Microsoft IIS 7.0

Aus SSLplus
Wechseln zu: Navigation, Suche

Howto: SSL-Zertifikat für den Microsoft IIS 7.0

Auf dieser Seite erläutern wir Ihnen die Installation eines SSL-Zertifikates in einer Windows-Server-Umgebung.


Generierung einer Zertifizierungsanforderung (CSR)

Um die Zertifizierungsanforderung zu generieren verfahren Sie unter Windows 2008 Server wie folgt: Öffnen Sie über das Startmenü das Untermenü "Verwaltung" und starten Sie den "Internet Information Service Manager".

001 Startmenue.png

Im IIS Manager wählen Sie den betreffenden Servernamen aus. Starten Sie in der Ansicht "Features" unter "IIS" das Menü "Serverzertifikate".

002 IIS Manager ServerCert.png

Wählen Sie hier in der rechten Spalte die Option "Zertifikatsanforderung erstellen ..."

003 CSR erstellen IIS7.png

und folgen Sie den Anweisungen im folgenden Dialog wie in den folgenden Abbildungen beschrieben.

004 csr 1 4.png

Nachdem Sie die Angaben zu Ihrem Unternehmen und dem "Gemeinsamen Namen" (Common Name/CN) gemacht haben, fordert Windows Sie zu Angaben bezüglich des "Kryptografiedienstanbieters" auf.

005 csr 2 4.png

Dahinter verbirgt sich der Kryptografie Mechanismus, wählen Sie hier, sofern noch nicht vorausgewählt "RSA". Die Bitlänge des Schlüsselpaars muss mindestens 2048 Bit betragen. Voreingestellt ist ein Wert von 1024 Bit, der inzwischen aber von allen großen Zertifizierungsstellen abgelehnt wird.

006 csr 3 4.png

Abschließend wählen Sie den Speicherort für den CSR. Sie sollten hier einen Ort wählen, den Sie leicht wiederfinden können. Der Inhalt des fertigen CSR stellt sich in einem Text Editor wie folgt dar:

007 csr 4 4.png


Einspielen von Zwischenzertifikaten (intermediate certificates)

Starten Sie die MMC. Öffnen Sie dann das Snapin für Zertifikate.

011 MMC 1.png

012 MMC 2.png

013 MMC 3.png

Öffnen Sie hier den Zweig "Zwischenzertifizierungsstellen"->"Zertifikate" und öffnen Sie mit einem Rechtsklick das Kontextmenü und hier den Punkt "alle Aufgaben"->"Importierten".

014 MMC 4.png

Importieren Sie hier nun die intermediate Zertifikate, die Ihnen die für Sie zuständige Zertifzierungsstelle zur Verfügung gestellt hat.


Einspielen des Zertifikates

Nach Abschluss der Zertifizierung erhalten Sie von der Zertifizierungsstelle das Zertifikat in der Regel per Email in Textform zugestellt.

008 crt.png

Speichern Sie das Zertifikat mit einem Texteditor, beispielsweise auf dem Desktop oder an einem anderen Ort, welchen Sie leicht wieder lokalisieren können.

Um das Zertifikat einspielen zu können, starten Sie wie in Schritt 1.1 den IIS Manager über das Startmenü -> Verwaltung.

009 crt einspielen.png

Wählen Sie hier den entsprechenden Hostnamen und starten Sie das Menü "Zertifikate".

010 crt einspielen 2.png

Spielen Sie nun über den Punkt "Zertifikatsanforderung abschließen" das fertige Zertifikat ein. Folgen Sie dabei den Anweisungen im Dialog.

015 crt einspielen 3.png

Sollte es dabei zu einer Fehlermeldung kommen, dass die Zertifizierungskette unvollständig ist bzw. nicht nachvollzogen werden kann, befolgen Sie bitte die Anweisungen aus dem Abschnitt 1.2.

Ist der Import abgeschlossen, wird das Zertifikat in der Übersicht angezeigt.

016 crt fertig.png


Zuweisen einer Bindung

Um das Zertifikat nun zu aktivieren öffnen Sie im IIS Manager die betreffende Site.

017 Bindung 1.png

In der rechten Menüspalte "Aktionen" starten Sie unter "Site bearbeiten" den Dialog für die Bearbeitung der "Bindungen".

018 Bindung 2.png

Richten Sie in diesem Dialog, sofern noch nicht vorhanden, eine HTTPS Verbindung ein, andernfalls bearbeiten Sie die vorhandene. Wählen Sie aus der Dropdown Liste "SSL-Zertifikate" das Zertifikat aus, das der Sitebindung zu geordnet werden soll. Starten Sie abschließend den Dienst über die Spalte "Aktionen" den neu.


Alternative Zertifikatsinstallation

Wenn Sie den IIS-Manager umgehen möchten, um ein Zertifikat einzuspielen, bzw. schon vorher den CSR zu erzeugen, können Sie auch wie folgt vorgehen.

Laden Sie von hier den OpenSSL Light Installer und die Visual C++ Redistributables. Installieren Sie die Softwarepakete anschließend auf einem Arbeitsplatzrechner.

Öffnen Sie nun über das Startmenü die Eingabeaufforderung (cmd.exe) und erzeugen Sie den private Key und den CSR mit folgendem Befehl.

 c:\OpenSSL-Win32\bin\openssl.exe req -new -nodes -newkey rsa:2048 -keyout key.txt -out csr.txt -sha256

Sie werden während der Erzeugung der Zertifikatsanforderung um Eingaben gebeten. Der komplette Vorgang stellt sich exemplarisch so dar:

019 CSR via CMD-exe klein.png

Nachdem Sie das fertige Zertifikat erhalten haben, fahren Sie wie folgt fort. Legen Sie den Zertifikatstextblock im gleichen Verzeichnis ab wie die csr.txt und key.txt Datei.

Führen Sie die Daten nun mit dem folgenden Befehl zu einer .PFX Datei zusammen.

 C:\Temp>c:\OpenSSL-Win32\bin\openssl.exe pkcs12 -export -in crt.txt -inkey key.txt -out keycrt.p12 -name "netzreform GmbH"

Sie werden zur Eingabe eines Passwortes gebeten, um den Container, der nun Schlüssel und Zertifikat enthält zu schützen.

020 PFX CMD-exe.png

Das Zertifikat und den Schlüssel importieren Sie am einfachsten über die MMC mit dem Snapin "Zertifikat". Verfahren Sie dafür wie in Abschnitt 1.2. Öffnen Sie aber statt der Zwischenzertifizierungsstellen den Zweig "Eigene Zertifikate".

021 mmc import own.png

Geben Sie im folgenden Dialog den Pfad zum PFX Container an. Fahren Sie fort und geben Sie im nächsten Schritt das Export-Passwort an, dass Sie beim Erzeugen des Containers verwendet haben.

023 pfx import password.png

Sollte der Zertifikatsspeicher "Eigene Zertifikate" noch nicht ausgewählt worden sein, holen Sie dies an dieser Stelle bitte nach.

024 Import Zertifikatsspeicher.png

Nach einer letzten Statusübersicht können Sie den Import fertig stellen. Sie können das Zertifikat nun einer Bindung hinzufügen, wie im vorangegangenen Abschnitt bereits erläutert.

Welche Zertifikate empfehlen sich für den IIS

Da der IIS häufig in Verbindung mit dem Exchange-Server genutzt wird, bieten sich gerade in diesem Zusammenhang Multidomainzertifikate an, um die verschiedenen Hostnamen entsprechend abzusichern und eine reibungslose Funktionalität in Verbindung mit z.B. Outlook zu gewährleisten.


Weitere Informationen

Mehr Informationen zu unseren Windows IIS fähigen Produkten finden Sie hier: