Condividi tramite

Abilitare SSL per tutti i clienti che interagiscono con il sito Web in IIS

Questo articolo descrive come abilitare Secure Sockets Layer (SSL) per tutti i clienti che interagiscono con il sito Web in Microsoft Internet Information Services (IIS).

Versione originale del prodotto: Internet Information Services
Numero KB originale: 298805

Riepilogo

Questo articolo include i temi seguenti:

  • Come configurare e abilitare i certificati server in modo che i clienti possano essere certi che il sito Web sia valido e che tutte le informazioni inviate all'utente rimangano private e riservate.
  • Come usare i certificati di terze parti per abilitare Secure Sockets Layer (SSL), nonché una panoramica generale del processo usato per generare una richiesta di firma del certificato (CSR), usata per ottenere un certificato di terze parti.
  • Come abilitare la connettività SSL per il sito Web.
  • Come applicare SSL per tutte le connessioni e impostare la lunghezza di crittografia necessaria tra i client e il sito Web.

È possibile usare le funzionalità di sicurezza SSL del server Web per due tipi di autenticazione. È possibile usare un certificato server per consentire agli utenti di autenticare il sito Web prima di trasmettere informazioni personali, ad esempio un numero di carta di credito. È anche possibile usare i certificati client per autenticare gli utenti che richiedono informazioni sul sito Web.

Questo articolo presuppone che si userà un'autorità di certificazione (CA) di terze parti per fornire l'autenticazione per il server Web.

Per abilitare la verifica del certificato del server SSL e fornire il livello di sicurezza desiderato dai clienti, è necessario ottenere un certificato da una CA di terze parti. I certificati rilasciati all'organizzazione da una CA di terze parti sono in genere associati al server Web e in particolare al sito Web a cui associare SSL. È possibile creare un certificato personalizzato con il server IIS, ma in tal caso, i client devono considerare implicitamente attendibile l'utente come autorità di certificazione.

In questo articolo si presuppone quanto segue:

  • IIS è stato installato.
  • Il sito Web che si vuole proteggere con SSL è stato creato e pubblicato.

Ottenere un certificato

Per iniziare il processo per ottenere il certificato, è necessario generare una richiesta di firma del certificato. Questa operazione viene eseguita tramite la console di gestione IIS; Pertanto, IIS deve essere installato prima di poter generare una richiesta di firma del certificato. Una richiesta csr è fondamentalmente un certificato generato nel server che convalida le informazioni specifiche del computer sul server quando si richiede un certificato da una CA di terze parti. Il csr è semplicemente un messaggio di testo crittografato crittografato con una coppia di chiavi pubblica/privata.

In genere, le informazioni seguenti sul computer sono incluse nella richiesta csr generata:

  • Organizzazione
  • Unità organizzativa
  • Paese/area geografica
  • Stato/provincia
  • Città/località
  • Nome comune

Note

Il nome comune è in genere costituito dal nome del computer host e dal dominio a cui appartiene, ad esempio xyz.com. In questo caso, il computer fa parte del dominio .com ed è denominato XYZ. Può trattarsi del server radice per il dominio aziendale o semplicemente di un sito Web.

Generare la richiesta di firma del certificato

  1. Accedere a IIS Microsoft Management Console (MMC). A tale scopo, fare clic con il pulsante destro del mouse su Computer e scegliere Gestisci. Verrà visualizzata la Console di gestione computer. Espandere la sezione Servizi e applicazione . Individuare IIS ed espandere la console IIS.

  2. Selezionare il sito Web specifico in cui si vuole installare un certificato server. Fare clic con il pulsante destro del mouse sul sito e scegliere Proprietà.

  3. Selezionare la scheda Sicurezza directory. Nella sezione Comunicazione sicura selezionare Certificato server. Verrà avviata la Creazione guidata certificati server Web. Seleziona Avanti.

  4. Selezionare Crea un nuovo certificato e selezionare Avanti.

  5. Selezionare Prepara la richiesta ora, ma inviarla in un secondo momento e selezionare Avanti.

  6. Nel campo Nome immettere un nome che è possibile ricordare. Per impostazione predefinita, il nome del sito Web per cui si sta generando la richiesta di firma del certificato.

    Note

    Quando si genera la richiesta di firma del certificato, è necessario specificare una lunghezza di bit. La lunghezza del bit della chiave di crittografia determina il livello di attendibilità del certificato crittografato inviato alla CA di terze parti. Maggiore è la lunghezza del bit, maggiore è la crittografia. La maggior parte delle ca di terze parti preferisce almeno 1024 bit.

  7. Nella sezione Informazioni sull'organizzazione immettere le informazioni sull'organizzazione e sull'unità organizzativa. Questa operazione deve essere accurata, perché queste credenziali vengono presentate a una CA di terze parti ed è necessario rispettare le relative licenze del certificato. Selezionare Avanti per accedere alla sezione Nome comune del sito.

  8. La sezione Nome comune del sito è responsabile dell'associazione del certificato al sito Web. Per i certificati SSL, immettere il nome computer host con il nome di dominio. Per i server Intranet, è possibile usare il nome NetBIOS del computer che ospita il sito. Selezionare Avanti per accedere alle informazioni geografiche.

  9. Immettere le informazioni relative al paese o all'area geografica, allo stato o alla provincia e alla città o alla località. Specificare completamente lo stato o la provincia e la città o la località. E non usare le abbreviazioni. Seleziona Avanti.

  10. Salvare il file come file .txt.

  11. Confermare i dettagli della richiesta. Selezionare Avanti per terminare e uscire dalla Creazione guidata certificati server Web.

Richiedere il certificato

Esistono diversi metodi per inviare la richiesta. Contattare il provider di certificati di propria scelta per il metodo da usare e per determinare il livello di certificato migliore per le proprie esigenze. A seconda del metodo scelto per l'invio della richiesta all'autorità di certificazione, è possibile inviare il file CSR dal passaggio 10 nella sezione Generare la richiesta di firma del certificato oppure è necessario incollare il contenuto di questo file nella richiesta. Questo file verrà crittografato e conterrà un'intestazione e un piè di pagina per il contenuto. Quando si richiede il certificato, è necessario includere sia l'intestazione che il piè di pagina. La richiesta di firma del certificato dovrebbe essere simile alla seguente:

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

Installare il certificato

Dopo che la CA di terze parti ha completato la richiesta di un certificato server, la si riceverà tramite posta elettronica o il sito di download. Il certificato deve essere installato nel sito Web in cui si desidera fornire comunicazioni sicure.

Per installare il certificato, seguire questa procedura:

  1. Scaricare o copiare il certificato ottenuto dalla CA nel server Web.
  2. Aprire IIS MMC come descritto nella sezione Generazione della richiesta di firma del certificato .
  3. Accedere alla finestra di dialogo Proprietà per il sito Web in cui si installa il certificato.
  4. Selezionare la scheda Sicurezza directory e quindi selezionare Certificato server. Verrà avviata la Creazione guidata certificati server Web. Seleziona Avanti.
  5. Selezionare Elabora la richiesta in sospeso e installare il certificato e quindi selezionare Avanti.
  6. Passare al percorso del certificato salvato nel passaggio 1. Selezionare Avanti due volte e quindi fine.

Imponi connessioni SSL

Ora che il certificato del server è installato, è possibile applicare le comunicazioni del canale sicuro SSL con i client del server Web. Prima di tutto, è necessario abilitare la porta 443 per le comunicazioni sicure con il sito Web. A tale scopo, effettuare i passaggi seguenti:

  1. Nella console gestione computer fare clic con il pulsante destro del mouse sul sito Web in cui si desidera applicare SSL e selezionare Proprietà.
  2. Selezionare la scheda Sito Web. Nella sezione Identificazione sito Web verificare che il campo Porta SSL sia popolato con il valore numerico 443.
  3. Seleziona Avanzate. Verranno visualizzati due campi. L'indirizzo IP e la porta del sito Web devono essere già elencati nel campo Identità multiple per questo sito Web. Nel campo Identità SSL multiple per questo sito Web selezionare Aggiungi se la porta 443 non è già elencata. Selezionare l'indirizzo IP del server e digitare il valore numerico 443 nel campo Porta SSL. Seleziona OK.

Ora che la porta 443 è abilitata, è possibile applicare le connessioni SSL. A tale scopo, effettuare i passaggi seguenti:

  1. Selezionare la scheda Sicurezza directory. Nella sezione Comunicazione sicura è ora disponibile Modifica . Seleziona Modifica

  2. Selezionare Richiedi canale sicuro (SSL).

    Note

    Se si specifica la crittografia a 128 bit, i client che usano un browser con complessità a 40 bit o a 56 bit non potranno comunicare con il sito a meno che non aggiornino il livello di crittografia.

  3. Aprire il browser e provare a connettersi al server Web usando il protocollo http:// standard. Se viene applicato SSL, viene visualizzato il messaggio di errore seguente:

    La pagina deve essere visualizzata su un canale sicuro
    La pagina che si sta tentando di visualizzare richiede l'uso di "https" nell'indirizzo.
    Riprovare digitando https:// all'inizio dell'indirizzo che si sta tentando di raggiungere. HTTP 403.4 - Accesso negato: SSL richiesto da Internet Information Services
    Informazioni tecniche (per il personale di supporto): questo errore indica che la pagina a cui si sta tentando di accedere è protetta con Secure Sockets Layer (SSL).

È ora possibile connettersi al sito Web solo usando il protocollo https:// .