Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Zwischenzertifikate auf einem Computer konfiguriert werden, auf dem IIS für die Serverauthentifizierung ausgeführt wird.
Ursprüngliche Produktversion: Internetinformationsdienste
Ursprüngliche KB-Nummer: 954755
Zusammenfassung
Wenn ein Clientcomputer versucht, serverauthentifizierte SSL-Verbindungen (Secure Sockets Layer) mit einem IIS-Webserver herzustellen, überprüft er die Serverzertifikatkette. Um diese Zertifikatüberprüfung erfolgreich abzuschließen, müssen die Zwischenzertifikate in der Serverzertifikatkette auf dem Server ordnungsgemäß konfiguriert werden. Andernfalls schlägt die Serverauthentifizierung fehl. Es gilt auch für jedes Programm, das SSL oder Transport Layer Security (TLS) für die Authentifizierung verwendet.
Auswirkung
Clientcomputer können keine Verbindung mit dem Server herstellen, auf dem IIS ausgeführt wird. Da die Server die Zwischenzertifikate nicht ordnungsgemäß konfiguriert haben, können die Clientcomputer diese Server nicht authentifizieren.
Es wird empfohlen, die Zwischenzertifikate auf dem Server ordnungsgemäß zu konfigurieren.
Technische Details
Die X.509-Zertifikatüberprüfung besteht aus mehreren Phasen, einschließlich Zertifikatpfadermittlung und Pfadüberprüfung.
Im Rahmen der Zertifikatpfadermittlung müssen sich die Zwischenzertifikate befinden, um den Zertifikatpfad bis zu einem vertrauenswürdigen Stammzertifikat zu erstellen. Ein Zwischenzertifikat ist nützlich, um zu ermitteln, ob ein Zertifikat letztendlich von einer gültigen Stammzertifizierungsstelle (Root Certification Authority, CA) ausgestellt wurde. Diese Zertifikate können aus dem Cache oder dem Zertifikatspeicher auf dem Clientcomputer abgerufen werden. Server können auch die Informationen an den Clientcomputer bereitstellen.
In der SSL-Aushandlung wird das Serverzertifikat auf dem Client überprüft. In diesem Fall stellt der Server die Zertifikate auf dem Clientcomputer zusammen mit den zwischenstellenden Zertifikaten bereit, die der Clientcomputer zum Erstellen des Zertifikatpfads verwendet. Die vollständige Zertifikatkette mit Ausnahme des Stammzertifikats wird an den Clientcomputer gesendet.
Eine Zertifikatkette eines konfigurierten Serverauthentifizierungszertifikats ist im kontext des lokalen Computers integriert. Auf diese Weise bestimmt IIS die Gruppe von Zertifikaten, die sie an Clients für TLS/SSL sendet. Um die Zwischenzertifikate ordnungsgemäß zu konfigurieren, fügen Sie sie dem Zertifikatspeicher der Zwischenzertifizierungsstelle im lokalen Computerkonto auf dem Server hinzu.
Gehen Sie davon aus, dass ein Serveroperator ein SSL-Zertifikat zusammen mit den entsprechenden ausstellenden Zertifizierungsstellenzertifikaten installiert. Wenn das SSL-Zertifikat später erneuert wird, muss der Serveroperator sicherstellen, dass die zwischenstellenden Zertifikate gleichzeitig aktualisiert werden.
Konfigurieren von Zwischenzertifikaten
- Öffnen Sie das Microsoft Management Console(MMC)-Snap-In für Zertifikate. Führen Sie dazu die folgenden Schritte aus:
- Geben Sie an einer Eingabeaufforderung Mmc.exe ein.
- Wenn Sie das Programm nicht als integrierten Administrator ausführen, werden Sie aufgefordert, das Programm auszuführen. Klicken Sie im Dialogfeld Windows-Sicherheit auf "Zulassen".
- Wählen Sie im Datei-Menü Snap-In hinzufügen/entfernen aus.
- Wählen Sie im Dialogfeld "Snap-Ins hinzufügen oder entfernen" das Snap-In "Zertifikate " in der Liste " Verfügbare Snap-Ins " aus. Wählen Sie dann "OK hinzufügen">aus.
- Wählen Sie im Dialogfeld Zertifikat-Snap-In "Computerkonto" und dann "Weiter" aus.
- Wählen Sie im Dialogfeld "Computer auswählen" die Option "Fertig stellen" aus.
- Klicken Sie im Dialogfeld Snap-Ins hinzufügen oder entfernen auf OK.
- Führen Sie die folgenden Schritte aus, um ein Zwischenzertifikat hinzuzufügen:
- Erweitern Sie im MMC-Snap-In "Zertifikate" Zertifikate, klicken Sie mit der rechten Maustaste auf "Zwischenzertifizierungsstellen", zeigen Sie auf "Alle Aufgaben", und wählen Sie dann "Importieren" aus.
- Wählen Sie im Zertifikatimport-Assistenten "Weiter" aus.
- Geben Sie auf der Seite "Datei zum Importieren " den Dateinamen des Zertifikats ein, das Sie im Feld "Dateiname " importieren möchten. Wählen Sie Weiter aus.
- Wählen Sie "Weiter" aus, und schließen Sie dann den Zertifikatimport-Assistenten ab.
References
Weitere Informationen dazu, wie die CryptoAPI Funktion Zertifikatketten erstellt und den Sperrstatus überprüft, finden Sie unter "Problembehandlung beim Zertifikatstatus" und "Sperrung".