Aktivieren von SSL für alle Kunden, die mit Ihrer Website in IIS interagieren

  • Artikel
  • 7 Minuten Lesedauer

In diesem Artikel wird beschrieben, wie Secure Sockets Layer (SSL) für alle Kunden aktiviert wird, die mit Ihrer Website in Microsoft-Internetinformationsdienste (IIS) interagieren.

Ursprüngliche Produktversion:   Internetinformationsdienste
Ursprüngliche KB-Nummer:   298805

Zusammenfassung

Dieser Artikel enthält die folgenden Themen:

  • Einrichten und Aktivieren von Serverzertifikaten, damit Ihre Kunden sicher sein können, dass Ihre Website gültig ist und dass alle Informationen, die sie an Sie senden, privat und vertraulich bleiben.
  • Hier erfahren Sie, wie Sie Zertifikate von Drittanbietern verwenden, um Secure Sockets Layer (SSL) zu aktivieren, sowie eine allgemeine Übersicht über den Prozess, der zum Generieren einer Zertifikatsignaturanforderung (Certificate Signing Request, CSR) verwendet wird, die zum Abrufen eines Drittanbieterzertifikats verwendet wird.
  • So aktivieren Sie die SSL-Konnektivität für Ihre Website.
  • So erzwingen Sie SSL für alle Verbindungen und legen die erforderliche Verschlüsselungslänge zwischen Ihren Clients und Ihrer Website fest.

Sie können die SSL-Sicherheitsfeatures Ihres Webservers für zwei Authentifizierungstypen verwenden. Sie können ein Serverzertifikat verwenden, um Benutzern die Authentifizierung Ihrer Website zu ermöglichen, bevor sie persönliche Informationen wie z. B. eine Kreditkartennummer übertragen. Darüber hinaus können Sie Clientzertifikate verwenden, um Benutzer zu authentifizieren, die Informationen auf Ihrer Website anfordern.

In diesem Artikel wird davon ausgegangen, dass Sie eine Zertifizierungsstelle eines Drittanbieters verwenden, um die Authentifizierung für Ihren Webserver bereitzustellen.

Um die SSL-Serverzertifikatsüberprüfung zu aktivieren und die von Ihren Kunden gewünschte Sicherheitsstufe bereitzustellen, sollten Sie ein Zertifikat von einer Drittanbieterzertifizierungsstelle abrufen. Zertifikate, die von einer Drittanbieterzertifizierungsstelle für Ihre Organisation ausgestellt werden, sind in der Regel an den Webserver und insbesondere an die Website gebunden, an die Ssl gebunden werden soll. Sie können ihr eigenes Zertifikat mit dem IIS-Server erstellen, aber wenn Sie dies tun, müssen Ihre Clients Ihnen implizit als Zertifizierungsstelle vertrauen.

In diesem Artikel wird Folgendes vorausgesetzt:

  • Sie haben IIS installiert.
  • Sie haben die Website erstellt und veröffentlicht, die Sie mit SSL sichern möchten.

Abrufen eines Zertifikats

Um mit dem Prozess zum Abrufen des Zertifikats zu beginnen, müssen Sie eine CSR generieren. Dies erfolgt über die IIS-Verwaltungskonsole. Daher muss IIS installiert werden, bevor Sie eine CSR generieren können. Ein CSR ist im Wesentlichen ein Zertifikat, das Sie auf Ihrem Server generieren, das die computerspezifischen Informationen zu Ihrem Server überprüft, wenn Sie ein Zertifikat von einer Drittanbieterzertifizierungsstelle anfordern. Die CSR ist einfach eine verschlüsselte Textnachricht, die mit einem öffentlichen/privaten Schlüsselpaar verschlüsselt ist.

In der Regel sind die folgenden Informationen zu Ihrem Computer in der CSR enthalten, die Sie generieren:

  • Organization (Organisation)
  • Organisationseinheit
  • Land/Region
  • Bundesland/Kanton
  • Ort/Ort
  • Allgemeiner Name

Hinweis

Der allgemeine Name besteht in der Regel aus dem Hostcomputernamen und der Domäne, zu der er gehört, z. B. xyz.com. In diesem Fall ist der Computer Teil der COM-Domäne und heißt XYZ. Dies kann der Stammserver für Ihre Unternehmensdomäne oder einfach eine Website sein.

Generieren der CSR

  1. Greifen Sie auf die IIS Microsoft Management Console (MMC) zu. Klicken Sie dazu mit der rechten Maustaste auf "Mein Computer", und wählen Sie "Verwalten" aus. Dadurch wird die Computerverwaltungskonsole geöffnet. Erweitern Sie den Abschnitt "Dienste und Anwendung". Suchen Sie IIS, und erweitern Sie die IIS-Konsole.

  2. Wählen Sie die spezifische Website aus, auf der Sie ein Serverzertifikat installieren möchten. Klicken Sie mit der rechten Maustaste auf die Website, und wählen Sie "Eigenschaften" aus.

  3. Wählen Sie die Registerkarte "Verzeichnissicherheit" aus. Wählen Sie im Abschnitt "Sichere Kommunikation" die Option "Serverzertifikat" aus. Dadurch wird der Webserver-Zertifikat-Assistent gestartet. Wählen Sie Weiter aus.

  4. Wählen Sie "Neues Zertifikat erstellen" und dann "Weiter" aus.

  5. Wählen Sie "Anforderung jetzt vorbereiten" aus, aber senden Sie sie später, und wählen Sie "Weiter" aus.

  6. Geben Sie im Feld "Name" einen Namen ein, den Sie sich merken können. Standardmäßig wird der Name der Website verwendet, für die Sie csr generieren.

    Hinweis

    Wenn Sie csr generieren, müssen Sie eine Bitlänge angeben. Die Bitlänge des Verschlüsselungsschlüssels bestimmt die Stärke des verschlüsselten Zertifikats, das Sie an die Zertifizierungsstelle des Drittanbieters senden. Je höher die Bitlänge, desto stärker die Verschlüsselung. Die meisten Drittanbieter-CAs bevorzugen mindestens 1024 Bits.

  7. Geben Sie im Abschnitt "Organisationsinformationen" Informationen zu Ihrer Organisation und Organisationseinheit ein. Dies muss korrekt sein, da Sie diese Anmeldeinformationen einer Drittanbieter-Zertifizierungsstelle präsentieren und deren Lizenzierung des Zertifikats einhalten müssen. Wählen Sie "Weiter" aus, um auf den Abschnitt "Allgemeiner Name Ihrer Website" zuzugreifen.

  8. Der Abschnitt "Allgemeiner Name Ihrer Website" ist für die Bindung des Zertifikats an Ihre Website verantwortlich. Geben Sie für SSL-Zertifikate den Hostcomputernamen mit dem Domänennamen ein. Für Intranetserver können Sie den NetBIOS-Namen des Computers verwenden, der die Website hostet. Wählen Sie "Weiter" aus, um auf geografische Informationen zuzugreifen.

  9. Geben Sie Ihr Land oder Ihre Region, Ihr Bundesland oder Ihre Kantons- und Ortsinformationen ein. Geben Sie Ihr Bundesland, Ihre Stadt oder Ihren Ort vollständig an. Und verwenden Sie keine Abkürzungen. Wählen Sie Weiter aus.

  10. Speichern Sie die Datei als .txt Datei.

  11. Bestätigen Sie Ihre Anforderungsdetails. Wählen Sie "Weiter", um fertig zu sein, und beenden Sie den Webserver-Zertifikat-Assistenten.

Anfordern des Zertifikats

Es gibt verschiedene Methoden zum Senden Ihrer Anforderung. Wenden Sie sich an den Zertifikatanbieter Ihrer Wahl, um die zu verwendende Methode zu verwenden und die beste Zertifikatsstufe für Ihre Anforderungen zu ermitteln. Abhängig von der Methode, die zum Senden Ihrer Anforderung an die Zertifizierungsstelle ausgewählt wird, können Sie die CSR-Datei aus Schritt 10 im Abschnitt "CSR generieren" senden, oder Sie müssen den Inhalt dieser Datei in die Anforderung einfügen. Diese Datei wird verschlüsselt und enthält eine Kopfzeile und eine Fußzeile für den Inhalt. Sie müssen sowohl die Kopf- als auch die Fußzeile einschließen, wenn Sie das Zertifikat anfordern. Ihre CSR sollte folgendermaßen aussehen:

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

Installieren des Zertifikats

Sobald die Drittanbieter-Zertifizierungsstelle Ihre Anforderung für ein Serverzertifikat abgeschlossen hat, erhalten Sie es per E-Mail oder auf der Downloadwebsite. Das Zertifikat muss auf der Website installiert sein, auf der Sie eine sichere Kommunikation bereitstellen möchten.

Führen Sie die folgenden Schritte aus, um das Zertifikat zu installieren:

  1. Laden Sie das zertifikat, das Sie von der Zertifizierungsstelle erhalten haben, auf den Webserver herunter, oder kopieren Sie es.
  2. Öffnen Sie die IIS-MMC wie im Abschnitt "Generieren von CSR" beschrieben.
  3. Greifen Sie auf das Dialogfeld Eigenschaften für die Website zu, auf der Sie das Zertifikat installieren.
  4. Wählen Sie die Registerkarte "Verzeichnissicherheit" und dann "Serverzertifikat" aus. Dadurch wird der Webserver-Zertifikat-Assistent gestartet. Wählen Sie Weiter aus.
  5. Wählen Sie "Ausstehende Anforderung verarbeiten" aus, installieren Sie das Zertifikat, und wählen Sie dann "Weiter" aus.
  6. Navigieren Sie zum Speicherort des Zertifikats, das Sie in Schritt 1 gespeichert haben. Wählen Sie zweimal "Weiter" und dann "Fertig stellen" aus.

Erzwingen von SSL-Verbindungen

Nachdem das Serverzertifikat installiert wurde, können Sie die sslsichere Kanalkommunikation mit Clients des Webservers erzwingen. Zunächst müssen Sie Port 443 für die sichere Kommunikation mit der Website aktivieren. Gehen Sie dazu wie folgt vor:

  1. Klicken Sie in der Computerverwaltungskonsole mit der rechten Maustaste auf die Website, auf der Sie SSL erzwingen möchten, und wählen Sie "Eigenschaften" aus.
  2. Wählen Sie die Registerkarte "Website" aus. Überprüfen Sie im Abschnitt "Websiteidentifikation", ob das FELD "SSL-Port" mit dem numerischen Wert 443 aufgefüllt ist.
  3. Wählen Sie Erweitert aus. Es sollten zwei Felder angezeigt werden. Die IP-Adresse und der Port der Website sollten bereits in den Mehrfachidentitäten für dieses Websitefeld aufgeführt sein. Wählen Sie unter "Mehrere SSL-Identitäten" für dieses Websitefeld "Hinzufügen" aus, wenn Port 443 noch nicht aufgeführt ist. Wählen Sie die IP-Adresse des Servers aus, und geben Sie den numerischen Wert 443 in das FELD "SSL-Port" ein. Wählen Sie OK aus.

Nachdem Port 443 aktiviert ist, können Sie SSL-Verbindungen erzwingen. Gehen Sie dazu wie folgt vor:

  1. Wählen Sie die Registerkarte "Verzeichnissicherheit" aus. Im Abschnitt "Sichere Kommunikation" ist "Bearbeiten" jetzt verfügbar. Wählen Sie Bearbeiten aus.

  2. Wählen Sie Secure Channel (SSL) aus.

    Hinweis

    Wenn Sie eine 128-Bit-Verschlüsselung angeben, können Clients, die den Browser mit 40-Bit- oder 56-Bit-Stärke verwenden, nicht mit Ihrer Website kommunizieren, es sei denn, sie aktualisieren ihre Verschlüsselungsstärke.

  3. Öffnen Sie Ihren Browser, und versuchen Sie, eine Verbindung mit dem Webserver herzustellen, indem Sie das standardmäßige http:// Protokoll verwenden. Wenn SSL erzwungen wird, wird die folgende Fehlermeldung angezeigt:

    Die Seite muss über einen sicheren Kanal angezeigt werden.
    Die Seite, die Sie anzeigen möchten, erfordert die Verwendung von "https" in der Adresse.
    Versuchen Sie es folgendermaßen: Versuchen Sie es erneut, indem Sie https:// am Anfang der Adresse eingeben, die Sie erreichen möchten. HTTP 403.4 – Verboten: SSL erforderlich Internetinformationsdienste
    Hintergrundinformationen zu technischen Informationen (für Supportmitarbeiter): Dieser Fehler weist darauf hin, dass die Seite, auf die Sie zugreifen möchten, mit Ssl (Secure Sockets Layer) gesichert ist.

Sie können jetzt nur mithilfe des https://-Protokolls eine Verbindung mit Ihrer Website herstellen.