Abilitare SSL per tutti i clienti che interagiscono con il sito Web in IIS

  • Articolo

Questo articolo descrive come abilitare SSL (Secure Sockets Layer) per tutti i clienti che interagiscono con il sito Web in Microsoft Internet Information Services (IIS).

Versione originale del prodotto: Internet Information Services
Numero KB originale: 298805

Riepilogo

Questo articolo contiene gli argomenti seguenti:

  • Come configurare e abilitare i certificati server in modo che i clienti possano essere certi che il sito Web sia valido e che tutte le informazioni inviate rimangano private e riservate.
  • Come usare certificati di terze parti per abilitare SSL (Secure Sockets Layer), nonché una panoramica generale del processo usato per generare una richiesta di firma del certificato (CSR), che viene usata per ottenere un certificato di terze parti.
  • Come abilitare la connettività SSL per il sito Web.
  • Come applicare SSL per tutte le connessioni e impostare la lunghezza di crittografia necessaria tra i client e il sito Web.

È possibile usare le funzionalità di sicurezza SSL del server Web per due tipi di autenticazione. È possibile usare un certificato server per consentire agli utenti di autenticare il sito Web prima di trasmettere informazioni personali, ad esempio un numero di carta di credito. È anche possibile usare i certificati client per autenticare gli utenti che richiedono informazioni sul sito Web.

Questo articolo presuppone che si userà un'autorità di certificazione (CA) di terze parti per fornire l'autenticazione per il server Web.

Per abilitare la verifica del certificato del server SSL e fornire il livello di sicurezza desiderato dai clienti, è necessario ottenere un certificato da una CA di terze parti. I certificati rilasciati all'organizzazione da una CA di terze parti sono in genere associati al server Web e in modo più specifico al sito Web a cui associare SSL. È possibile creare un certificato personalizzato con il server IIS, ma in tal caso, i client devono considerare implicitamente attendibile l'utente come autorità di certificazione.

In questo articolo si presuppone che:

  • Iis è stato installato.
  • È stato creato e pubblicato il sito Web da proteggere con SSL.

Ottenere un certificato

Per avviare il processo per ottenere il certificato, è necessario generare una richiesta csr. Questa operazione viene eseguita tramite la console di gestione IIS; Pertanto, IIS deve essere installato prima di poter generare una richiesta csr. Una richiesta csr è fondamentalmente un certificato generato nel server che convalida le informazioni specifiche del computer sul server quando si richiede un certificato a una CA di terze parti. Csr è semplicemente un messaggio di testo crittografato crittografato con una coppia di chiavi pubblica/privata.

In genere, le informazioni seguenti sul computer sono incluse nella csr generata:

  • Organizzazione
  • Unità organizzativa
  • Paese
  • Stato/provincia
  • Città/località
  • Nome comune

Nota

Il nome comune è in genere costituito dal nome del computer host e dal dominio a cui appartiene, ad esempio xyz.com. In questo caso, il computer fa parte del dominio .com ed è denominato XYZ. Può trattarsi del server radice per il dominio aziendale o semplicemente di un sito Web.

Generare la richiesta csr

  1. Accedere a Microsoft Management Console (MMC) di IIS. A tale scopo, fare clic con il pulsante destro del mouse su Risorse del computer e scegliere Gestisci. Verrà visualizzata la Console di gestione computer. Espandere la sezione Servizi e applicazione . Individuare IIS ed espandere la console IIS.

  2. Selezionare il sito Web specifico in cui si vuole installare un certificato server. Fare clic con il pulsante destro del mouse sul sito e scegliere Proprietà.

  3. Selezionare la scheda Sicurezza directory . Nella sezione Comunicazione sicura selezionare Certificato server. Verrà avviata la Procedura guidata certificato server Web. Selezionare Avanti.

  4. Selezionare Crea un nuovo certificato e quindi Avanti.

  5. Selezionare Prepara la richiesta ora, ma inviarla in un secondo momento e selezionare Avanti.

  6. Nel campo Nome immettere un nome che è possibile ricordare. Per impostazione predefinita, verrà visualizzato il nome del sito Web per il quale si sta generando la richiesta csr.

    Nota

    Quando si genera la richiesta csr, è necessario specificare una lunghezza di bit. La lunghezza in bit della chiave di crittografia determina la potenza del certificato crittografato inviato alla CA di terze parti. Maggiore è la lunghezza del bit, maggiore è la crittografia. La maggior parte delle CA di terze parti preferisce un minimo di 1024 bit.

  7. Nella sezione Informazioni sull'organizzazione immettere le informazioni sull'organizzazione e sull'unità organizzativa. Questa operazione deve essere accurata, perché si stanno presentando queste credenziali a un'autorità di certificazione di terze parti ed è necessario rispettare le relative licenze del certificato. Selezionare Avanti per accedere alla sezione Nome comune del sito .

  8. La sezione Nome comune del sito è responsabile dell'associazione del certificato al sito Web. Per i certificati SSL, immettere il nome del computer host con il nome di dominio. Per i server Intranet, è possibile usare il nome NetBIOS del computer che ospita il sito. Selezionare Avanti per accedere alle informazioni geografiche.

  9. Immettere le informazioni sul paese, l'area geografica, lo stato o la provincia e la città o la località. Specificare completamente lo stato, la provincia, la città o la località. E non usare abbreviazioni. Selezionare Avanti.

  10. Salvare il file come file .txt.

  11. Confermare i dettagli della richiesta. Selezionare Avanti per completare e chiudere la Procedura guidata certificato server Web.

Richiedere il certificato

Esistono diversi metodi per inviare la richiesta. Contattare il provider di certificati di propria scelta per il metodo da usare e per determinare il livello di certificato migliore per le proprie esigenze. A seconda del metodo scelto per l'invio della richiesta all'autorità di certificazione, è possibile inviare il file CSR dal passaggio 10 nella sezione Generare la richiesta csr oppure potrebbe essere necessario incollare il contenuto di questo file nella richiesta. Questo file verrà crittografato e conterrà un'intestazione e un piè di pagina per il contenuto. Quando si richiede il certificato, è necessario includere sia l'intestazione che il piè di pagina. La richiesta csr dovrebbe essere simile alla seguente:

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

Installare il certificato

Dopo che la CA di terze parti ha completato la richiesta di un certificato server, verrà ricevuta tramite posta elettronica o sito di download. Il certificato deve essere installato nel sito Web in cui si desidera fornire comunicazioni sicure.

Per installare il certificato, seguire questa procedura:

  1. Scaricare o copiare il certificato ottenuto dalla CA nel server Web.
  2. Aprire MMC IIS come descritto nella sezione Generazione della richiesta del servizio certificati.
  3. Accedere alla finestra di dialogo Proprietà per il sito Web in cui si sta installando il certificato.
  4. Selezionare la scheda Sicurezza directory e quindi selezionare Certificato server. Verrà avviata la Procedura guidata certificato server Web. Selezionare Avanti.
  5. Selezionare Elabora la richiesta in sospeso e installare il certificato e quindi selezionare Avanti.
  6. Passare alla posizione del certificato salvato nel passaggio 1. Selezionare Avanti due volte e quindi Fine.

Applicare connessioni SSL

Ora che il certificato server è installato, è possibile applicare le comunicazioni del canale sicuro SSL con i client del server Web. Prima di tutto, è necessario abilitare la porta 443 per le comunicazioni sicure con il sito Web. A tal fine, attenersi alla seguente procedura:

  1. Nella console Di gestione computer fare clic con il pulsante destro del mouse sul sito Web in cui si vuole applicare SSL e scegliere Proprietà.
  2. Selezionare la scheda Sito Web . Nella sezione Identificazione sito Web verificare che il campo Porta SSL sia popolato con il valore numerico 443.
  3. Selezionare Avanzate. Verranno visualizzati due campi. L'indirizzo IP e la porta del sito Web devono essere già elencati nel campo Identità multiple per questo sito Web. Nel campo Identità SSL multiple per questo sito Web selezionare Aggiungi se la porta 443 non è già elencata. Selezionare l'indirizzo IP del server e digitare il valore numerico 443 nel campo Porta SSL. Selezionare OK.

Ora che la porta 443 è abilitata, è possibile applicare le connessioni SSL. A tal fine, attenersi alla seguente procedura:

  1. Selezionare la scheda Sicurezza directory . Nella sezione Comunicazione sicura è ora disponibile Modifica . Selezionare Modifica.

  2. Selezionare Richiedi canale sicuro (SSL).

    Nota

    Se si specifica la crittografia a 128 bit, i client che usano un browser di potenza a 40 bit o a 56 bit non potranno comunicare con il sito a meno che non aggiornino il livello di crittografia.

  3. Aprire il browser e provare a connettersi al server Web usando il protocollo http:// standard. Se ssl viene applicato, viene visualizzato il messaggio di errore seguente:

    La pagina deve essere visualizzata su un canale sicuro
    La pagina che si sta tentando di visualizzare richiede l'uso di 'https' nell'indirizzo.
    Riprovare digitando https:// all'inizio dell'indirizzo che si sta tentando di raggiungere. HTTP 403.4 - Accesso negato: SSL obbligatorio per Internet Information Services
    Informazioni tecniche (per il personale di supporto): questo errore indica che la pagina a cui si sta tentando di accedere è protetta con SSL (Secure Sockets Layer).

È ora possibile connettersi al sito Web solo usando il protocollo https:// .