Dela via

Konfigurera mellanliggande certifikat på en dator som kör IIS för serverautentisering

  • Artikel

Den här artikeln beskriver hur du konfigurerar mellanliggande certifikat på en dator som kör IIS för serverautentisering.

Ursprunglig produktversion: Internet Information Services
Ursprungligt KB-nummer: 954755

Sammanfattning

När en klientdator försöker upprätta serverautentiserade SSL-anslutningar (Secure Sockets Layer) med en IIS-webbserver valideras servercertifikatkedjan. För att slutföra certifikatverifieringen måste mellanliggande certifikat i servercertifikatkedjan vara korrekt konfigurerade på servern. Annars kan serverautentiseringen misslyckas. Det gäller även alla program som använder SSL eller TLS (Transport Layer Security) för autentisering.

Påverkan

Klientdatorer kan inte ansluta till den server som kör IIS. Eftersom servrarna inte har de mellanliggande certifikaten korrekt konfigurerade kan klientdatorerna inte autentisera dessa servrar.

Vi rekommenderar att du konfigurerar mellanliggande certifikat på servern korrekt.

Teknisk information

X.509-certifikatverifiering består av flera faser, inklusive identifiering av certifikatsökväg och sökvägsverifiering.

Som en del av identifieringen av certifikatsökvägen måste mellanliggande certifikat finnas för att skapa certifikatsökvägen till ett betrott rotcertifikat. Ett mellanliggande certifikat är användbart för att avgöra om ett certifikat slutligen utfärdades av en giltig rotcertifikatutfärdare (CA). Dessa certifikat kan hämtas från cacheminnet eller certifikatarkivet på klientdatorn. Servrar kan också tillhandahålla information till klientdatorn.

I SSL-förhandlingen verifieras servercertifikatet på klienten. I det här fallet tillhandahåller servern certifikaten till klientdatorn, tillsammans med de mellanliggande utfärdande certifikat som klientdatorn använder för att skapa certifikatsökvägen. Den fullständiga certifikatkedjan, förutom rotcertifikatet, skickas till klientdatorn.

En certifikatkedja för ett konfigurerat serverautentiseringscertifikat skapas i den lokala datorkontexten. På så sätt avgör IIS den uppsättning certifikat som den skickar till klienter för TLS/SSL. Om du vill konfigurera mellanliggande certifikat på rätt sätt lägger du till dem i det mellanliggande CA-certifikatarkivet på det lokala datorkontot på servern.

Anta att en serveroperatör installerar ett SSL-certifikat tillsammans med relevanta utfärdande CA-certifikat. När SSL-certifikatet förnyas senare måste serveroperatören se till att de mellanliggande utfärdande certifikaten uppdateras samtidigt.

Konfigurera mellanliggande certifikat

  1. Öppna snapin-modulen Certificates Microsoft Management Console (MMC). Följ dessa steg för att göra detta:
    1. Skriv Mmc.exei en kommandotolk.
    2. Om du inte kör programmet som inbyggd administratör uppmanas du att ange behörighet att köra programmet. I dialogrutan Windows-säkerhet klickar du på Tillåt.
    3. Arkiv-menyn väljer du Lägg till/ta bort snapin-modul.
    4. I dialogrutan Lägg till eller ta bort snapin-moduler väljer du snapin-modulen Certifikat i listan Tillgängliga snapin-moduler . Välj sedan Lägg till>OK.
    5. I dialogrutan Snapin-modul för certifikat väljer du Datorkonto och sedan Nästa.
    6. I dialogrutan Välj dator väljer du Slutför.
    7. I dialogrutan Lägg till eller ta bort snapin-moduler väljer du OK.
  2. Följ dessa steg för att lägga till ett mellanliggande certifikat:
    1. I MMC-snapin-modulen Certifikat expanderar du Certifikat, högerklickarMellanliggande certifikatutfärdare, pekar på Alla uppgifter och väljer sedan Importera.
    2. I guiden Importera certifikat väljer du Nästa.
    3. På sidan Fil att importera skriver du filnamnet för det certifikat som du vill importera i rutan Filnamn . Välj sedan Nästa.
    4. Välj Nästa och slutför sedan guiden Importera certifikat.

Referenser

Mer information om hur CryptoAPI funktionen skapar certifikatkedjor och validerar återkallningsstatus finns i Felsöka certifikatstatus och återkallande.