Compartilhar via

Habilitar o SSL para todos os clientes que interagem com seu site no IIS

Este artigo descreve como habilitar o Secure Sockets Layer (SSL) para todos os clientes que interagem com seu site no Microsoft Internet Information Services (IIS).

Versão original do produto: Serviços de Informações da Internet
Número original do KB: 298805

Resumo

Este artigo inclui as seções a seguir:

  • Como configurar e habilitar certificados de servidor para que seus clientes possam ter certeza de que seu site é válido e que todas as informações que eles enviam a você permanecem privadas e confidenciais.
  • Como usar certificados de terceiros para habilitar o Secure Sockets Layer (SSL), bem como uma visão geral do processo usado para gerar uma Solicitação de Assinatura de Certificado (CSR), que é usada para obter um certificado de terceiros.
  • Como habilitar a conectividade SSL para seu site.
  • Como impor SSL para todas as conexões e definir o comprimento de criptografia necessário entre seus clientes e seu site.

Você pode usar os recursos de segurança SSL do servidor Web para dois tipos de autenticação. Você pode usar um certificado de servidor para permitir que os usuários autentiquem seu site antes de transmitirem informações pessoais, como um número de cartão de crédito. Além disso, você pode usar certificados de cliente para autenticar usuários que solicitam informações em seu site.

Este artigo pressupõe que você usará uma autoridade de certificação (CA) de terceiros para fornecer autenticação para seu servidor Web.

Para habilitar a verificação de certificado do servidor SSL e fornecer o nível de segurança que seus clientes desejam, você deve obter um certificado de uma autoridade de certificação de terceiros. Os certificados emitidos para sua organização por uma autoridade de certificação de terceiros geralmente são vinculados ao servidor Web e, mais especificamente, ao site ao qual você deve vincular SSL. Você pode criar seu próprio certificado com o servidor IIS, mas se fizer isso, seus clientes deverão confiar implicitamente em você como a autoridade de certificação.

Este artigo pressupõe o seguinte:

  • Você instalou o IIS.
  • Você criou e publicou o site que deseja proteger com SSL.

Obter um certificado

Para iniciar o processo de obtenção do certificado, você deve gerar um CSR. Você faz isso por meio do console de gerenciamento do IIS; portanto, o IIS deve ser instalado antes que você possa gerar um CSR. Um CSR é basicamente um certificado que você gera em seu servidor que valida as informações específicas do computador sobre seu servidor quando você solicita um certificado de uma CA de terceiros. O CSR é simplesmente uma mensagem de texto criptografada criptografada com um par de chaves pública/privada.

Normalmente, as seguintes informações sobre o computador são incluídas no CSR que você gera:

  • Organização
  • Unidade organizacional
  • País/região
  • Estado/província
  • Cidade/localidade
  • Nome comum

Observação

O nome comum geralmente é composto pelo nome do computador host e pelo domínio ao qual ele pertence, como xyz.com. Nesse caso, o computador faz parte do domínio .com e é denominado XYZ. Este pode ser o servidor raiz do seu domínio corporativo ou simplesmente um site.

Gerar o CSR

  1. Acesse o MMC (Console de Gerenciamento Microsoft) do IIS. Para fazer isso, clique com o botão direito do mouse em Meu Computador e selecione Gerenciar. Isso abre o Console de Gerenciamento do Computador. Expanda a seção Serviços e aplicativos . Localize o IIS e expanda o console do IIS.

  2. Selecione o site específico no qual você deseja instalar um certificado de servidor. Clique com o botão direito do mouse no site e selecione Propriedades.

  3. Selecione a guia Segurança do diretório. Na seção Comunicação Segura, selecione Certificado do Servidor. Isso inicia o Assistente de Certificado do Servidor Web. Selecione Avançar.

  4. Selecione Criar um novo certificado e selecione Avançar.

  5. Selecione Preparar a solicitação agora, mas envie-a mais tarde e selecione Avançar.

  6. No campo Nome, insira um nome que você possa lembrar. O padrão será o nome do site para o qual você está gerando o CSR.

    Observação

    Ao gerar o CSR, você precisa especificar um comprimento de bits. O comprimento de bits da chave de criptografia determina a força do certificado criptografado que você envia para a autoridade de certificação de terceiros. Quanto maior o comprimento de bits, mais forte é a criptografia. A maioria das CAs de terceiros prefere um mínimo de 1024 bits.

  7. Na seção Informações da organização, insira as informações da organização e da unidade organizacional. Isso deve ser preciso, pois você está apresentando essas credenciais a uma CA de terceiros e deve cumprir o licenciamento do certificado. Selecione Avançar para acessar a seção Nome comum do seu site.

  8. A seção Nome Comum do Seu Site é responsável por vincular o certificado ao seu site. Para certificados SSL, insira o nome do computador host com o nome de domínio. Para servidores de Intranet, você pode usar o nome NetBIOS do computador que está hospedando o site. Selecione Avançar para acessar as informações geográficas.

  9. Insira as informações do seu país ou região, estado ou província e cidade ou localidade. Explique completamente seu estado ou província e cidade ou localidade. E não use abreviações. Selecione Avançar.

  10. Salve o arquivo como um arquivo .txt.

  11. Confirme os detalhes da sua solicitação. Selecione Avançar para concluir e sair do Assistente de Certificado do Servidor Web.

Solicite o certificado

Existem diferentes métodos de envio de sua solicitação. Entre em contato com o provedor de certificados de sua escolha para saber o método a ser usado e determinar o melhor nível de certificado para suas necessidades. Dependendo do método escolhido para enviar sua solicitação à CA, você pode enviar o arquivo CSR da etapa 10 na seção Gerar o CSR ou pode ser necessário colar o conteúdo desse arquivo na solicitação. Este arquivo será criptografado e conterá um cabeçalho e um rodapé para o conteúdo. Você deve incluir o cabeçalho e o rodapé ao solicitar o certificado. Seu CSR deve ser semelhante ao seguinte:

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

Instalar o certificado

Depois que a CA de terceiros concluir sua solicitação de um certificado de servidor, você o receberá por e-mail ou site de download. O certificado deve ser instalado no site no qual você deseja fornecer comunicações seguras.

Para instalar o certificado, siga estas etapas:

  1. Baixe ou copie o certificado obtido da autoridade de certificação para o servidor Web.
  2. Abra o MMC do IIS conforme descrito na seção Gerando o CSR .
  3. Acesse a caixa de diálogo Propriedades do site no qual você está instalando o certificado.
  4. Selecione a guia Segurança do Diretório e, em seguida, selecione Certificado do Servidor. Isso inicia o Assistente de Certificado do Servidor Web. Selecione Avançar.
  5. Selecione Processar a Solicitação Pendente e instale o certificado e, em seguida, selecione Avançar.
  6. Navegue até o local do certificado que você salvou na etapa 1. Selecione Avançar duas vezes e, em seguida, selecione Concluir.

Impor conexões SSL

Agora que o certificado do servidor está instalado, você pode impor comunicações de canal seguro SSL com clientes do servidor Web. Primeiro, você precisa habilitar a porta 443 para comunicações seguras com o site. Para fazer isso, siga estas etapas:

  1. No console Gerenciamento do Computador, clique com o botão direito do mouse no site no qual você deseja impor o SSL e selecione Propriedades.
  2. Selecione a guia Site. Na seção Identificação do Site, verifique se o campo Porta SSL está preenchido com o valor numérico 443.
  3. Selecione Avançado. Você deve ver dois campos. O endereço IP e a porta do site já devem estar listados no campo Várias identidades para este site. No campo Várias identidades SSL para este site, selecione Adicionar se a porta 443 ainda não estiver listada. Selecione o endereço IP do servidor e digite o valor numérico 443 no campo Porta SSL. Selecione OK.

Agora que a porta 443 está habilitada, você pode impor conexões SSL. Para fazer isso, siga estas etapas:

  1. Selecione a guia Segurança do diretório. Na seção Comunicação segura, Editar agora está disponível. Selecione Editar.

  2. Selecione Exigir Canal Seguro (SSL).

    Observação

    Se você especificar a criptografia de 128 bits, os clientes que usam o navegador de 40 bits ou 56 bits não poderão se comunicar com seu site, a menos que atualizem a força da criptografia.

  3. Abra o navegador e tente se conectar ao servidor Web usando o protocolo http:// padrão. Se o SSL estiver sendo imposto, você receberá a seguinte mensagem de erro:

    A página deve ser visualizada em um canal seguro
    A página que você está tentando visualizar requer o uso de 'https' no endereço.
    Tente o seguinte: Tente novamente digitando https:// no início do endereço que você está tentando acessar. HTTP 403.4 - Proibido: Serviços de Informações da Internet necessários para SSL
    Informações técnicas (para a equipe de suporte) Contexto: Este erro indica que a página que você está tentando acessar está protegida com Secure Sockets Layer (SSL).

Agora você pode se conectar ao seu site apenas usando o protocolo https:// .