Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
von Jim van de Erve
Binden Sie ein erneuertes Zertifikat automatisch neu, indem Sie die Zertifikatsneubindung nutzen, die jetzt in IIS 8.5 verfügbar ist.
Kompatibilität
| Version | Hinweise |
|---|---|
| IIS 8.5 und höher | Die Zertifikatsneubindung wurde in IIS 8.5 eingeführt. |
| IIS 8.0 und früher | Die Zertifikatsneubindung wurde vor IIS 8.5 nicht unterstützt. |
Problem
Wenn das für eine IIS-Website verwendete Zertifikat abläuft und erneuert wird, muss die Website neu an das neue Zertifikat gebunden werden. Das ist auch dann erforderlich, wenn Ihre Zertifikate automatisch erneuert werden. Die manuelle Neubindung kann eine Herausforderung für die Zertifikatverwaltung darstellen, insbesondere, wenn Sie über eine erhebliche Anzahl von Websites und Zertifikaten verfügen. Wenn ein Zertifikat abläuft und die Website nicht neu an das neue Zertifikat gebunden wird, erhalten Clients, die eine Verbindung mit der Website herstellen, eine Warnung wegen des abgelaufenen Zertifikats, und das könnte sie von der Verwendung der Website abschrecken, bis das Problem behoben ist.
Lösung
IIS 8.5 und höher verfügen über ein neues Feature, das die Neubindung eines erneuerten Zertifikats automatisiert. Dieses Feature, das als Zertifikatsneubindung (Certificate Rebind) bezeichnet wird, stellt sicher, dass ein Zertifikat automatisch neu an eine Website gebunden wird, nachdem das Zertifikat erneuert wurde. Sie aktivieren dieses Feature für alle HTTPS-Websites auf einem Server im Dialogfeld „Serverzertifikate“ des IIS-Managers.
Die Zertifikatsneubindung nutzt die Benachrichtigungsfunktion in einem Windows 8- und Windows Server 2012-Hilfsmechanismus namens „Lebenszyklusbenachrichtigungen für Zertifikatdienste“ (Certificate Services Lifecycle Notifications). Dieser Mechanismus erstellt ein Systemereignis, wenn eine zertifikatsbezogene Aktion stattfindet, z. B. wenn ein neues Zertifikat installiert wird, ein vorhandenes Zertifikat abläuft oder bald abläuft oder ein Zertifikat erneuert wird. Weitere Informationen zum Benachrichtigungsmechanismus finden Sie unter Lebenszyklusbenachrichtigungen für Zertifikatdienste.
Wenn Sie die Zertifikatsneubindung aktivieren, registriert IIS eine Aufgabe in der Aufgabenplanung des Systems, und die Aufgabe wird automatisch bei einem Ereignis der Zertifikatserneuerung (Ereignis-ID 1001) ausgelöst. Wenn ein solches Ereignis eintritt (entweder wenn Sie das Zertifikat manuell erneuern oder wenn es durch die automatische Registrierung erneuert wird), führt die geplante Aufgabe das IIS-Befehlszeilentool „appcmd.exe“ aus. „appcmd“ erhält den Fingerabdruck des abgelaufenen Zertifikats und den Fingerabdruck des neuen Zertifikats. Mit diesen beiden Parametern findet „appcmd“ die Websites, an die das alte Zertifikat gebunden ist, hebt die Bindung dieses Zertifikats auf und bindet dann das neue Zertifikat an sie. Wenn Sie Ihre Zertifikate so einrichten, dass sie über die automatische Registrierung erneuert werden, und Sie die Zertifikatsneubindung aktivieren, wird der gesamte Prozess automatisiert.
Sie können die Aufgabe der Zertifikatsneubindung in der Aufgabenplanung in Windows 8 oder Windows Server 2012 anzeigen. Öffnen Sie die Aufgabenplanung, indem Sie „taskschd.msc“ ausführen, oder über die Suche. Unter der „Aufgabenplanungsbibliothek“ im linken Bereich öffnen Sie „Microsoft“, gefolgt von „Windows“ und dann „CertificateServicesClient“. Es wird empfohlen, diese Aufgabe nicht zu ändern. Und beachten Sie auch, dass die Aufgabe „CertificateServicesClient“ in der Aufgabenplanung gelöscht wird, wenn Sie die Zertifikatsneubindung im IIS-Manager deaktivieren.
Zusätzlich zum Konfigurieren der Zertifikatsneubindung in IIS können Sie die Ereignisse der Lebenszyklusbenachrichtigungen für Zertifikatdienste zum Verwalten von Zertifikaten verwenden, indem Sie benutzerdefinierte Auslöser in der Aufgabenplanung einrichten.
Schrittanweisungen
Aktivieren der automatischen Neubindung von erneuerten Zertifikaten
- Klicken Sie auf der Taskleiste auf Server-Manager, dann auf Tools und danach auf Internetinformationsdienste-Manager (IIS).
- Wählen Sie im Bereich Verbindungen den Server aus. Die Zertifikatsneubindung wird auf Serverebene aktiviert.
- Doppelklicken Sie im Bereich „Start“ unter dem Abschnitt IIS auf Serverzertifikate.
- Klicken Sie im Bereich Aktionen auf Automatische Neubindung des erneuerten Zertifikats aktivieren.
Zusammenfassung
Mit dem Feature „Zertifikatsneubindung“ von IIS 8.5 und höher können Sie ein Zertifikat automatisch neu an eine Website binden, nachdem das Zertifikat erneuert wurde. Die Zertifikatsneubindung nutzt Ereignisse der Lebenszyklusbenachrichtigungen für Zertifikatdienste. Die Aufgabe der Zertifikatsneubindung, „CertificateServicesClient“, wird in der Windows-Aufgabenplanung registriert.