Udostępnij za pośrednictwem

Włącz protokół SSL dla wszystkich klientów korzystających z witryny sieci Web w usługach IIS

W tym artykule opisano sposób włączania protokołu Secure Sockets Layer (SSL) dla wszystkich klientów korzystających z witryny sieci Web w usługach Microsoft Internet Information Services (IIS).

Oryginalna wersja produktu: Internet Information Services
Oryginalny numer KB: 298805

Podsumowanie

Ten artykuł zawiera następujące tematy:

  • Jak skonfigurować i włączyć certyfikaty serwera, aby klienci mogli mieć pewność, że witryna sieci Web jest prawidłowa, oraz że wszelkie informacje wysyłane do Ciebie pozostają prywatne i poufne.
  • Jak używać certyfikatów innych firm, aby włączyć protokół Secure Sockets Layer (SSL), a także ogólne omówienie procesu używanego do generowania żądania podpisania certyfikatu (CSR), który jest używany do uzyskiwania certyfikatu innej firmy.
  • Jak włączyć łączność SSL dla witryny sieci Web.
  • Jak wymusić protokół SSL dla wszystkich połączeń i ustawić wymaganą długość szyfrowania między klientami a witryną sieci Web.

Do obsługi dwóch typów uwierzytelniania można użyć funkcji zabezpieczeń SSL serwera sieci Web. Możesz użyć certyfikatu serwera, aby umożliwić użytkownikom uwierzytelnianie witryny sieci Web przed przesłaniem danych osobowych, takich jak numer karty kredytowej. Ponadto można użyć certyfikatów klienta do uwierzytelniania użytkowników żądających informacji w witrynie sieci Web.

W tym artykule założono, że użyjesz urzędu certyfikacji innej firmy do zapewnienia uwierzytelniania dla serwera sieci Web.

Aby włączyć weryfikację certyfikatu serwera SSL i zapewnić poziom zabezpieczeń, których chcą klienci, należy uzyskać certyfikat z urzędu certyfikacji innej firmy. Certyfikaty wystawione dla organizacji przez urząd certyfikacji innej firmy są zwykle powiązane z serwerem sieci Web, a w szczególności z witryną sieci Web, z którą należy powiązać protokół SSL. Możesz utworzyć własny certyfikat z serwerem usług IIS, ale jeśli to zrobisz, klienci muszą niejawnie ufać Tobie jako urzędowi certyfikacji.

W tym artykule przyjęto założenie, że:

  • Zainstalowano usługi IIS.
  • Utworzono i opublikowano witrynę sieci Web, którą chcesz zabezpieczyć za pomocą protokołu SSL.

Uzyskiwanie certyfikatu

Aby rozpocząć proces uzyskiwania certyfikatu, należy wygenerować csr. Można to zrobić za pomocą konsoli zarządzania usług IIS; w związku z tym usługi IIS należy zainstalować przed wygenerowaniem csr. Żądanie CSR jest w zasadzie certyfikatem generowanym na serwerze, który weryfikuje informacje specyficzne dla komputera serwera podczas żądania certyfikatu z urzędu certyfikacji innej firmy. Csr to po prostu zaszyfrowana wiadomość sms zaszyfrowana za pomocą pary kluczy publicznych/prywatnych.

Zazwyczaj następujące informacje o komputerze znajdują się w wygenerowanych przez Ciebie csr:

  • Organizacja
  • Jednostka organizacyjna
  • Kraj/region
  • Województwo
  • Miasto/miejscowość
  • Nazwa pospolita

Uwaga 16.

Nazwa pospolita zazwyczaj składa się z nazwy komputera hosta i domeny, do której należy, na przykład xyz.com. W takim przypadku komputer jest częścią domeny .com i nosi nazwę XYZ. Może to być serwer główny domeny firmowej lub po prostu witryna sieci Web.

Generowanie csr

  1. Uzyskaj dostęp do programu Microsoft Management Console (MMC) usług IIS. W tym celu kliknij prawym przyciskiem myszy pozycję Mój komputer i wybierz polecenie Zarządzaj. Spowoduje to otwarcie konsoli zarządzania komputerem. Rozwiń sekcję Usługi i aplikacja . Znajdź usługi IIS i rozwiń konsolę usług IIS.

  2. Wybierz określoną witrynę sieci Web, w której chcesz zainstalować certyfikat serwera. Kliknij prawym przyciskiem myszy witrynę i wybierz polecenie Właściwości.

  3. Wybierz kartę Zabezpieczenia katalogu. W sekcji Bezpieczna komunikacja wybierz pozycję Certyfikat serwera. Spowoduje to uruchomienie Kreatora certyfikatu serwera sieci Web. Wybierz Dalej.

  4. Wybierz pozycję Utwórz nowy certyfikat i wybierz przycisk Dalej.

  5. Wybierz pozycję Przygotuj żądanie teraz, ale wyślij je później, a następnie wybierz pozycję Dalej.

  6. W polu Nazwa wprowadź nazwę, którą można zapamiętać. Domyślnie będzie to nazwa witryny sieci Web, dla której generujesz csr.

    Uwaga 16.

    Podczas generowania csr należy określić długość bitu. Długość bitów klucza szyfrowania określa siłę zaszyfrowanego certyfikatu wysyłanego do urzędu certyfikacji innej firmy. Im większa długość bitu, tym silniejsze jest szyfrowanie. Większość urzędów certyfikacji innych firm preferuje co najmniej 1024 bity.

  7. W sekcji Informacje o organizacji wprowadź informacje o organizacji i jednostce organizacyjnej. Musi to być dokładne, ponieważ przedstawiasz te poświadczenia do urzędu certyfikacji innej firmy i musisz przestrzegać ich licencjonowania certyfikatu. Wybierz pozycję Dalej , aby uzyskać dostęp do sekcji Nazwa pospolita witryny.

  8. Sekcja Nazwa pospolita Witryny jest odpowiedzialna za powiązanie certyfikatu z witryną sieci Web. W polu Certyfikaty SSL wprowadź nazwę komputera hosta z nazwą domeny. W przypadku serwerów intranetowych można użyć nazwy NetBIOS komputera, który hostuje witrynę. Wybierz przycisk Dalej , aby uzyskać dostęp do informacji geograficznych.

  9. Wprowadź informacje o kraju lub regionie, stanie lub prowincji oraz o mieście lub lokalizacji. W pełni zaklęcie stanu lub prowincji i miasta lub miejscowości. I nie używaj skrótów. Wybierz Dalej.

  10. Zapisz plik jako plik .txt.

  11. Potwierdź szczegóły żądania. Wybierz przycisk Dalej , aby zakończyć, i zamknij Kreatora certyfikatów serwera sieci Web.

Żądanie certyfikatu

Istnieją różne metody przesyłania żądania. Skontaktuj się z wybranym dostawcą certyfikatów, aby użyć metody i określić najlepszy poziom certyfikatu dla Twoich potrzeb. W zależności od wybranej metody wysyłania żądania do urzędu certyfikacji można wysłać plik CSR z kroku 10 w sekcji Generowanie żądania CSR lub może być konieczne wklejenie zawartości tego pliku do żądania. Ten plik zostanie zaszyfrowany i będzie zawierać nagłówek i stopkę zawartości. Podczas żądania certyfikatu należy dołączyć zarówno nagłówek, jak i stopkę. Csr powinien przypominać następujące elementy:

-----BEGIN NEW CERTIFICATE REQUEST-----
MIIDATCCAmoCAQAwbDEOMAwGA1UEAxMFcGxhbjgxDDAKBgNVBAsTA1BTUzESMBAG
A1UEChMJTWljcm9zb2Z0MRIwEAYDVQQHEwlDaGFybG90dGUxFzAVBgNVBAgTDk5v
cnRoIENhcm9saW5hMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEFAAOBjQAw
gYkCgYEAtW1koGfdt+EoJbKdxUZ+5vE7TF1ZuT+xaK9jEWHESfw11zoRKrHzHN0f
IASnwg3vZ0ACteQy5SiWmFaJeJ4k7YaKUb6chZXG3GqL4YiSKFaLpJX+YRiKMtmI
JzFzict5GVVGHsa1lY0BDYDO2XOAlstGlHCtENHOKpzdYdANRg0CAwEAAaCCAVMw
GgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMDUGCisGAQQBgjcCAQ4xJzAlMA4G
A1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEFBQcDATCB/QYKKwYBBAGCNw0C
AjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0ACAAUgBTAEEAIABTAEMAaABh
AG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBwAGgAaQBjACAAUAByAG8AdgBp
AGQAZQByA4GJAGKa0jzBn8fkxScrWsdnU2eUJOMUK5Ms87Q+fjP1/pWN3PJnH7x8
MBc5isFCjww6YnIjD8c3OfYfjkmWc048ZuGoH7ZoD6YNfv/SfAvQmr90eGmKOFFi
TD+hl1hM08gu2oxFU7mCvfTQ/2IbXP7KYFGEqaJ6wn0Z5yLOByPqblQZAAAAAAAA
AAAwDQYJKoZIhvcNAQEFBQADgYEAhpzNy+aMNHAmGUXQT6PKxWpaxDSjf4nBmo7o
MhfC7CIvR0McCQ+CBwuLzD+UJxl+kjgb+qwcOUkGX2PCZ7tOWzcXWNmn/4YHQl0M
GEXu0w67sVc2R9DlsHDNzeXLIOmjUl935qy1uoIR4V5C48YNsF4ejlgjeCFsbCoj
Jb9/2RM=
-----END NEW CERTIFICATE REQUEST-----

Instalowanie certyfikatu

Po zakończeniu żądania certyfikatu serwera przez urząd certyfikacji innej firmy otrzymasz go pocztą e-mail lub witrynę pobierania. Certyfikat musi być zainstalowany w witrynie sieci Web, w której chcesz zapewnić bezpieczną komunikację.

Aby zainstalować certyfikat, wykonaj następujące kroki:

  1. Pobierz lub skopiuj certyfikat uzyskany z urzędu certyfikacji do serwera sieci Web.
  2. Otwórz program MMC usług IIS zgodnie z opisem w sekcji Generowanie csr .
  3. Uzyskaj dostęp do okna dialogowego Właściwości witryny sieci Web, w której instalowany jest certyfikat.
  4. Wybierz kartę Zabezpieczenia katalogu, a następnie wybierz pozycję Certyfikat serwera. Spowoduje to uruchomienie Kreatora certyfikatu serwera sieci Web. Wybierz Dalej.
  5. Wybierz pozycję Przetwórz oczekujące żądanie i zainstaluj certyfikat, a następnie wybierz przycisk Dalej.
  6. Przejdź do lokalizacji certyfikatu zapisanego w kroku 1. Wybierz przycisk Dalej dwa razy, a następnie wybierz pozycję Zakończ.

Wymuszanie połączeń SSL

Po zainstalowaniu certyfikatu serwera można wymusić komunikację z bezpiecznym kanałem SSL z klientami serwera sieci Web. Najpierw należy włączyć port 443 na potrzeby bezpiecznej komunikacji z witryną sieci Web. W tym celu wykonaj następujące kroki:

  1. W konsoli zarządzania komputerem kliknij prawym przyciskiem myszy witrynę sieci Web, w której chcesz wymusić protokół SSL, a następnie wybierz polecenie Właściwości.
  2. Wybierz kartę Witryna sieci Web. W sekcji Identyfikacja witryny sieci Web sprawdź, czy pole Port SSL zostało wypełnione wartością liczbową 443.
  3. Wybierz opcję Zaawansowane. Powinny zostać wyświetlone dwa pola. Adres IP i port witryny sieci Web powinny być już wymienione w polu Wiele tożsamości dla tej witryny sieci Web. W polu Wiele tożsamości SSL dla tej witryny sieci Web wybierz pozycję Dodaj , jeśli port 443 nie jest jeszcze wymieniony. Wybierz adres IP serwera i wpisz wartość liczbową 443 w polu Port SSL. Wybierz przycisk OK.

Teraz, gdy port 443 jest włączony, możesz wymusić połączenia SSL. W tym celu wykonaj następujące kroki:

  1. Wybierz kartę Zabezpieczenia katalogu. W sekcji Bezpieczna komunikacja edycja jest teraz dostępna. Zaznacz Edytuj.

  2. Wybierz pozycję Wymagaj bezpiecznego kanału (SSL).

    Uwaga 16.

    W przypadku określenia szyfrowania 128-bitowego klienci korzystający z przeglądarki 40-bitowej lub 56-bitowej nie będą mogli komunikować się z witryną, chyba że uaktualnią siłę szyfrowania.

  3. Otwórz przeglądarkę i spróbuj nawiązać połączenie z serwerem sieci Web przy użyciu standardowego protokołu http:// . Jeśli protokół SSL jest wymuszany, zostanie wyświetlony następujący komunikat o błędzie:

    Strona musi być widoczna za pośrednictwem bezpiecznego kanału
    Strona, którą próbujesz wyświetlić, wymaga użycia ciągu "https" w adresie.
    Spróbuj wykonać następujące czynności: spróbuj ponownie, wpisując https:// na początku adresu, z którym próbujesz nawiązać połączenie. HTTP 403.4 — Zabronione: wymagane internetowe usługi informacyjne SSL
    Informacje techniczne (dla personelu pomocy technicznej) Tło: ten błąd wskazuje, że strona, do której próbujesz uzyskać dostęp, jest zabezpieczona przy użyciu protokołu SSL (Secure Sockets Layer).

Teraz możesz nawiązać połączenie z witryną sieci Web tylko przy użyciu protokołu https:// .