Microsoft IIS 7.0
Howto: SSL-Zertifikat für den Microsoft IIS 7.0
Auf dieser Seite erläutern wir Ihnen die Installation eines SSL-Zertifikates in einer Windows-Server-Umgebung.
Generierung einer Zertifizierungsanforderung (CSR)
Um die Zertifizierungsanforderung zu generieren verfahren Sie unter Windows 2008 Server wie folgt: Öffnen Sie über das Startmenü das Untermenü "Verwaltung" und starten Sie den "Internet Information Service Manager".
Im IIS Manager wählen Sie den betreffenden Servernamen aus. Starten Sie in der Ansicht "Features" unter "IIS" das Menü "Serverzertifikate".
Wählen Sie hier in der rechten Spalte die Option "Zertifikatsanforderung erstellen ..."
und folgen Sie den Anweisungen im folgenden Dialog wie in den folgenden Abbildungen beschrieben.
Nachdem Sie die Angaben zu Ihrem Unternehmen und dem "Gemeinsamen Namen" (Common Name/CN) gemacht haben, fordert Windows Sie zu Angaben bezüglich des "Kryptografiedienstanbieters" auf.
Dahinter verbirgt sich der Kryptografie Mechanismus, wählen Sie hier, sofern noch nicht vorausgewählt "RSA". Die Bitlänge des Schlüsselpaars muss mindestens 2048 Bit betragen. Voreingestellt ist ein Wert von 1024 Bit, der inzwischen aber von allen großen Zertifizierungsstellen abgelehnt wird.
Abschließend wählen Sie den Speicherort für den CSR. Sie sollten hier einen Ort wählen, den Sie leicht wiederfinden können. Der Inhalt des fertigen CSR stellt sich in einem Text Editor wie folgt dar:
Einspielen von Zwischenzertifikaten (intermediate certificates)
Starten Sie die MMC. Öffnen Sie dann das Snapin für Zertifikate.
Öffnen Sie hier den Zweig "Zwischenzertifizierungsstellen"->"Zertifikate" und öffnen Sie mit einem Rechtsklick das Kontextmenü und hier den Punkt "alle Aufgaben"->"Importierten".
Importieren Sie hier nun die intermediate Zertifikate, die Ihnen die für Sie zuständige Zertifzierungsstelle zur Verfügung gestellt hat.
Einspielen des Zertifikates
Nach Abschluss der Zertifizierung erhalten Sie von der Zertifizierungsstelle das Zertifikat in der Regel per Email in Textform zugestellt.
Speichern Sie das Zertifikat mit einem Texteditor, beispielsweise auf dem Desktop oder an einem anderen Ort, welchen Sie leicht wieder lokalisieren können.
Um das Zertifikat einspielen zu können, starten Sie wie in Schritt 1.1 den IIS Manager über das Startmenü -> Verwaltung.
Wählen Sie hier den entsprechenden Hostnamen und starten Sie das Menü "Zertifikate".
Spielen Sie nun über den Punkt "Zertifikatsanforderung abschließen" das fertige Zertifikat ein. Folgen Sie dabei den Anweisungen im Dialog.
Sollte es dabei zu einer Fehlermeldung kommen, dass die Zertifizierungskette unvollständig ist bzw. nicht nachvollzogen werden kann, befolgen Sie bitte die Anweisungen aus dem Abschnitt 1.2.
Ist der Import abgeschlossen, wird das Zertifikat in der Übersicht angezeigt.
Zuweisen einer Bindung
Um das Zertifikat nun zu aktivieren öffnen Sie im IIS Manager die betreffende Site.
In der rechten Menüspalte "Aktionen" starten Sie unter "Site bearbeiten" den Dialog für die Bearbeitung der "Bindungen".
Richten Sie in diesem Dialog, sofern noch nicht vorhanden, eine HTTPS Verbindung ein, andernfalls bearbeiten Sie die vorhandene. Wählen Sie aus der Dropdown Liste "SSL-Zertifikate" das Zertifikat aus, das der Sitebindung zu geordnet werden soll. Starten Sie abschließend den Dienst über die Spalte "Aktionen" den neu.
Alternative Zertifikatsinstallation
Wenn Sie den IIS-Manager umgehen möchten, um ein Zertifikat einzuspielen, bzw. schon vorher den CSR zu erzeugen, können Sie auch wie folgt vorgehen.
Laden Sie von hier den OpenSSL Light Installer und die Visual C++ Redistributables. Installieren Sie die Softwarepakete anschließend auf einem Arbeitsplatzrechner.
Öffnen Sie nun über das Startmenü die Eingabeaufforderung (cmd.exe) und erzeugen Sie den private Key und den CSR mit folgendem Befehl.
c:\OpenSSL-Win32\bin\openssl.exe req -new -nodes -newkey rsa:2048 -keyout key.txt -out csr.txt -sha256
Sie werden während der Erzeugung der Zertifikatsanforderung um Eingaben gebeten. Der komplette Vorgang stellt sich exemplarisch so dar:
Nachdem Sie das fertige Zertifikat erhalten haben, fahren Sie wie folgt fort. Legen Sie den Zertifikatstextblock im gleichen Verzeichnis ab wie die csr.txt und key.txt Datei.
Führen Sie die Daten nun mit dem folgenden Befehl zu einer .PFX Datei zusammen.
C:\Temp>c:\OpenSSL-Win32\bin\openssl.exe pkcs12 -export -in crt.txt -inkey key.txt -out keycrt.p12 -name "netzreform GmbH"
Sie werden zur Eingabe eines Passwortes gebeten, um den Container, der nun Schlüssel und Zertifikat enthält zu schützen.
Das Zertifikat und den Schlüssel importieren Sie am einfachsten über die MMC mit dem Snapin "Zertifikat". Verfahren Sie dafür wie in Abschnitt 1.2. Öffnen Sie aber statt der Zwischenzertifizierungsstellen den Zweig "Eigene Zertifikate".
Geben Sie im folgenden Dialog den Pfad zum PFX Container an. Fahren Sie fort und geben Sie im nächsten Schritt das Export-Passwort an, dass Sie beim Erzeugen des Containers verwendet haben.
Sollte der Zertifikatsspeicher "Eigene Zertifikate" noch nicht ausgewählt worden sein, holen Sie dies an dieser Stelle bitte nach.
Nach einer letzten Statusübersicht können Sie den Import fertig stellen. Sie können das Zertifikat nun einer Bindung hinzufügen, wie im vorangegangenen Abschnitt bereits erläutert.
Welche Zertifikate empfehlen sich für den IIS
Da der IIS häufig in Verbindung mit dem Exchange-Server genutzt wird, bieten sich gerade in diesem Zusammenhang Multidomainzertifikate an, um die verschiedenen Hostnamen entsprechend abzusichern und eine reibungslose Funktionalität in Verbindung mit z.B. Outlook zu gewährleisten.
Weitere Informationen
Mehr Informationen zu unseren Windows IIS fähigen Produkten finden Sie hier:
