在執行 IIS 進行伺服器驗證的電腦上設定中繼憑證

本文說明如何在執行 IIS 進行伺服器驗證的計算機上設定中繼憑證。

原始產品版本： Internet Information Services
原始 KB 編號： 954755

摘要

當用戶端電腦嘗試建立伺服器驗證的安全套接字層 (SSL) 與 IIS Web 伺服器的連線時，它會驗證伺服器證書鏈結。 若要順利完成此憑證驗證，伺服器證書鏈結中的中繼憑證必須在伺服器上正確設定。 否則，伺服器驗證可能會失敗。 它也適用於使用 SSL 或傳輸層安全性 (TLS) 進行驗證的任何程式。

影響

用戶端電腦無法連線到執行 IIS 的伺服器。 因為伺服器未正確設定中繼憑證，所以用戶端計算機無法驗證這些伺服器。

建議您在伺服器上正確設定中繼憑證。

技術詳細資料

X.509 憑證驗證包含數個階段，包括憑證路徑探索和路徑驗證。

在憑證路徑探索過程中，必須找到中繼憑證，才能建置憑證路徑，直至受信任的跟證書。 中繼憑證有助於判斷憑證最終是否由有效的跟證書授權單位發行， (CA) 。 這些憑證可以從客戶端電腦上的快取或證書存儲取得。 伺服器也可以將資訊提供給客戶端電腦。

在 SSL 交涉中，伺服器證書會在用戶端上進行驗證。 在此情況下，伺服器會將憑證提供給用戶端計算機，以及用戶端計算機用來建置憑證路徑的中繼發行憑證。 除了跟證書以外，完整的憑證鏈結會傳送至客戶端電腦。

已設定伺服器驗證憑證的憑證鏈結是建置在本機計算機內容中。 如此一來，IIS 會決定它傳送給 TLS/SSL 用戶端的憑證集合。 若要正確設定中繼憑證，請將它們新增至伺服器本機計算機帳戶中的中繼 CA 證書存儲。

假設伺服器操作員會安裝 SSL 憑證以及相關的發行 CA 憑證。 當 SSL 憑證稍後更新時，伺服器操作員必須確保中繼發行憑證會同時更新。

設定中繼憑證

1. 開啟憑證 Microsoft Management Console (MMC) 嵌入式管理單元。 如果要執行這項操作，請依照下列步驟執行：
   1. 在命令提示字元中，輸入 Mmc.exe。
   2. 如果您不是以內建系統管理員身分執行程式，系統會提示您提供執行程序的許可權。 在 [Windows 安全性] 對話框中，按兩下 [允許]。
   3. 在 [ 檔案] 功能表上，選取 [ 新增/移除嵌入式管理單元]。
   4. 在 [ 新增或移除嵌入式 管理單元] 對話框中，選取 [可用的嵌入式管理單元] 清單中的 [ 憑證 ] 嵌入式管理單元 。 然後選取 [新增>確定]。
   5. 在 [ 憑證嵌入式 管理單元] 對話框中，選取 [ 計算機帳戶]，然後選取 [ 下一步]。
   6. 在 [ 選取計算機] 對話框中，選取 [ 完成]。
   7. 在 [ 新增或移除嵌入式 管理單元] 對話框中，選取 [ 確定]。
2. 若要新增中繼憑證，請遵循下列步驟：
   1. 在 [憑證 MMC] 嵌入式管理單元中，展開 [ 憑證]，以滑鼠右鍵按兩下 [ 中繼證書頒發機構單位]，指向 [ 所有工作]，然後選取 [ 匯入]。
   2. 在 [ 憑證匯入精靈] 中，選取 [ 下一步]。
   3. 在 [ 要匯入的檔案] 頁面的 [檔名] 方塊中，輸入您要匯入之憑證 的檔名 。 然後選取 [下一步]。
   4. 選取 [下一步]，然後完成 [ 憑證匯入精靈]。

參考資料

如需函式如何 CryptoAPI 建置憑證鏈結和驗證撤銷狀態的詳細資訊，請造訪 針對憑證狀態和撤銷進行疑難解答。