS Web-Server

Der Web-Server-Zertifikat-Assistent ist für die Anfrage und eine Server-Zertifikat auf IIS Web-Server. So starten Sie den Web-Server-Zertifikat-Assistenten,

Klicken Sie auf Start, klicken Sie auf Verwaltung, und klicken Sie auf Internet Information Services (IIS) Manager, öffnen Sie das IIS-Manager-Konsole.
In der Konsolenstruktur, erweitern Sie den Knoten Websites.
Der rechten Maustaste auf die Website, die Sie einrichten möchten, ein Zertifikat, und klicken Sie auf "Eigenschaften".
Wenn Sie das Dialogfeld Eigenschaften für die Website öffnet, klicken Sie auf die Registerkarte Verzeichnissicherheit.
Klicken Sie auf die Schaltfläche Server-Zertifikat.

Zu beantragen und installieren Sie ein Server-Zertifikat,

Öffnen Sie den IIS-Manager.

Öffnen Sie das Dialogfeld Eigenschaften für die Website, für die Sie zur Konfiguration eines Server-Zertifikats.

Klicken Sie auf die Registerkarte Verzeichnissicherheit, und klicken Sie anschließend auf die Schaltfläche Server-Zertifikat.

Diese Aktion startet den Web-Server-Zertifikat-Assistenten.

Klicken Sie auf Weiter auf der Willkommen auf den Web-Server-Zertifikat-Assistenten Seite.

Auf der Server-Zertifikat, klicken Sie auf den Erstellen Sie ein neues Zertifikat Option, und klicken Sie auf "Weiter".

Auf der folgenden Seite, wählen Sie eine der folgenden Optionen:

Wenn Sie möchten sofort Anfrage und erhalten ein Zertifikat von einer CA, klicken Sie auf das Schicken Sie die Anfrage sofort zu einer Online-Certification Authority Option.
Wenn Sie möchten, senden Sie die Bescheinigung auf Antrag einer Offline-CA, klicken Sie auf die Vorbereitung der Antrag nun aber später senden Option.

Klicken Sie auf Weiter.

Den Namen und die Sicherheits-Einstellungen Seite, geben Sie die folgenden Informationen:

Einen beschreibenden Namen für die neue Server-Zertifikat.
Geben Sie einen neuen Bit Länge Einstellung, oder akzeptieren Sie den Standardwert von 1024 Bit für diese Einstellung.

Klicken Sie auf Weiter.

Auf die Gestaltung der Seite, geben Sie den Namen der Organisation und den Namen der Organisationseinheit in der verfügbaren Textfelder ein. Klicken Sie auf Weiter.

Auf der Website-Name-Seite,

Für ein Intranet, geben Sie den NetBIOS-Namen des IIS-Maschine.

Wie reicht man eine Bescheinigung auf Antrag einer CA
Wenn Sie die Vorbereitung der Antrag nun aber später senden Option auf die Konfiguration des Web-Server-Zertifikat-Assistenten, haben Sie, um die Zertifikatsanforderung an eine Zertifizierungsstelle. Wenn Sie mit Windows Server 2003, können Sie Web-basierte Anmeldung, um die Zertifikatsanforderung an eine Zertifizierungsstelle.

So aktivieren Sie SSL-Sicherheit in IIS

Wie zu verlangen, 128-Bit-SSL-Verschlüsselung

Wie installiert, um Server-Zertifikate

Registerkarte "Allgemein": Diese Registerkarte zeigt die folgenden Informationen:

Wie die Verwaltung-Server-Zertifikate in IIS

Die Management-Aufgaben, die man in der Regel führen für Server-Zertifikate sind im Folgenden aufgeführt:

Verlängern einer bestehenden Server-Zertifikat, vor der sie geschaffen wurden.
Kopieren / Verschieben eines vorhandenen Zertifikats auf einen anderen IIS-Server oder Web-Site.
Exportieren Sie das bestehende Zertifikat, um es an einem anderen Ort
Ersetzen Sie die aktuelle Bescheinigung, wenn sie abgelaufen ist.
Entfernen Sie die vorhandene Bescheinigung, wenn die Site nicht mehr benötigt eine sichere SSL-Kommunikation.

Die oben genannten Aufgaben kann durch die Re-Start der Web-Server-Zertifikat-Assistenten. Nach einem Klick auf Weiter auf der Willkommen auf den Web-Server-Zertifikat-Assistenten Seite, können Sie zwischen verschiedenen Server-Zertifikat Durchführung Management-Aufgaben.

Zur Verlängerung einer bestehenden Server-Zertifikat,

Öffnen Sie den IIS-Manager
In der Konsolenstruktur, erweitern Sie den Knoten Websites.
Der rechten Maustaste auf die Website, die Sie wollen eine Verlängerung des Zertifikats, und klicken Sie auf "Eigenschaften".
Wenn Sie das Dialogfeld Eigenschaften für die Website öffnet, klicken Sie auf die Registerkarte Verzeichnissicherheit.
Klicken Sie auf die Schaltfläche Server-Zertifikat.
Klicken Sie auf Weiter auf der Willkommen auf den Web-Server-Zertifikat-Assistenten Seite.
Auf die Veränderung der derzeitigen Zertifikat Zuordnung, klicken Sie auf Renew Die aktuelle Zertifikat, und klicken Sie anschließend auf Weiter.
Wählen Sie von der folgenden Optionen:

Wenn Sie möchten, dass die Anforderung und den Erhalt eines Zertifikats durch eine Zertifizierungsstelle, klicken Sie auf das Schicken Sie die Anfrage sofort zu einer Online-Certification Authority Option.
Wenn Sie möchten, senden Sie die Bescheinigung auf Antrag einer Offline-CA, klicken Sie auf die Vorbereitung der Antrag nun aber später senden Option.

Geben Sie einen Dateinamen für das Zertifikat beantragen, wenn Sie die zuvor ausgewählten Anforderung jetzt vorbereiten, aber später senden Option, oder wählen Sie die CA von den Zertifizierungsstellen, wenn Sie zuvor ausgewählt Schicken Sie die Anfrage sofort zu einer Online-Certification Authority Option. Klicken Sie auf Weiter.
Klicken Sie auf Weiter. Klicken Sie auf Fertig stellen

Um einen gültigen Server-Zertifikat,

Öffnen Sie den IIS-Manager
In der Konsolenstruktur, erweitern Sie den Knoten Websites.
Der rechten Maustaste auf die Website, die Sie zuordnen möchten, das Zertifikat, und klicken Sie auf "Eigenschaften".
Wenn Sie das Dialogfeld Eigenschaften für die Website öffnet, klicken Sie auf die Registerkarte Verzeichnissicherheit.
Klicken Sie auf die Schaltfläche Server-Zertifikat.
Klicken Sie auf Weiter auf der Willkommen auf den Web-Server-Zertifikat-Assistenten Seite.
Auf der Server-Zertifikat, klicken Sie auf Zuweisen eines vorhandenen Zertifikats. Klicken Sie auf Weiter.
Geben Sie den TCP-Port für die sichere SSL-Kommunikation. Standardmäßig ist dies Port 443. Klicken Sie auf Weiter
Klicken Sie auf Weiter. Klicken Sie auf "Fertig stellen".

Konfigurieren von IIS zu aktivieren Client-Zertifikate

Während die Basic-Authentifizierung, die integrierte Windows-Authentifizierung, Digest-Authentifizierung, oder Passport-Authentifizierung in der Regel verwendet, um Benutzer zu authentifizieren versucht, den Zugriff auf eine Website, SSL kann auch verwendet werden, um Kunden authentifizieren. Durch den Einsatz von SSL können Sie verlangen, Client-Zertifikate für die Überprüfung der Identität des Kunden.
Die einfachste Art und Weise, wie die Authentifizierung von Benutzern mit Zertifikaten ist es, den Zugang zu der Website, die Benutzer, die ein gültiges Zertifikat für den Zugriff auf den jeweiligen Standort. Diese Lösung bietet jedoch nur sehr wenig Sicherheit. In IIS, dem Web-Server automatisch vertraut Zertifikate ausgestellt, die von einer vertrauenswürdigen Root-CA. Dies leider auch, die öffentlichen Behörden haben eine Bescheinigung an einen Benutzer, die daran gehindert werden, den Zugriff auf die Website.

Zur Verbesserung der Sicherheit für eine Website, wenn Client-Zertifikate verwendet werden, setzen Sie eine der folgenden Lösungen:

Sie können Client-Zertifikat-Zuordnungen, um den Zugriff auf die Website nur die Nutzer, die bestimmte Zertifikate.

Eins-zu-eins-Mapping: Bei dieser Konfiguration Karten einzelnen Zertifikate auf die einzelnen Benutzer-Accounts. Ein einziges Zertifikat ist mit einem Benutzer-Account. Ein Benutzer authentifiziert, wenn sie einen gültigen Benutzernamen und ein Passwort.
Viele-zu-eins-Mapping: Diese Konfiguration erfordert Zertifikate, um eine bestimmte Liste von Regeln. Client-Zertifikate, die mit den spezifischen Kriterien akzeptiert werden.

Sie können ein Zertifikat vertrauen Liste (CTL), die Anzahl der Root-CA, die in der Lage sind, die Erteilung der Bescheinigungen für die Nutzer. Eine CTL ist eine Liste der zuständigen Behörden für eine bestimmte Website, die als vertrauenswürdig gelten. CTLs kann nicht so konfiguriert werden, für FTP-Sites.

Wie installiert man ein Client-Zertifikat für einen Windows-Client

Öffnen Sie den Internet Explorer.
Geben Sie https: / / DC / certsrv /.
Wenn die Microsoft Certificate Services Willkommen Seite öffnet, klicken Sie auf Anfrage ein Zertifikat. Klicken Sie auf Weiter.
Auf der Seite Wählen Sie Anfrage Art, klicken Sie auf Benutzer-Zertifikat. Klicken Sie auf Weiter.
Klicken Sie auf Senden auf dem Benutzer-Zertifikat der Seite identifizieren.
Das Zeugnis, Seite wird angezeigt, wenn die Client-Zertifikat ausgestellt wird.
So installieren Sie das Zertifikat über den Browser, klicken Sie auf Installieren Sie dieses Zertifikat.

Wie, um bestehende Client-Zertifikat Informationen

Auf dem Client, öffnen Sie den Internet Explorer.
Wählen Sie "Internetoptionen" aus dem Menü "Extras".
Im Dialogfeld "Internetoptionen", klicken Sie auf die Registerkarte "Inhalt".
Klicken Sie auf die Schaltfläche in der Zertifikate Zertifikate Bereich der Registerkarte.
Die Zertifikate Dialogfeld öffnet.
In den beabsichtigten Zweck der Dropdown-Liste, wählen Sie Client-Authentifizierung, um die derzeit installierte Client-Zertifikate.
Wählen Sie das Zertifikat, und klicken Sie auf die Schaltfläche.

Wie, um Client-Zertifikate in IIS

Öffnen Sie den IIS-Manager.
In der Konsolenstruktur mit der rechten Maustaste auf die Standard-Web-Site-Knoten und wählen Sie "Eigenschaften" aus dem Kontextmenü aus.
Wenn die Web-Site-Dialogfeld "Eigenschaften" öffnet, klicken Sie auf die Registerkarte Website.
Überprüfen Sie, ob der Port 443 ist definiert als der SSL-Port.
Klicken Sie auf die Registerkarte Verzeichnissicherheit.
In der Secure Communications Bereich der Dialogbox, klicken Sie auf die Schaltfläche "Bearbeiten".
In der Secure Communications Dialogfeld, klicken Sie auf das Kontrollkästchen Sicheren Kanal verlangen (SSL) Kontrollkästchen.
Unter-Client-Zertifikate, klicken Sie auf das Kontrollkästchen Client-Zertifikate Option, um Client-Zertifikate.
Klicken Sie auf OK.

So erstellen Sie ein-zu-eins-Client-Zertifikat-Zuordnungen

Bevor Sie eine Eins-zu-eins-Mapping Client-Zertifikat, Sie haben den Export der Benutzer-Zertifikats. So exportieren Sie die Benutzer-Zertifikat,

Auf dem Client, öffnen Sie den Internet Explorer.
Wählen Sie "Internetoptionen" aus dem Menü "Extras".
Im Dialogfeld "Internetoptionen", klicken Sie auf die Registerkarte "Inhalt".
Klicken Sie auf die Schaltfläche Zertifikate, um die Zertifikate Dialogfeld.
In den beabsichtigten Zweck der Dropdown-Liste, wählen Sie Client-Authentifizierung.
Wählen Sie das Zertifikat aus der Liste der zurzeit installierten Client-Zertifikate.
Klicken Sie auf die Schaltfläche "Exportieren".
Wenn das Zertifikat-Assistent startet, klicken Sie auf "Weiter".
Auf der Export-Private-Schlüssel-Seite, wählen Sie Nein, keine privaten Schlüssel exportieren Option. Klicken Sie auf Weiter.
Auf der Export-Datei-Format-Seite, wählen Sie die Base-64-codiert X.509-Option. Klicken Sie auf Weiter.
Geben Sie einen Dateinamen für das exportierte Zertifikat. Klicken Sie auf Weiter.
Klicken Sie auf "Fertig stellen".

So erstellen Sie ein-zu-eins-Client-Zertifikat-Zuordnungen,

Öffnen Sie den IIS-Manager
In der Konsolenstruktur, erweitern Sie den Knoten Websites.
Der rechten Maustaste auf die Web-Site, und klicken Sie auf Eigenschaften im Kontextmenü.
Wenn das Dialogfeld "Eigenschaften" öffnet, klicken Sie auf die Registerkarte Verzeichnissicherheit.
In der Secure Communications Bereich der Dialogbox, klicken Sie auf die Schaltfläche "Bearbeiten".
In der Secure Communications Dialogfeld, wählen Sie die Option Client-Zertifikat Mapping Kontrollkästchen.
Klicken Sie auf Bearbeiten, um das Konto Mappings Dialogfeld.
Auf der Registerkarte 1/1, klicken Sie auf "Hinzufügen".
Im Dialogfeld "Öffnen", wählen Sie die Datei, die Sie zuvor ausgeführt, und klicken Sie auf "Öffnen".
Auf die Karte, um Konto-Dialogfeld, geben Sie einen Namen in das Feld "Name"-Karte.
Klicken Sie auf die Schaltfläche "Durchsuchen", um die Domain für die jeweilige Benutzer-Account.
Wählen Sie den Benutzer, klicken Sie auf Hinzufügen, und klicken Sie auf OK
Geben Sie das Passwort für das Benutzerkonto.
Mehrere Male auf OK klicken, um alle offenen Dialogfelder.

Wie viele-zu-eins-Client-Zertifikat-Zuordnungen

Öffnen Sie den IIS-Manager
Öffnen Sie das Dialogfeld Eigenschaften für die Website.
Klicken Sie auf die Registerkarte Verzeichnissicherheit
In der Secure Communications Bereich der Registerkarte, klicken Sie auf "Bearbeiten".
Aktivieren Sie das Kontrollkästchen Client-Zertifikat Mapping.
Klicken Sie auf die Schaltfläche "Bearbeiten".
Klicken Sie auf die Registerkarte Viele-1.
Klicken Sie auf Hinzufügen, öffnen Sie die Seite "Allgemein".
Geben Sie einen Namen für die Regel in der Beschreibung, und klicken Sie auf "Weiter".
Über die Regeln, klicken Sie auf "Neu".
Wenn die Regel bearbeiten Element Dialogfeld öffnet, von der Feld-Zertifikat-Liste:

Wählen Sie die Aussteller, die Filter auf der Grundlage der Ausstellung CA; oder
Wählen Sie Betreff, um Filter auf die Stelle, an die das Zertifikat ausgestellt wurde.

Legen Sie die entsprechenden Kriterien für die Regel in dieser Kriterien ein. Klicken Sie auf OK.
Nach dem Hinzufügen alle notwendigen Regeln, klicken Sie auf Weiter
Auf der Mapping-Seite, wählen Sie eine der folgenden Möglichkeiten:

Um nicht den Zugang, die den Kriterien entsprechen, klicken Sie auf die Option, den Zugang verweigern.
Zum Map-Matching-Zertifikate auf einen Benutzer-Account, klicken Sie auf das akzeptieren diese Prüfung für die Anmeldung Authentication Option.

Wenn Sie zuvor ausgewählten akzeptieren Zertifikat-Authentifizierung für die Anmeldung, geben Sie in der Konto-Box und Ihr Passwort ein.
Klicken Sie auf "Fertig stellen".

Wie konfiguriert man ein Zertifikat vertrauen Liste (CTL)

Öffnen Sie den IIS-Manager
Öffnen Sie das Dialogfeld Eigenschaften für den jeweiligen Web-Site.
Klicken Sie auf die Registerkarte Verzeichnissicherheit, und klicken Sie auf Bearbeiten unter Sichere Kommunikation.
Aktivieren Sie das Kontrollkästchen Zertifikatsvertrauenslisten.
Klicken Sie auf Neu, um den US-Trust-Zertifikat-Assistenten. Klicken Sie auf Weiter
Auf der Zertifikate in der CTL-Seite, klicken Sie auf die Schaltfläche Add Store.
Wählen Sie das Zertifikat Dialogfeld öffnet sich und zeigt alle verfügbaren Zertifikate.
Wählen Sie die Zertifikate den Sie verwenden möchten, und klicken Sie auf OK.
Klicken Sie auf Weiter auf die Zertifikate in der CTL-Seite.
Den Namen und die Beschreibung der Seite, geben Sie einen Namen und eine Beschreibung für die CTL. Klicken Sie auf Weiter.
Klicken Sie auf "Fertig stellen".