Configurare i certificati intermedi in un computer che esegue IIS per l'autenticazione server

  • Articolo

Questo articolo descrive come configurare i certificati intermedi in un computer che esegue IIS per l'autenticazione server.

Versione originale del prodotto: Internet Information Services
Numero KB originale: 954755

Riepilogo

Quando un computer client tenta di stabilire connessioni SSL (Secure Sockets Layer) autenticate dal server con un server Web IIS, convalida la catena di certificati del server. Per completare correttamente la convalida del certificato, i certificati intermedi nella catena di certificati del server devono essere configurati correttamente nel server. In caso contrario, l'autenticazione del server potrebbe non riuscire. Si applica anche a qualsiasi programma che usa SSL o Transport Layer Security (TLS) per l'autenticazione.

Impatto

I computer client non possono connettersi al server che esegue IIS. Poiché i server non hanno i certificati intermedi configurati correttamente, i computer client non possono autenticare questi server.

È consigliabile configurare correttamente i certificati intermedi nel server.

Dettagli tecnici

La convalida del certificato X.509 è costituita da diverse fasi, tra cui l'individuazione del percorso del certificato e la convalida del percorso.

Come parte dell'individuazione del percorso del certificato, i certificati intermedi devono trovarsi per compilare il percorso del certificato fino a un certificato radice attendibile. Un certificato intermedio è utile per determinare se un certificato è stato rilasciato da un'autorità di certificazione radice valida. Questi certificati possono essere ottenuti dalla cache o dall'archivio certificati nel computer client. I server possono anche fornire le informazioni al computer client.

Nella negoziazione SSL il certificato del server viene convalidato nel client. In questo caso, il server fornisce i certificati al computer client, insieme ai certificati di emissione intermedi usati dal computer client per compilare il percorso del certificato. La catena di certificati completa, ad eccezione del certificato radice, viene inviata al computer client.

Una catena di certificati di un certificato di autenticazione server configurato viene compilata nel contesto del computer locale. In questo modo, IIS determina il set di certificati che invia ai client per TLS/SSL. Per configurare correttamente i certificati intermedi, aggiungerli all'archivio certificati ca intermedio nell'account del computer locale nel server.

Si supponga che un operatore del server installi un certificato SSL insieme ai certificati CA emittenti pertinenti. Quando il certificato SSL viene rinnovato in un secondo momento, l'operatore server deve assicurarsi che i certificati di emissione intermedi vengano aggiornati contemporaneamente.

Configurare i certificati intermedi

  1. Aprire lo snap-in Certificati di Microsoft Management Console (MMC). Per effettuare questa operazione, seguire questi passaggi:
    1. Al prompt dei comandi digitare Mmc.exe.
    2. Se non si esegue il programma come amministratore predefinito, verrà richiesta l'autorizzazione per eseguire il programma. Nella finestra di dialogo Sicurezza di Windows fare clic su Consenti.
    3. Nel menu File, selezionare Aggiungi/Rimuovi snap-in.
    4. Nella finestra di dialogo Aggiungi o rimuovi snap-in selezionare lo snap-in Certificati nell'elenco Snap-in disponibili . Selezionare quindi Aggiungi>OK.
    5. Nella finestra di dialogo Snap-in Certificati selezionare Account computer e quindi selezionare Avanti.
    6. Nella finestra di dialogo Seleziona computer selezionare Fine.
    7. Nella finestra di dialogo Aggiungi o rimuovi snap-in selezionare OK.
  2. Per aggiungere un certificato intermedio, seguire questa procedura:
    1. Nello snap-in MMC Certificati espandere Certificati, fare clic con il pulsante destro del mouse su Autorità di certificazione intermedie, scegliere Tutte le attività e quindi selezionare Importa.
    2. Nell'Importazione guidata certificati selezionare Avanti.
    3. Nella pagina File da importare digitare il nome file del certificato da importare nella casella Nome file . Quindi, scegliere Avanti.
    4. Selezionare Avanti e quindi completare l'Importazione guidata certificati.

Riferimenti

Per altre informazioni su come la CryptoAPI funzione crea catene di certificati e convalida lo stato di revoca, vedere Risoluzione dei problemi relativi allo stato e alla revoca del certificato.