在執行 IIS 以進行伺服器驗證的電腦上設定中繼憑證

本文說明如何在執行 IIS 的電腦上設定中繼憑證以進行伺服器驗證。

原始產品版本：網際網路資訊服務
原始 KB 編號： 954755

摘要

當用戶端電腦嘗試與 IIS 網頁伺服器建立伺服器驗證的安全套接字層 （SSL） 連線時，它會驗證伺服器證書鏈結。 若要順利完成此憑證驗證，必須在伺服器上正確設定伺服器證書鏈結中的中繼憑證。 否則，伺服器驗證可能會失敗。 它也適用於任何使用 SSL 或傳輸層安全性 （TLS） 進行驗證的程式。

影響

用戶端電腦無法連線到執行 IIS 的伺服器。 由於伺服器未正確設定中繼憑證，用戶端計算機無法驗證這些伺服器。

建議您在伺服器上正確設定中繼憑證。

技術詳細資料

X.509 憑證驗證包含數個階段，包括憑證路徑探索和路徑驗證。

在憑證路徑探索中，中繼憑證必須位於 ，才能建置憑證路徑至受信任的跟證書。 中繼憑證有助於判斷憑證最終是否由有效的跟證書授權單位 （CA） 簽發。 這些憑證可以從客戶端電腦上的快取或證書存儲取得。 伺服器也可以將資訊提供給客戶端電腦。

在 SSL 交涉中，伺服器證書會在用戶端上驗證。 在此情況下，伺服器會將憑證提供給用戶端計算機，以及用戶端計算機用來建置憑證路徑的中繼發行憑證。 除了跟證書之外，完整的憑證鏈結會傳送至客戶端電腦。

已設定伺服器驗證憑證的憑證鏈結建在本機計算機內容中。 如此一來，IIS 會決定它針對 TLS/SSL 傳送給客戶端的憑證集。 若要正確設定中繼憑證，請將它們新增至伺服器上的本機計算機帳戶中的中繼 CA 證書存儲。

假設伺服器操作員會與相關的發行 CA 憑證一起安裝 SSL 憑證。 稍後更新 SSL 憑證時，伺服器操作員必須確保中繼發行憑證同時更新。

設定中繼憑證

1. 開啟 [憑證] Microsoft管理控制台 （MMC） 嵌入式管理單元。 若要這樣做，請遵循下列步驟：
   1. 在命令提示字元中，輸入 Mmc.exe。
   2. 如果您未以內建系統管理員身分執行程式，系統會提示您提供執行程序的許可權。 在 [Windows 安全性] 對話框中，按兩下 [允許]。
   3. 在檔案功能表上，選取新增/移除嵌入式管理單元。
   4. 在 [新增或移除嵌入式管理單元] 對話框中，選取 [可用的嵌入式管理單元] 清單中的 [憑證] 嵌入式管理單元。 然後選取 [新增>確定]。
   5. 在 [ 憑證嵌入式 管理單元] 對話框中，選取 [ 計算機帳戶]，然後選取 [ 下一步]。
   6. 在 [ 選取計算機 ] 對話框中，選取 [ 完成]。
   7. 在 [新增或移除嵌入式管理單元] 對話方塊中，選取 [確定]。
2. 若要新增中繼憑證，請遵循下列步驟：
   1. 在 [憑證 MMC] 嵌入式管理單元中，展開 [憑證]，以滑鼠右鍵按兩下 [中繼證書頒發機構單位]，指向 [所有工作]，然後選取 [匯入]。
   2. 在 [ 憑證匯入精靈] 中，選取 [ 下一步]。
   3. 在 [ 要匯 入的檔案] 頁面中，在 [檔名] 方塊中 輸入您要匯入之憑證的檔名 。 然後選取下一步。
   4. 選取 [ 下一步]，然後完成 [憑證匯入 精靈]。

參考資料

如需函式如何 CryptoAPI 建置憑證鏈結及驗證撤銷狀態的詳細資訊，請參閱 針對憑證狀態和撤銷進行疑難解答。