Iis использование списка доверенных сертификатов


Содержание

Iis использование списка доверенных сертификатов

Назначение: Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Vista

Если следует использовать службу каталогов Active Directory для проверки подлинности пользователей домена, имеющих клиентские сертификаты, настройте сопоставление сертификатов в службе каталогов Active Directory. Если используется сопоставление сертификатов в службе каталогов Active Directory, невозможно использовать сопоставление сертификатов в службах IIS.

Прежде чем выполнить эту процедуру, убедитесь, что выполнены следующие задачи:

    Установите и настройте контроллер домена. Дополнительные сведения см. в статье Using the Active Directory Installation Wizard на веб-сайте Microsoft Windows TechCenter.

Настройте центр сертификации для этого домена. Дополнительные сведения см. в статье Set Up a Certification Authority на веб-сайте Microsoft Windows TechCenter.

Отправьте запрос пользователя на сертификат в центр сертификации домена. Дополнительные сведения см. в статье, посвященной Submit a user certificate request by way of the Web to a Windows Server CA на веб-сайте Microsoft Windows TechCenter.

Настройте протокол SSL для веб-сайта, приложения, виртуального или физического каталога или файла (URL-адрес). Дополнительные сведения см. в разделе Настройка протокола SSL в IIS 7.

Сопоставьте сертификат с учетной записью пользователя. Дополнительные сведения см. в статье Map a certificate to a user account на веб-сайте Microsoft Windows TechCenter.

Важно
Сопоставление сертификатов в службе каталогов Active Directory не может быть использовано для самозаверенных сертификатов. Необходимо использовать или сертификат домена, или сертификат сети Интернет.

Предварительные требования

Сведения об уровнях, на которых можно выполнить эту процедуру, а также о модулях, обработчиках и разрешениях, требуемых для выполнения этой процедуры, см. в разделе Требования к функциям сертификатов серверов (IIS 7).

Исключения из требований

Модули

Сопоставление клиентских сертификатов с помощью сопоставления Active Directory

Эту процедуру можно выполнить с помощью пользовательского интерфейса, путем прямого изменения файлов конфигурации или посредством написания сценариев WMI.

Пользовательский интерфейс

Чтобы использовать пользовательский интерфейс

Откройте Диспетчер IIS и перейдите на уровень сервера. Сведения об открытии Диспетчер IIS см. в разделе Открытие диспетчера IIS (IIS 7). Сведения об изменении местоположения с помощью пользовательского интерфейса см. в разделе Перемещение в диспетчере IIS (IIS 7).

В представлении Просмотр возможностей дважды щелкните пункт Проверка подлинности.

На странице Проверка подлинности отключите любые включенные методы проверки подлинности.

Выберите в списке Проверка подлинности клиента Active Directory с помощью сертификата и выберите команду Включить на панели Действия.

Командная строка

Настройка конфигурации

Процедура, приведенная в этом разделе, влияет на следующие элементы конфигурации:

Дополнительные сведения о конфигурации IIS 7 см. на странице IIS 7.0: схема настроек IIS (возможно, на английском языке) на веб-сайте MSDN.

Чтобы выполнить эту процедуру, используйте следующие классы, методы или свойства WMI:

    Класс ClientCertificateMappingAuthenticationSection

Свойство SSLBinding.SSLUseDsMapper

Свойство AccessSection.SSLFlags

Свойство AuthenticationSection.Mode (задает проверку подлинности Windows)

Дополнительные сведения о WMI и службах IIS см. в разделе Инструментарий управления Windows (WMI) в IIS 7. Дополнительные сведения о классах, методах и свойствах, связанных с этой процедурой, см. на странице Справочные сведения по поставщику IIS WMI (возможно, на английском языке) на веб-сайте MSDN.

Установка бесплатного TLS/SSL сертификата Let’s Encrypt в IIS в Windows Server 2020/2012 R2

В этом обзоре мы расскажем об особенностях установки и привязки бесплатного TLS/SSL сертификата от Let’s Encrypt для сайта на веб сервере IIS, запущенного на Windows Server 2020/2020/2012 R2.

Let’s Encrypt и ACME клиенты для Windows

Наличие TLS/SSL сертификата у сайта позволяет защитить данные пользователей, передаваемые по сети от атак человек-посередине (man-in-the-middle) и гарантировать целостность переданных данных. Некоммерческий центр сертификации Let’s Encrypt позволяет в автоматическом режиме через API выпускать бесплатные криптографические TLS сертификаты X.509 для шифрования (HTTPS) . Выдаются только сертификаты для валидации доменов (domain validation), со сроком действия 90 дней (есть ограничение – 50 сертификатов для одного домена в неделю). Но вы можете автоматически перевыпускать SSL сертификат для своего сайта по расписанию.

API интерфейс, позволяющий автоматически выпускать сертификаты называется Automated Certificate Management Environment (ACME) API. Для Windows систем на данный момент имеется 3 самых популярных реализации клиента ACME API:

  • Утилита WindowsACMESimple(WACS) – утилита командной строки для интерактивного выпуска сертификата и привязки его к определенному сайту на вашем веб сервере IIS;
  • Модуль PowershellACMESharp – библиотека Powershell с множеством команд для взаимодействия через ACME API с серверами Let’s Encrypt;
  • Certify – графический менеджер SSL сертификатов для Windows, позволяет интерактивно управления сертификатами через ACME API.


Клиент WACS для установки TLS сертификата Let’s Encrypt в IIS на Windows Server

Самый простой способ получить SSL сертификат от Let’s Encrypt — воспользоваться консольной утилитой Windows ACME Simple (WACS) (ранее проект назывался LetsEncrypt-Win-Simple). Она представляет собой простой мастер, который позволяет выбрать один из сайтов, запущенных на IIS, и автоматически выпустить и привязать к нему SSL сертификат.

Итак, предположим у нас имеется веб сайт на IIS, развёрнутый под управлением Windows Server 2020. Наша задача, переключить его в HTTPS режим, установив SSL сертификат от Let’s Encrypt.

Скачайте последний релиз клиента WACS со страницы проекта на GitHub https://github.com/PKISharp/win-acme/releases (в моем случае это версия v2.0.10 – файл win-acme.v2.0.10.444.zip).

Распакуйте архив в каталог на сервере с IIS: c:\inetpub\letsencrypt

Откройте командную строку с правами администратора, перейдите в каталог c:\inetpub\ letsencrypt и запустите wacs.exe.

Запустится интерактивный мастер генерации сертификата Let’s Encrypt и привязки его к сайту IIS. Чтобы быстро создать новый сертификат выберите N: — Create new certificates (simple for IIS).

Затем нужно выбрать тип сертификата. В нашем примере нет необходимости использовать сертификат с псевдонимами (несколькими SAN — Subject Alternative Name), поэтому достаточно выбрать пункт 1. Single binding of an IIS site. Если вам нужен Wildcard-сертификат, выберите опцию 3.

Далее утилита выведет список сайтов, запущенных на сервере IIS и предложит выбрать сайт, для которого нужно создать и привязать новый SSL сертификат.

Укажите ваш email, на который будут отправляться уведомления о проблемах с обновлением сертификата сайта и другие о повешения (можно указать несколько email через запятую). Осталось согласится с условиями использования и Windows ACME Simple подключится к серверам Let’s Encrypt и попытается автоматически сгенерировать новый SSL сертификат для вашего сайта.

Процесс генерации и установки SSL сертификата Let’s Encrypt для IIS полностью автоматизирован.

По умолчанию выполняется валидация домена в режиме http-01 validation (SelfHosting). Для этого нужно, чтобы в DNS домена имелась запись, указывающая на ваш веб сервера. При запуске WACS в ручном режиме можно выбрать валидацию типа — 4 [http-01] Create temporary application in IIS (recommended). В этом случае на веб-сервере IIS будет создано небольшое приложение, через которое сервера Let’s Encrypt смогут провести валидацию.

Утилита WACS сохраняет закрытый ключ сертификата (*.pem), сам сертфикат и ряд других файлов в каталог C:\Users\%username%\AppData\Roaming\letsencrypt-win-simple. Затем она в фоновом режиме установит сгенерированный SSL сертификат Let’s Encrypt и привяжет его к вашему сайту IIS. Если на сайте уже установлен SSL сертификат (например, самоподписанный), он будет заменен новым.

В IIS Manager откройте меню Site Binding для вашего сайта и убедитесь, что для него используется сертификат, выданный Let’s Encrypt Authority X3.

В хранилище сертификатов компьютера сертификат Let’s Encrypt для IIS вы можете найти в разделе Web Hosting -> Certificates.

Windows ACME Simple создает новое правило в планировщике заданий Windows (win-acme-renew (acme-v02.api.letsencrypt.org)) для автоматического продления сертификата. Задание запускается каждый день, продление сертификата выполняется через 60 дней. Планировщик запускает команду:

C:\inetpub\letsencrypt\wacs.exe —renew —baseuri «https://acme-v02.api.letsencrypt.org»

Эту же команду вы можете использовать для ручного обновления сертфиката.

Перенаправление трафика IIS сайта с HTTP на HTTPS адрес

Чтобы перенаправить весь входящий HTTP трафик на HTTPS сайт, нужно установить модуль Microsoft URL Rewrite Module (https://www.iis.net/downloads/microsoft/url-rewrite), и убедиться, что в настройках сайта не включена опция обязательного использования SSL (Require SSL). Осталось настроить редирект в файле web.config:

Также вы можете настроить перенаправление трафика через URL Rewrite через графический интерфейс IIS Manager. Выберите Sites -> yoursitename -> URL Rewrite.

Создайте новое правило Add Rule -> Blank rule.

Укажите имя правила и измените значения параметров:

  • Requested URL -> Matches the Pattern
  • Using -> Regular Expressions
  • Pattern -> (.*)

В блоке Conditions измените Logical Grouping -> Match All и нажмите Add. Укажите

  • Condition input ->
  • Check if input string -> Matches the Pattern
  • Pattern -> ^OFF$

Теперь в блоке Action выберите:

  • Action Type -> Redirect
  • Redirect URL -> https:///
  • Redirect type -> Permanent (301)

Откройте браузер и попробуйте открыть ваш сайт по HTTP адресу, вас должно автоматически перенаправить на HTTPS URL.

Отметим, что сертификаты Let’s Encrypt в настоящий момент широко используются на сайтах многих крупных компаний и им доверяют все браузеры. Надеюсь, что судьба бесплатного центра сертификации Let’s Encrypt не постигнет участь WoSign и StartCom.

Как создать самоподписанный сертификат на IIS 7

SSL является важной частью обеспечения безопасности вашего IIS 7.0 сайта, и ее гораздо легче обеспечить, чем в предыдущих версиях IIS. SSL сертификаты позволяют шифрованить весь трафик, которым обмениваются с вашего IIS сайта , предотвращая других от просмотра конфиденциальной информации. Он использует криптографию с открытым ключом для установления защищенного соединения. Это означает, что все зашифрованные с помощью открытого ключа (сертификат SSL) данные могут быть расшифрованы только при помощи закрытого ключа и наоборот.

Когда следует использовать на IIS самоподписанный сертификат

Никогда не используйте самоподписанный сертификат для сайтов электронной коммерции, или любых других, которые передают ценные личные данные, такие как номера кредитных карт, номера социального страхования и т.д.

Сертификат SSL необходим не только для распространения открытых ключей: если он будет подписан доверенной третьей стороны, он проверяет подлинность сервера, так что клиенты знают, что они не отдают информацию (зашифрованную или нет), не тому человеку. Так что же такое самоподписанный сертификат? Это сертификат, который подписан самостоятельно, а не доверенной третьей стороной. Разве это не плохо? В большинстве случаев, да. Вы почти никогда не захотите использовать самоподписанный сертификат на публичном IIS-сервере, который требует соединения анонимных посетителей с вашим сайтом, потому что они могут легко стать жертвой атаки «человек в середине». Однако, самоподписанные сертификаты имеют свое место:

  • Самоподписанные сертификаты могут быть использованы на сервере разработки IIS. Нету необходимости тратить дополнительные деньги на покупку доверенного сертификата, когда вы только разрабатываете и тестируете приложения.
  • Самоподписанные сертификаты могут быть использованы в интрасети. Когда клиенты должны только пройти через локальную интрасеть, чтобы добраться до сервера, практически нету шансов на атаку «человек в середине».
  • Самоподписанные сертификаты могут быть использованы на личных сайтах с малым количеством посетителей. Если у вас есть небольшой персональный сайт, через который проходит нечувствительная информация, существует очень мало стимулов для кого-то атаковать соединение.

Просто имейте в виду, что посетители будут видеть предупреждение в своих браузерах (как на картинке ниже) при подключении к сайту на Apache, который использует самоподписанный сертификат, пока он не будет постоянно храниться в хранилище сертификатов. Вы никогда не должны использовать самоподписанный сертификат для подписания сайта электронной коммерции, или любой сайт, который передает ценные личные данные, такие как данные кредитных карт, номера социального страхования и т.д.

Создайте ваш самоподписанный сертификат

1. Нажмите на меню «Пуск», перейдите к Administrative Tools и нажмите на Internet Information Services (IIS) Manager.

2. Нажмите на имя сервера в колонке подключений слева. Дважды щелкните на сертификатах сервера.

3. В столбце Действия справа, нажмите на ссылку Создать самоподписанный сертификат…

4. Введите подходящее имя и нажмите ОК.


5. Теперь у вас есть самоподписанный сертификат сроком на 1 год. Далее требуется привязать его к вашему IIS серверу.

Привязка самоподписанного сертификата

1. В колонке подключений слева, раскройте папку сайтов и нажмите на сайт, с которым вы хотите связать сертификат. Нажмите на связывание в правой колонке.

2. Нажмите на кнопку Добавить.

3. Измените тип на https и далее выберите сертификат, который вы только что установили, после – нажмите ОК.

4. Теперь вы увидете связку с портом 443 в списке. Нажмите Закрыть.

5. Теперь давайте проверим самоподписанный сертификат IIS перейдя на сайт с HTTPS в нашем браузере (например, HTTPS: / / site1.mydomain.com). Когда вы это делаете, вы должны увидеть следующее предупреждение о том, что «Сертификат безопасности этого сайта был издан для отличного от данного адреса сайта» (ошибка несовпадение имени).

Это отображается потому что IIS всегда использует имя сервера (в данном случае WIN-PABODPHV6W3) как общее имя, когда он создает самоподписанный сертификат. Как правило, оно не соответствует имени хоста, который вы используете для входа на сайт в вашем браузере (site1.mydomain.com). Для многих ситуаций, когда IIS использует самоподписанные сертификаты, это не проблема. Просто нажмайте кнопку «Продолжить открытие этого веб-сайта» каждый раз. Однако, если вы хотите полностью избавиться от сообщения об ошибке, вы должны следовать следующим двум шагам ниже.

Сформируйте самоподписанный сертификат с корректным именем

Этот шаг необходим только если вы хотите избавиться от предупреждающего сообщения, что название самоподписанного сертификата не совпадает с именем хоста сайта. Для того, чтобы решить эту проблему, мы должны создать самоподписанный сертификат, используя тот же метод, который используется для создания самоподписанного сертификата в IIS 6.0 (с SelfSSL, а не через IIS).

1. Скачайте Internet Information Services (IIS) 6.0 Resource Kit Tools и установите SelfSSL 1,0 (если вы делаете выборочную установку, вы можете снять все, за исключением SelfSSL). После установки, зайдите в меню Пуск, перейдите к IIS ресурсам, далее к SelfSSL, и запустить SelfSSL.

2. Вставьте в следующую команду замену site1.mydomain.com на имя хоста вашего сайта IIS. Если вы получаете erorr «Ошибка при открытии метабазы: 0×80040154″, просто игнорируйте ее. Мы будем вручную привязывать сертификат к сайту.
SelfSSL / N: CN = site1.mydomain.com / V: 1000

3. После завершения работы команды, вы будете иметь самоподписанный сертификат IIS с правильным именем, указанным в разделе Сертификаты сервера IIS. Теперь следуйте инструкциям выше, чтобы связать сертификат с вашим IIS сайтом.

Сертификаты ssl исчезают IIS

Я пытаюсь импортировать сертификат в IIS. Все в порядке на консоли MMC (Windows Console). Я закончил волшебников и, кажется, все в порядке. Но когда я обновляю список сертификатов или перехожу на другой экран IIS, сертификат исчезает из списка.

У меня нет идеи, в чем проблема. Что я могу сделать?

10 ответов

Эта проблема возникает, когда импортированный сертификат не имеет связанного с ним закрытого ключа. Если кто-то пытается импортировать сертификат уровня домена в IIS, мы не можем импортировать, если сертификат не имеет связанного с ним закрытого ключа и приведет к исчезновению сертификата при обновлении.

Решение заключалось бы в том, чтобы импортировать файл .CER в вашу систему (откуда запрашивается сертификат) и хранить его с помощью закрытого ключа. Затем скопируйте файл .pfx на требуемый сервер и импортируйте его из опции сертификата сервера в IIS. Это устранит проблему.

У меня была и эта проблема, и разрешил ее с помощью OpenSSL, чтобы создать правильный .pfx-файл. Инструкции для этого можно найти здесь

У меня была эта проблема несколько раз. Если вы используете NetworkSolutions SSL, исправление:

  1. Перейдите в диспетчер сертификатов MMC.
  2. Просмотр личных сертификатов и удаление сертификата «Исчезновение».
  3. Затем просмотрите «Запросы на регистрацию сертификатов» и щелкните правой кнопкой мыши для экспорта.
  4. Выберите «Да, экспортируйте с закрытым ключом.

Это позволит вам экспортировать файл .pfx, который можно импортировать из диспетчера IIS 7. Не забудьте вернуться в диспетчер сертификатов MMC и выбрать «Персональные сертификаты», а в свойствах добавить «Дружественное имя» обратно, чтобы он отображался в диспетчере IIS.

Если сервер не имеет закрытого ключа, связанного с импортированным сертификатом, сертификат исчезает при обновлении (а также он не будет доступен для привязок).

Вы можете проверить в файле mmc — Certificates — Personal и подтвердить, что сертификат был установлен, но отсутствует личный ключ.

Если у вас есть PFX (закрытый ключ) и пароль, вы можете импортировать его (как и другие), но если вы просто сделали запрос на сертификат, вероятно, у вас его не будет.

Предположим, что вы находитесь на правильном сервере (то же самое, где вы запросили сертификат), , вероятно, закрытый ключ каким-то образом был поврежден . Вы можете открыть открытый сертификат, получить серийный номер и попробовать восстановить закрытый ключ из хранилища ключей , как описано здесь .

Используйте диспетчер сертификатов для импорта файла. Оттуда попробуйте экспортировать. Если вы не можете экспортировать файл PFX, я считаю, что это означает, что в сертификате нет закрытого ключа. Возможно, вы загрузили неправильный код из своего центра сертификации. Теперь я имею дело с нашим ЦС, поэтому я не уверен на 100% об этом.

Итак, после борьбы с этим в течение нескольких часов, перераспределяя время ожидания сертификата на телефоне с технической поддержкой и глядя на каждый блог, который я мог найти, я был в тупике. Я попробовал повторно отправить запрос сертификата для восстановления сертификата (не повезло). С последним усилием канавы я восстановил запрос сертификата и повторно нажал сертификат, и теперь он отлично работает. Я не знаю, что произошло, и я очень осторожно вписывал свои данные в оба раза. Моим решением было просто создать новый запрос и повторно установить сертификат.

У меня такая же проблема с сертификатом IIS (w /private key, .pfx) после импорта в узел MMC Local /Personal /Certificate на машине Windows Server 2008R2.

Сертификат импортирует штраф, говорит, что это хорошо с CA, что тоже хорошо. Затем я могу настроить свой прокси-сервер (TMG 2010) для использования сертификата в веб-прослушивателе. Все отлично работает, и слушатель сети и последующие правила, которые используют слушателя, все работают нормально.

По прошествии некоторого времени я еще не пытался это сделать, сертификат исчезает с узла MMC L /P /C. Мой прослушиватель TMG по-прежнему показывает, что сертификат является тем, который он настроил для использования, но фактический сертификат исчез.

Как сказал Сандип, IIS удаляет ваш сертификат, если у него нет закрытого ключа. Это часто возникает, если вы используете IIS для создания запроса сертификата от CA. У вашего CA нет вашего закрытого ключа (вы делаете), поэтому файл не содержит закрытый ключ. Он — точные шаги, которые вам нужно сделать:

Первоначально был создан запрос сертификата из IIS на вашем сервере. Вы отправили файл TXT запроса в свой центр сертификации, чтобы они могли создать сертификат для вас.

Ваш центр сертификации отправил вам файл .CRT На том же Windows Server, который вы использовали для создания запроса сертификата, В проводнике Windows щелкните правой кнопкой мыши на файле .CRT, на который отправлен ваш центр сертификации.

Выберите «Установить сертификат» Мастер импорта сертификатов запускает

В Мастере импорта сертификатов в области «Место хранения» выберите «Локальный компьютер»

Далее Выберите «Разместить все сертификаты» в следующем хранилище и выберите «Доверенные корневые центры сертификации»

OK Это приводит к тому, что Windows импортирует сертификат в Windows (а не в IIS). Теперь вам нужно получить файл PFX, содержащий закрытый ключ:

Файл — добавление /удаление оснастки .

Сертификаты (локальный компьютер)

От сертификатов (локальный компьютер) — расширенная доверенная корневая сертификация

Папка с полномочиями

Обратите внимание, что он отображает «У вас есть закрытый ключ, соответствующий этому сертификату».

Щелкните правой кнопкой мыши на сертификате.


На странице «Экспорт секретного ключа» мастера выберите «Да, экспортируйте закрытый ключ»

Мастер экспорта сертификатов предлагает вам — Экспорт формата файла PKCS # 12 (.PFX)

Мастер экспорта сертификатов требует, чтобы вы защищали файл паролем:

Введите пароль для защиты файла.

Перейдите к местоположению и укажите имя файла. Файл будет иметь расширение .PFX.

Затем откройте IIS 7

Выберите сервер IIS в левой панели (Подключения)

Нажмите «Открыть сертификаты сервера» в представлении «Возможности»

С правой стороны панели «Действия» нажмите «Импорт . »

Выберите экспортированный файл PFX

Укажите пароль, который вы использовали для его защиты

У меня была такая же проблема сегодня утром, когда я смог добавить сертификат, но как только я нажму «обновить», он исчез. Вот как я это решил -:

Для установки ssl cert в dev используйте следующие шаги: Используйте файл .pfx. Из вашего окна dev перейдите в «Административный инструмент»> IIS manager-> Серверные сертификаты. Нажмите «Импорт» справа. Перейдите к загруженному файлу .pfx, используйте пароль Обязательно установите флажок «Разрешить экспорт этого сертификата» в противном случае, если позже вы получите ошибку привязки. Перейдите на сайты, найдите свой сайт, нажмите привязки и отредактируйте https, чтобы использовать новый сертификат ssl.

Решение Ника Олсена работало для меня (сертификат RapidSSL), и я буду включать точные шаги здесь (есть несколько ссылок, один из них разбит):

    Установите OpenSSL из здесь

Создайте следующие файлы в каталоге установки OpenSSL (по умолчанию: C: \ OpenSSL-Win32 \ bin):

  • privatekey.txt — копирование и вставка содержимого закрытого ключа
  • certificate.txt — Скопируйте и вставьте текст раздела сертификата
  • intermediate.txt — Скопируйте и вставьте текст в промежуточном разделе (необязательный шаг)

Создайте файл .pfx, используя следующую команду

Импортируйте файл в сертификаты сервера (IIS)

Iis использование списка доверенных сертификатов

Здравстуйте, прочитав много информации в интернете и на данном форуме по установке авторизации к сайту на IIS по САМОЗАВЕРЕННОМУ СЕРТИФИКАТУ все равно не могу решить проблему с ошибкой:

Ошибка HTTP 403.7 — Forbidden

Страница, к которой вы пытаетесь обратиться, требует, чтобы веб-браузер имел SSL-сертификат клиента, признаваемый веб-сервером.

Делаю это я на компьютере под управлением Windows server 2008 r2 на IIS!

1. Установил IIS и опубликовал на нем сайт по http(все открывается и работает).

2. В Диспетчере служб IIS создал САМОЗАВЕРЕННЫЙ СЕРТИФИКАТ, и выгрузил его к себе на флешку.

3. В Диспетчере служб IIS на сайте изменил привязку с Http(порт 80) на HTTPS(порт 443) и указал созданный мной сертификат.

4. В Диспетчере служб IIS в настройках самого сайта изменил Параметры SSL — поставил галку Требовать SSL и там же выбрал Требовать сертификаты клиента.

5. Перезагрузил Сервер.

6. Попробовал зайти на сайт с самого сервера по адресу https://localhost/. Выдал — Ошибка HTTP 403.7 — Forbidden(хотя наверно уже должно заходить т.к. сертификат автоматом устанавливается на комп где он создается)

7. Беру флешку с сертификатом и устанавливаю сертификат на другой комп(устанавливаю Доверенные корневые центры сертификации (в Личные тоже пробовал)).

8. С клиентского компа захожу https://server/ — Выдает 403 — запрещено. Доступ запрещен.

Задача я думаю не сложная для людей которые уже это делали. Помогите пожалуйста.. Чтоже нужно сделать чтоб все заработало?

Все ответы

Может подтолкнет Вас на мысль.

Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку «Предложить как ответ» или «Проголосовать за полезное сообщение»

Вот как в данной инструкции описано так и делаю, только в пункте 2 в инструкции делают импорт сертификата(неизвестно откуда взятого), а я там же только создаю самозаверенный сертификат(который потом экспортирую и устанавливаю на клиентский комп).. А инструкция подробная, хорошая .. но только не работает все равно..(((

Вот как в данной инструкции описано так и делаю, только в пункте 2 в инструкции делают импорт сертификата(неизвестно откуда взятого), а я там же только создаю самозаверенный сертификат(который потом экспортирую и устанавливаю на клиентский комп).. А инструкция подробная, хорошая .. но только не работает все равно..(((

Вы про этот пункт?

Import the CA root certificate to Trusted Root Certification Authorities and server certificate to Personal folder

Это импорт корневого сертификата. В Вашем случае Ваш сертификат нужно положить в соответствующую папку.

Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку «Предложить как ответ» или «Проголосовать за полезное сообщение»

Я про пункт — 2. Import the server certificate as below. Но теперь посмотрел внимательней и появился вопрос!))


Import the CA root certificate to Trusted Root Certification Authorities and server certificate to Personal folder — Импортируйте Корневой сертификат в Доверенные корневые центры сертификации и сертификат сервера в Личные.

Когда я создаю самозаверенный сертификат в диспетчере IIS он является сертификатом сервера да? Какой же сертификат тогда является Корневым сертификатом?

Возможно инструкция которую вы предложили связана с центром сертификации и там два сертификата выпускаются? Я пользовался вот какой инструкцией — http://weblogs.asp.net/scottgu/archive/2007/04/06/tip-trick-enabling-ssl-on-iis7-using-self-signed-certificates.aspx Может во втором сертификате «собака зарыта»))?

Я про пункт — 2. Import the server certificate as below. Но теперь посмотрел внимательней и появился вопрос!))

Import the CA root certificate to Trusted Root Certification Authorities and server certificate to Personal folder — Импортируйте Корневой сертификат в Доверенные корневые центры сертификации и сертификат сервера в Личные.

Когда я создаю самозаверенный сертификат в диспетчере IIS он является сертификатом сервера да? Какой же сертификат тогда является Корневым сертификатом?

Возможно инструкция которую вы предложили связана с центром сертификации и там два сертификата выпускаются? Я пользовался вот какой инструкцией — http://weblogs.asp.net/scottgu/archive/2007/04/06/tip-trick-enabling-ssl-on-iis7-using-self-signed-certificates.aspx Может во втором сертификате «собака зарыта»))?

Если я все правильно понимаю Ваша инструкция ТОЛЬКО про то как организовать доступ к сайту по https.

А я так понимаю Вы хотите сделать доступ без запроса логина пароля по сертификату пользователя?

Я все правильно понимаю? Заранее извините за занудство.

Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку «Предложить как ответ» или «Проголосовать за полезное сообщение»

Вопрос по ctl, iis-7, ssl &#8211 Списки доверия сертификатов и IIS7

Мне нужно создать CTL для использования с IIS7.

Я сгенерировал файл CTL с помощью MakeCTL (в Win2k3 SDK) и поместил в CTL только свой собственный сертификат RootCA.

Однако когда я затем использую adsutil.vbs, чтобы настроить мой веб-сайт на использование этого CTL, я получаю:

ErrNumber: -2147023584 (0x80070520) Ошибка при попытке установить свойство: SslCtlIdentifier

Я использую adsutil.vbs, как это:

cscript adsutil.vbs set w3svc / 2 / SslCtlIdentifier где это понятное имя CTL

Проблема в том, что я не могу установить понятное имя. В конце мастера написано «Дружественное имя:».

В IIS6 я могу создать CTL с понятным именем (отображается в MMC «Сертификаты»), но если я экспортирую его оттуда, то при импорте у него больше нет понятного имени.

Может кто-нибудь показать мне, как это сделать, пожалуйста?

Это должно работать на IIS 7.0, но, вероятно, не на IIS 7.5.
Дайте нам знать, если эта страница полезна, пожалуйста -http://www.rethinker.net/Blog/Post/14/How-to-Create-and-Use-a-CTL-for-IIS-7-0

Вопрос о IIS7, но для тех, кто ищет эту информацию — отIIS8 Вам больше не нужно использовать CTL, а используйте «издателей проверки подлинности клиента» в хранилище сертификатов.

У меня точно такая же проблема, и я испытываю те же проблемы с поиском ответа.

По-видимому, не существует документированного способа создания понятного имени для списков доверия сертификатов с использованием MakeCTL. И единственный документированный способ добавить CTL в IIS7 — использовать сценарий adsutil, на который ссылается Нил выше, но для него требуется понятное имя. Я предполагаю, что мы могли бы найти способ программирования, но я не собираюсь углубляться в это.

Суть этой проблемы в том, что IIS7, похоже, утратил благосклонность к CTL, иначе он будет иметь некоторую поддержку их пользовательского интерфейса. Используют ли люди какую-то альтернативу CTL в сочетании с сертификатами на стороне клиента?

Я нахожу это странным, это не большая проблема для IIS7.

Обновить: Я наконец вернулся к этому и выяснил проблему Дружественного Имени. Чтобы получить понятное имя, вы должны хранить CTL в хранилище сертификатов, а не в файле (я всегда использовал файловый подход ранее). Таким образом, использование MakeCTL в режиме мастера (без аргументов) и выбор «Хранилища сертификатов» на странице «Хранилище доверенных сертификатов» приводит к появлению новой страницы, которая позволяет указать дружественное имя.

Итак, теперь у меня есть CTL в хранилище сертификатов «Intermediate Certification Authorities» в LocalMachine. Теперь я пытаюсь использовать ‘netsh http add sslcert’, чтобы назначить CTL моему сайту.

Прежде чем я смог использовать эту команду, мне пришлось удалить существующий сертификат SSL, который был назначен моему сайту для проверки подлинности сервера. Затем в моей команде netsh я указываю отпечаток того же сертификата SSL, который я удалил, плюс подготовленный app >

netsh http add sslcert ipport = 10.10.10.10: 443 certhash = adfdffa988bb50736b8e58a54c1eac26ed005050 app >

(IP-адрес исправлен), но я получаю эту ошибку:

Ошибка добавления сертификата SSL, ошибка: 1312 Указанный сеанс входа не существует. Возможно, это уже было прекращено.

Я уверен, что ошибка связана с параметрами CTL, потому что, если я удаляю их, это работает (хотя, конечно, CTL не назначается).

Может ли кто-нибудь помочь мне сделать этот последний шаг и сделать эту работу?

ОБНОВЛЕНИЕ 01-07-2010: Я никогда не решал эту проблему с IIS 7.0 и с тех пор перенес наше приложение на IIS 7.5, и я пытаюсь сделать это еще раз. Я установил IIS6-совместимость на своем тестовом сервере и попробовал описанные шагиВот используя adsutil.vbs. Я сразу же столкнулся с той же ошибкой, что и Нил выше:

ErrNumber: -2147023584 Ошибка при попытке установить свойство: SslCtlIdentifier

при запуске этой команды:

adsutil.vbs set w3svc / 1 / SslCtlIdentifier MyFriendlyName

Затем я попытался выполнить следующую задокументированную команду adsutil.vbs, и она завершилась с той же ошибкой.

Я подтвердил, что созданный мной CTL имеет понятное имя MyFriendlyName и существует в хранилище LocalComputer «Промежуточные центры сертификации \ Список доверенных сертификатов».

Итак, еще раз я в тупике. Я не знаю, что еще попробовать. Кто-нибудь когда-нибудь заставлял CTL работать с IIS7 или 7.5? Когда-либо? Я бью мертвую лошадь. Google не находит ничего, кроме моих собственных сообщений и других подобных историй.

Обновление 6/08/10 — Теперь я могу подтвердить, что KB981506 решает эту проблему. С этой КБ связано исправление, которое необходимо применить к компьютерам с Server 2008 R2, чтобы включить эту функцию. Как только это установлено, у меня все работает без нареканий.

Установка SSL-сертификата на Microsoft IIS 7

Перед установкой SSL-сертификата от REG.RU перейдите к списку услуг и убедитесь, что услуга SSL-сертификата активна:

Процесс установки сертификата


Загрузите выданный вам сертификат. Затем введите имя сертификата. Имя не является частью сертификата, но оно необходимо администратору, чтобы легко распознать сертификат:

Нажмите ОК и сертификат будет установлен на сервер.

Из меню «Actions» в правой части страницы нажмите на Bindings. Откроется окно «Site Bindings»:

В окне «Site Bindings» нажмите Add…, откроется окно «Add Site Binding»:

В меню «Type» выберите https. В меню «IP address» должен быть IP-адрес сайта или «All Unassigned». Порт, через который траффик будет зашифрован с помощью SSL по умолчанию 443. В поле «SSL Certificate» надо указать точное имя сертификата, который вы установили (шаг 7):

Ваш сертификат установлен и сайт будет работать через защищенное соединение.

Как вручную установить сертификат SSL на сервер IIS 8

После того как ваш запрос будет одобрен, вы сможете скачать сертификат из диспетчера SSL и установить его на сервере IIS 8.

Скопируйте файлы сертификата на сервер

  1. Найдите на сервере папку, в которой хранятся файлы сертификатов и ключей, и загрузите в нее промежуточный сертификат (с названием вида gd_iis_intermediates.p7b ) и основной сертификат (файл в формате .crt со случайным названием).

Добавьте оснастку сертификата в консоли управления Microsoft (MMC)

  1. Откройте меню Start (Пуск) и нажмите Run (Выполнить).
  2. Введите mmc в строке и нажмите ОК.
  3. В меню File (Файл) выберите Add/Remove Snap-in (Добавить или удалить оснастку).
  4. В открывшемся окне нажмите кнопку Add (Добавить).
  5. Нажмите Certificates (Сертификаты), а затем Add (Добавить).
  6. Выберите Computer account (Учетной записи компьютера) и нажмите Next (Далее).
  7. Нажмите Local computer (Локальный компьютер), а затем Finish (Готово).
  8. В окне Add Standalone Snap-in (Добавить изолированную оснастку) нажмите Close (Закрыть).
  9. В окне Add/Remove Snap-in (Добавить или удалить оснастку) нажмите ОК.

Импортируйте промежуточный сертификат SSL

  1. В консоли MMC нажмите , чтобы открыть раздел Certificates (Local Computer) (Сертификаты (локальный компьютер)).
  2. Нажмите правой кнопкой мыши на папку Intermediate Certification Authorities (Промежуточные центры сертификации). Наведите указатель мыши на пункт All Tasks (Все задачи) и выберите Import (Импорт).
  3. В открывшемся окне нажмите Next (Далее).
  4. Выберите Browse (Обзор). Найдите файл загруженного промежуточного сертификата и нажмите Open (Открыть).
  5. Нажмите Next (Далее). Проверьте данные сертификата и выберите Finish (Готово).
  6. Закройте уведомление об успешном импорте.

Установите сертификат SSL

  1. Откройте меню Start (Пуск) и нажмите Run (Выполнить).
  2. Введите inetmgr в строке и нажмите ОК, чтобы запустить диспетчер служб IIS.
  3. На панели Connections (Подключения) слева выберите свой сервер.
  4. На главной панели дважды нажмите на пункт Server Certificates (Сертификаты сервера) в разделе IIS.
  5. На панели Actions (Действия) справа выберите Complete Certificate Request (Запрос установки сертификатов).
  6. В появившемся окне нажмите . Найдите файл загруженного основного сертификата и выберите Open (Открыть).
  7. Добавьте понятное имя, по которому будет легко находить сертификат.
  8. В качестве хранилища для сертификата выберите Personal (Личное) и нажмите ОК.

Привяжите сертификат SSL

  1. На панели Connections (Подключения) слева нажмите , чтобы открыть папку Sites (Сайты).
  2. Выберите веб-сайт, на который вы хотите установить сертификат SSL.
  3. На панели Actions (Действия) справа найдите раздел Edit Site (Изменение веб-сайта) и выберите Bindings (Привязки).
  4. В открывшемся окне нажмите Add (Добавить) и заполните необходимые поля:
    • В поле Type (Тип) выберите https.
    • В поле IP Address (IP-адрес) выберите All Unassigned (Все неназначенные).
    • В поле Port (Порт) введите 443.
    • Поле Host name (Имя узла) оставьте пустым.
    • В поле SSL Certificate (Сертификат SSL) выберите недавно установленный сертификат SSL.
  5. Подтвердите действие, нажав ОК. В окне Site Bindings (Привязки сайта) выберите Close (Закрыть).

Перезапустите IIS

  1. На панели Actions (Действия) справа найдите раздел Manage Site (Управление веб-сайтом) и выберите Restart (Перезапустить).

Что дальше

  • Чтобы убедиться, что сертификат SSL установлен, воспользуйтесь нашим инструментом проверки.

Статьи по теме

Примечание. Для вашего удобства мы предоставляем инструкции по использованию некоторых сторонних продуктов. Но это не означает, что мы их рекомендуем. GoDaddy не оказывает поддержку по этим продуктам, а также не несет ответственности за их работу. Товарные знаки и логотипы третьих сторон являются зарегистрированными торговыми марками их владельцев. Все права защищены.

Использование локальных сертификатов IIS

Я разработал службу веб-API, которая делает запрос другого веб-API, которому нужен персональный сертификат.

Когда я разработал эту услугу на своем локальном ПК, я просто использовал HttpClient следующим образом:

И мой личный сертификат был взят с моего ПК.

Затем я хотел опубликовать свой проект в IIS 8 в Windows Server 2012 R2.

Сначала я установил все сертификаты на сервере и настроил пул приложений в IIS, IIS запускается пользователем службы, но мое приложение API использует пул моей учетной записи (сертификат привязан к нему). Но когда я пытаюсь сделать запрос, я получаю исключение:

Я считаю, что моя проблема в том, что IIS не может использовать сертификаты, которые я установил на Windows Server.

Как я могу это решить?

Сертификат должен, прежде всего, быть доверенным, также доступ к чтению сертификата может иногда быть проблемой. убедитесь, что IIS_IUSERS (пользователь пула приложений) имеет доступ на чтение:

Лучшим решением может быть создание реального сертификата (не самонастраивающегося), особенно если это публичный api.

Те, кому больше не нужны деньги, такие сервисы, как шифрование и инструменты для IIS, такие как win-acme (прежний позволяет-шифровать-win-simple), он будет генерировать сертификаты для всех привязок в вашем IIS, но также имеет множество других опций.

Настройка пользовательской проверки подлинности сертификатов в IIS 10 с помощью Owin

Мы пытаемся многократной проверки подлинности с помощью установки Owin / Катана и WebAPI будет размещен на IIS 10 с проверкой подлинности сертификата и проверка подлинности Windows. Я следую за этот блог Андраша Немешем для настройки моей локальной аутентификации клиента и сертификата сервера. К сожалению, после настройки Web API в IIS, когда я пытаюсь получить доступ к веб — сайт с сертификатом клиента, я получаю 403 Forbidden ошибку , которая говорит о том , что сертификат не является доверенным или недействительным. Я не уверен , что является причиной этой проблемы.

Я попытался установить мой IIS, следуя другие должности также, я пытался добавить сертификат сайта в IIS и связать его с mylocalsite.local и попытался с и без редактирования «system.webServer / безопасности / аутентификации / iisClientCertificateMappingAuthentication».

После поиска много я нашел подобные результаты , но ни один из них не работал. Я не уверен , если это из — за IIS 10 имеет другой рабочий процесс конфигурирования сервера сертификатов механизма проверки подлинности клиента или есть проблема с моими сертификатами.

Ниже приведены мои собственные сертификаты, и у меня есть там PFX файлы.
RootCertificate: RootCertificate.cer был установлен в локальных компьютерных Доверенные корневые центры сертификации, а также в текущих пользователей доверенных сертификатов.

localtestclientcert: localtestclientcert.pfx был установлен в текущем пользователь под личными сертификатами.

mylocalsite.local: mylocalsite.local.p была установлена в локальном компьютере под личными сертификатами.

Сертификаты сервера IIS

привязок веб-сайт

SSL настройки веб-сайта

EDIT 1: Modified «Доверенные сертификаты» в «Доверенные корневые центры сертификации» для ясности

Илон Маск рекомендует:  Как изменить вид ссылки при наведении на нее курсора мыши
Понравилась статья? Поделиться с друзьями:
Кодинг, CSS и SQL