Konfigurieren von Zwischenzertifikaten auf einem Computer, auf dem IIS für die Serverauthentifizierung ausgeführt wird

  • Artikel
  • 2 Minuten Lesedauer

In diesem Artikel wird beschrieben, wie Sie Zwischenzertifikate auf einem Computer konfigurieren, auf dem IIS für die Serverauthentifizierung ausgeführt wird.

Ursprüngliche Produktversion:   Internetinformationsdienste
Ursprüngliche KB-Nummer:   954755

Zusammenfassung

Wenn ein Clientcomputer versucht, serverauthentifizierungsbasierte SSL-Verbindungen (Secure Sockets Layer) mit einem IIS-Webserver herzustellen, wird die Serverzertifikatkette überprüft. Um diese Zertifikatüberprüfung erfolgreich abzuschließen, müssen die Zwischenzertifikate in der Serverzertifikatkette auf dem Server ordnungsgemäß konfiguriert sein. Andernfalls schlägt die Serverauthentifizierung möglicherweise fehl. Sie gilt auch für alle Programme, die SSL oder TLS (Transport Layer Security) für die Authentifizierung verwenden.

Auswirkung

Clientcomputer können keine Verbindung mit dem Server herstellen, auf dem IIS ausgeführt wird. Da die Zwischenzertifikate auf den Servern nicht ordnungsgemäß konfiguriert sind, können die Clientcomputer diese Server nicht authentifizieren.

Es wird empfohlen, die Zwischenzertifikate auf dem Server ordnungsgemäß zu konfigurieren.

Technische Details

Die X.509-Zertifikatüberprüfung besteht aus mehreren Phasen, einschließlich der Ermittlung des Zertifikatpfads und der Pfadüberprüfung.

Im Rahmen der Ermittlung des Zertifikatpfads müssen die Zwischenzertifikate gefunden werden, um den Zertifikatpfad bis zu einem vertrauenswürdigen Stammzertifikat zu erstellen. Ein Zwischenzertifikat ist nützlich, um festzustellen, ob ein Zertifikat letztendlich von einer gültigen Stammzertifizierungsstelle (Ca) ausgestellt wurde. Diese Zertifikate können aus dem Cache oder dem Zertifikatspeicher auf dem Clientcomputer abgerufen werden. Server können die Informationen auch auf dem Clientcomputer bereitstellen.

In der SSL-Aushandlung wird das Serverzertifikat auf dem Client überprüft. In diesem Fall stellt der Server die Zertifikate zusammen mit den zertifikatausstellenden Zwischenzertifikaten, die der Clientcomputer zum Erstellen des Zertifikatpfads verwendet, dem Clientcomputer zur Verfügung. Die vollständige Zertifikatkette mit Ausnahme des Stammzertifikats wird an den Clientcomputer gesendet.

Eine Zertifikatkette eines konfigurierten Serverauthentifizierungszertifikats wird im lokalen Computerkontext erstellt. Auf diese Weise bestimmt IIS den Satz von Zertifikaten, die es für TLS/SSL an Clients sendet. Um die Zwischenzertifikate ordnungsgemäß zu konfigurieren, fügen Sie sie dem Zertifikatspeicher der Zwischenzertifizierungsstelle im lokalen Computerkonto auf dem Server hinzu.

Gehen Sie davon aus, dass ein Serveroperator ein SSL-Zertifikat zusammen mit den entsprechenden Zertifikaten der ausstellenden Zertifizierungsstelle installiert. Wenn das SSL-Zertifikat später erneuert wird, muss der Serveroperator sicherstellen, dass die zwischen ausgebenden Zertifikate gleichzeitig aktualisiert werden.

Konfigurieren von Zwischenzertifikaten

  1. Öffnen Sie das MmC-Snap-In (Certificates Microsoft Management Console). Gehen Sie dazu wie folgt vor:
    1. Geben Sie an einer Eingabeaufforderung Mmc.exe ein.
    2. Wenn Sie das Programm nicht als integrierter Administrator ausführen, werden Sie aufgefordert, die Berechtigung zum Ausführen des Programms einzuholen. Klicken Sie im Dialogfeld Windows-Sicherheit auf "Zulassen".
    3. Wählen Sie im Datei-Menü Snap-In hinzufügen/entfernen aus.
    4. Wählen Sie im Dialogfeld "Snap-Ins hinzufügen oder entfernen" in der Liste "Verfügbare Snap-Ins" das Snap-In "Zertifikate" aus. Klicken Sie dann auf "Ok hinzufügen". >
    5. Wählen Sie im Snap-In -Dialogfeld Zertifikate Computerkonto aus, und wählen Sie dann weiter.
    6. Wählen Sie im Dialogfeld Computer auswählen die Option Fertig stellen aus.
    7. Wählen Sie im Dialogfeld "Snap-Ins hinzufügen" oder "Entfernen" die Option "OK" aus.
  2. Führen Sie die folgenden Schritte aus, um ein Zwischenzertifikat hinzuzufügen:
    1. Erweitern Sie im MMC-Snap-In "Zertifikate" die Option "Zertifikate", klicken Sie mit der rechten Maustaste auf "Zwischenzertifizierungsstellen", zeigen Sie auf "Alle Aufgaben", und wählen Sie "Importieren" aus.
    2. Wählen Sie im Zertifikatimport-Assistenten die Option "Weiter" aus.
    3. Geben Sie auf der Seite "Zu importierende Datei" den Dateinamen des Zertifikats, das Sie importieren möchten, in das Feld "Dateiname" ein. Wählen Sie dann Weiter aus.
    4. Wählen Sie "Weiter" aus, und schließen Sie dann den Zertifikatimport-Assistenten ab.

References

Weitere Informationen dazu, wie die CryptoAPI Funktion Zertifikatketten erstellt und den Sperrstatus überprüft, finden Sie unter Problembehandlung bei Zertifikatstatus und Sperrung.