Поделиться через

Включение SSL для всех клиентов, взаимодействующих с веб-сайтом в IIS

В этой статье описывается, как включить протокол SSL для всех клиентов, взаимодействующих с веб-сайтом в Microsoft IIS (IIS).

Исходная версия продукта: службы IIS
Исходный номер базы знаний: 298805

Итоги

Эта статья включает следующие разделы:

  • Как настроить и включить сертификаты сервера, чтобы клиенты могли быть уверены, что веб-сайт действителен, и что любая информация, которую они отправляют вам, остается частной и конфиденциальной.
  • Как использовать сторонние сертификаты для включения уровня secure Sockets (SSL), а также общие сведения о процессе, используемом для создания запроса подписи сертификатов (CSR), который используется для получения сертификата стороннего поставщика.
  • Как включить ssl-подключение для веб-сайта.
  • Как применить SSL для всех подключений и задать необходимую длину шифрования между клиентами и веб-сайтом.

Вы можете использовать функции безопасности SSL веб-сервера для двух типов проверки подлинности. Вы можете использовать сертификат сервера, чтобы разрешить пользователям проходить проверку подлинности веб-сайта перед передачей персональных данных, например номер кредитной карты. Кроме того, вы можете использовать сертификаты клиента для проверки подлинности пользователей, запрашивающих сведения на веб-сайте.

В этой статье предполагается, что вы будете использовать сторонний центр сертификации (ЦС) для предоставления проверки подлинности для веб-сервера.

Чтобы включить проверку сертификата SSL-сервера и обеспечить уровень безопасности, который требуется клиентам, необходимо получить сертификат из стороннего ЦС. Сертификаты, выданные вашей организации сторонним ЦС, обычно привязаны к веб-серверу и, в частности, к веб-сайту, к которому необходимо привязать SSL. Вы можете создать собственный сертификат с сервером IIS, но при этом клиенты должны неявно доверять вам в качестве центра сертификации.

В этой статье предполагается, что выполняются следующие условия:

  • Вы установили СЛУЖБЫ IIS.
  • Вы создали и опубликовали веб-сайт, который вы хотите защитить с помощью SSL.

Получение сертификата

Чтобы начать процесс получения сертификата, необходимо создать CSR. Это можно сделать с помощью консоль управления IIS. Поэтому перед созданием CSR необходимо установить СЛУЖБЫ IIS. CSR — это в основном сертификат, создаваемый на сервере, который проверяет сведения о сервере, относящиеся к компьютеру, при запросе сертификата из стороннего ЦС. CSR — это просто зашифрованное текстовое сообщение, зашифрованное парой открытого и закрытого ключа.

Как правило, следующие сведения о вашем компьютере включаются в создаваемый CSR:

  • Организация
  • Подразделение
  • Страна/регион
  • Область, республика, край, округ
  • город или расположение;
  • Общее имя

Примечание.

Обычно общее имя состоит из имени компьютера узла и домена, к которому он принадлежит, например xyz.com. В этом случае компьютер является частью домена .com и называется XYZ. Это может быть корневой сервер корпоративного домена или просто веб-сайт.

Создание CSR

  1. Доступ к консоли управления IIS (MMC). Для этого щелкните правой кнопкой мыши мой компьютер и выберите пункт "Управление". Откроется консоль управления компьютером. Разверните раздел "Службы и приложения". Найдите службы IIS и разверните консоль IIS.

  2. Выберите конкретный веб-сайт, на котором требуется установить сертификат сервера. Щелкните правой кнопкой мыши сайт и выберите "Свойства".

  3. Перейдите на вкладку "Безопасность каталога". В разделе "Безопасный обмен данными" выберите "Сертификат сервера". Откроется мастер сертификатов веб-сервера. Выберите Далее.

  4. Нажмите кнопку "Создать сертификат " и нажмите кнопку "Далее".

  5. Нажмите кнопку "Подготовить запрос сейчас", но отправьте его позже и нажмите кнопку "Далее".

  6. В поле "Имя" введите имя, которое можно запомнить. По умолчанию будет указано имя веб-сайта, для которого создается CSR.

    Примечание.

    При создании CSR необходимо указать битовую длину. Битовая длина ключа шифрования определяет силу зашифрованного сертификата, который отправляется в сторонний ЦС. Чем выше длина бита, тем сильнее шифрование. Большинство сторонних ЦС предпочитают не менее 1024 битов.

  7. В разделе " Сведения о организации" введите сведения о организации и подразделении. Это должно быть точно, так как вы предоставляете эти учетные данные стороннему ЦС и должны соответствовать их лицензированию сертификата. Нажмите кнопку "Далее ", чтобы получить доступ к разделу "Общее имя " вашего сайта.

  8. Раздел общего имени сайта отвечает за привязку сертификата к веб-сайту. Для SSL-сертификатов введите имя компьютера узла с доменным именем. Для серверов интрасети можно использовать имя NetBIOS компьютера, на котором размещен сайт. Нажмите кнопку "Далее ", чтобы получить доступ к географической информации.

  9. Введите свою страну или регион, штат или провинцию, а также сведения о городе или регионе. Полностью выяснит ваше государство или провинцию и город или город или город. И не используйте аббревиаций. Выберите Далее.

  10. Сохраните файл в виде файла .txt.

  11. Подтвердите сведения о запросе. Нажмите кнопку "Далее ", чтобы завершить работу и выйти из мастера сертификатов веб-сервера.

Запрос сертификата

Существуют различные методы отправки запроса. Обратитесь к поставщику сертификатов, чтобы использовать метод и определить оптимальный уровень сертификата для ваших потребностей. В зависимости от метода, выбранного для отправки запроса в ЦС, можно отправить CSR-файл из шага 10 в разделе "Создать CSR " или вставить содержимое этого файла в запрос. Этот файл будет зашифрован и будет содержать верхний и нижний колонтитул для содержимого. При запросе сертификата необходимо включить как верхний, так и нижний колонтитул. CsR должен выглядеть следующим образом:

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

Установить сертификат

После завершения запроса на сертификат сервера сторонний ЦС вы получите его по электронной почте или сайту скачивания. Сертификат должен быть установлен на веб-сайте, на котором требуется обеспечить безопасный обмен данными.

Для установки сертификата выполните следующие действия:

  1. Скачайте или скопируйте сертификат, полученный из ЦС, на веб-сервер.
  2. Откройте MMC IIS, как описано в разделе "Создание CSR ".
  3. Откройте диалоговое окно "Свойства " для веб-сайта, на котором устанавливается сертификат.
  4. Перейдите на вкладку "Безопасность каталога" и выберите сертификат сервера. Откроется мастер сертификатов веб-сервера. Выберите Далее.
  5. Выберите " Обработать ожидающий запрос" и установите сертификат, а затем нажмите кнопку "Далее".
  6. Перейдите к расположению сертификата, сохраненного на шаге 1. Дважды нажмите кнопку "Далее ", а затем нажмите кнопку "Готово".

Принудительное применение SSL-подключений

Теперь, когда установлен сертификат сервера, вы можете принудительно применить обмен данными с защищенным каналом SSL с клиентами веб-сервера. Сначала необходимо включить порт 443 для безопасного взаимодействия с веб-сайтом. Для этого выполните следующие шаги.

  1. В консоли управления компьютером щелкните правой кнопкой мыши веб-сайт, на котором требуется применить SSL и выберите "Свойства".
  2. Перейдите на вкладку "Веб-сайт". В разделе идентификации веб-сайта убедитесь, что поле SSL-порта заполняется числовым значением 443.
  3. Выберите Дополнительно. Должно появиться два поля. IP-адрес и порт веб-сайта уже должны быть указаны в поле "Несколько удостоверений " для этого поля веб-сайта. В разделе " Несколько SSL-удостоверений " для этого веб-сайта выберите "Добавить ", если порт 443 еще не указан. Выберите IP-адрес сервера и введите числовое значение 443 в поле SSL-порта. Нажмите кнопку ОК.

Теперь, когда включен порт 443, можно применить SSL-подключения. Для этого выполните следующие шаги.

  1. Перейдите на вкладку "Безопасность каталога". В разделе "Безопасный обмен данными " теперь доступно изменение . Выберите Изменить.

  2. Выберите "Требовать безопасный канал ( SSL)".

    Примечание.

    Если указать 128-разрядное шифрование, клиенты, использующие 40-разрядную или 56-разрядную версию браузера, не смогут взаимодействовать с вашим сайтом, если они не обновляют их силу шифрования.

  3. Откройте браузер и попробуйте подключиться к веб-серверу с помощью стандартного протокола http:// . При принудительном применении SSL вы получите следующее сообщение об ошибке:

    Страница должна просматриваться по защищенному каналу
    Страница, которую вы пытаетесь просмотреть, требует использования https в адресе.
    Повторите попытку, введя https:// в начале адреса, к которым вы пытаетесь добраться. HTTP 403.4 — запрещено: протокол SSL требуется службы IIS
    Техническая информация (для сотрудников службы поддержки) Фон. Эта ошибка указывает, что страница, к которую вы пытаетесь получить доступ с помощью протокола SSL.

Теперь вы можете подключиться к веб-сайту только с помощью протокола https:// .