本文介绍如何在运行 IIS 进行服务器身份验证的计算机上配置中间证书。
原始产品版本: Internet Information Services
原始 KB 数: 954755
总结
当客户端计算机尝试与 IIS Web 服务器建立经过服务器身份验证的安全套接字层(SSL)连接时,它会验证服务器证书链。 若要成功完成此证书验证,必须在服务器上正确配置服务器证书链中的中间证书。 否则,服务器身份验证可能会失败。 它还适用于使用 SSL 或传输层安全性(TLS)进行身份验证的任何程序。
影响
客户端计算机无法连接到运行 IIS 的服务器。 由于服务器未正确配置中间证书,因此客户端计算机无法对这些服务器进行身份验证。
建议在服务器上正确配置中间证书。
技术详细信息
X.509 证书验证包括几个阶段,包括证书路径发现和路径验证。
作为证书路径发现的一部分,中间证书必须位于此位置,才能将证书路径生成到受信任的根证书。 中间证书可用于确定证书最终是否由有效的根证书颁发机构 (CA) 颁发。 可以从缓存或客户端计算机上的证书存储中获取这些证书。 服务器还可以向客户端计算机提供信息。
在 SSL 协商中,在客户端上验证服务器证书。 在这种情况下,服务器向客户端计算机提供证书,以及客户端计算机用于生成证书路径的中间颁发证书。 完整的证书链(根证书除外)将发送到客户端计算机。
配置的服务器身份验证证书的证书链内置在本地计算机上下文中。 通过这种方式,IIS 确定它发送到 TLS/SSL 客户端的证书集。 若要正确配置中间证书,请将它们添加到服务器上的本地计算机帐户中的中间 CA 证书存储中。
假设服务器操作员将 SSL 证书与相关的颁发 CA 证书一起安装。 稍后续订 SSL 证书时,服务器操作员必须确保同时更新中间颁发证书。
配置中间证书
- 打开“证书”Microsoft管理控制台(MMC)管理单元。 为此,请执行以下步骤:
- 在命令提示符处,键入 Mmc.exe。
- 如果未以内置管理员身份运行程序,系统会提示你有权运行程序。 在Windows 安全对话框中,单击“允许”。
- 在“文件”菜单中,选择“添加/删除管理单元”。
- 在“添加或删除管理单元”对话框中,选择“可用管理单元”列表中的“证书”管理单元。 然后选择“ 添加>确定”。
- 在 “证书” 管理单元对话框中,选择“ 计算机帐户”,然后选择“ 下一步”。
- 在 “选择计算机 ”对话框中,选择“ 完成”。
- 在“添加/删除管理单元”对话框中,选择“确定” 。
- 若要添加中间证书,请执行以下步骤:
- 在“证书 MMC”管理单元中,展开 “证书”,右键单击“ 中间证书颁发机构”,指向 “所有任务”,然后选择“ 导入”。
- 在 “证书导入向导”中,选择“ 下一步”。
- 在“ 要导入 的文件”页中,在“文件名”框中键入要导入 的证书的文件名 。 然后选择下一步。
- 选择“下一步”,然后完成证书导入向导。
参考
有关函数如何 CryptoAPI 生成证书链并验证吊销状态的详细信息,请访问 证书状态和吊销故障排除。