Microsoft IIS 7.0: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
| (12 dazwischenliegende Versionen von 4 Benutzern werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
= Howto: SSL-Zertifikat für den Microsoft IIS 7.0 = | = Howto: SSL-Zertifikat für den Microsoft IIS 7.0 = | ||
Auf dieser Seite erläutern wir Ihnen die Installation eines SSL-Zertifikates in einer Windows-Server-Umgebung. | Auf dieser Seite erläutern wir Ihnen die Installation eines SSL-Zertifikates in einer Windows-Server-Umgebung. | ||
== Generierung einer Zertifizierungsanforderung (CSR) == | == Generierung einer Zertifizierungsanforderung (CSR) == | ||
Um die Zertifizierungsanforderung zu generieren verfahren Sie unter Windows 2008 Server | Um die Zertifizierungsanforderung zu generieren verfahren Sie unter Windows 2008 Server wie folgt: | ||
Öffnen Sie über das Startmenü das Untermenü "Verwaltung" und starten Sie den "Internet Information Service Manager". | |||
[[Image:001_Startmenue.png]] | [[Image:001_Startmenue.png]] | ||
| Zeile 13: | Zeile 16: | ||
[[Image:002_IIS_Manager_ServerCert.png]] | [[Image:002_IIS_Manager_ServerCert.png]] | ||
Wählen Sie hier in der rechten Spalte die Option " | Wählen Sie hier in der rechten Spalte die Option "Zertifikatsanforderung erstellen ..." | ||
[[Image:003_CSR_erstellen_IIS7.png]] | [[Image:003_CSR_erstellen_IIS7.png]] | ||
| Zeile 21: | Zeile 24: | ||
[[Image:004_csr_1_4.png]] | [[Image:004_csr_1_4.png]] | ||
Nachdem Sie die Angaben zu Ihrem Unternehmen und dem "Gemeinsamen Namen" (Common Name/CN) gemacht haben, fordert Windows Sie zu Angaben bezüglich des "Kryptografiedienstanbieters" auf. | Nachdem Sie die Angaben zu Ihrem Unternehmen und dem "Gemeinsamen Namen" (Common Name/[[CN]]) gemacht haben, fordert Windows Sie zu Angaben bezüglich des "Kryptografiedienstanbieters" auf. | ||
[[Image:005_csr_2_4.png]] | [[Image:005_csr_2_4.png]] | ||
Dahinter verbirgt sich der Kryptografie Mechanismus, wählen Sie hier, sofern noch nicht vorausgewählt RSA. Die Bitlänge des Schlüsselpaars muss mindestens 2048 Bit betragen. Voreingestellt ist ein Wert von 1024 Bit, der inzwischen aber von allen großen Zertifizierungsstellen abgelehnt wird. | Dahinter verbirgt sich der Kryptografie Mechanismus, wählen Sie hier, sofern noch nicht vorausgewählt "RSA". Die Bitlänge des Schlüsselpaars muss mindestens 2048 Bit betragen. Voreingestellt ist ein Wert von 1024 Bit, der inzwischen aber von allen großen Zertifizierungsstellen abgelehnt wird. | ||
[[Image:006_csr_3_4.png]] | [[Image:006_csr_3_4.png]] | ||
| Zeile 33: | Zeile 36: | ||
[[Image:007_csr_4_4.png]] | [[Image:007_csr_4_4.png]] | ||
== Einspielen von Zwischenzertifikaten (intermediate certificates) == | == Einspielen von Zwischenzertifikaten (intermediate certificates) == | ||
| Zeile 49: | Zeile 53: | ||
Importieren Sie hier nun die intermediate Zertifikate, die Ihnen die für Sie zuständige Zertifzierungsstelle zur Verfügung gestellt hat. | Importieren Sie hier nun die intermediate Zertifikate, die Ihnen die für Sie zuständige Zertifzierungsstelle zur Verfügung gestellt hat. | ||
== Einspielen des Zertifikates == | == Einspielen des Zertifikates == | ||
| Zeile 56: | Zeile 61: | ||
[[Image:008_crt.png]] | [[Image:008_crt.png]] | ||
Speichern Sie das Zertifikat mit einem Texteditor beispielsweise auf dem Desktop oder an einem anderen Ort, welchen Sie leicht wieder lokalisieren können. | Speichern Sie das Zertifikat mit einem Texteditor, beispielsweise auf dem Desktop oder an einem anderen Ort, welchen Sie leicht wieder lokalisieren können. | ||
Um das Zertifikat einspielen zu können, starten Sie wie in Schritt 1.1 den IIS Manager über das ''Startmenü -> Verwaltung''. | Um das Zertifikat einspielen zu können, starten Sie wie in Schritt 1.1 den IIS Manager über das ''Startmenü -> Verwaltung''. | ||
| Zeile 70: | Zeile 75: | ||
[[Image:015_crt_einspielen_3.png]] | [[Image:015_crt_einspielen_3.png]] | ||
Sollte es dabei zu einer Fehlermeldung kommen, dass die Zertifizierungskette unvollständig ist | Sollte es dabei zu einer Fehlermeldung kommen, dass die Zertifizierungskette unvollständig ist bzw. nicht nachvollzogen werden kann, befolgen Sie bitte die Anweisungen aus dem Abschnitt 1.2. | ||
Ist der Import abgeschlossen, wird das Zertifikat in der Übersicht angezeigt. | Ist der Import abgeschlossen, wird das Zertifikat in der Übersicht angezeigt. | ||
[[Image:016_crt_fertig.png]] | [[Image:016_crt_fertig.png]] | ||
== Zuweisen einer Bindung == | == Zuweisen einer Bindung == | ||
| Zeile 87: | Zeile 93: | ||
Richten Sie in diesem Dialog, sofern noch nicht vorhanden, eine HTTPS Verbindung ein, andernfalls bearbeiten Sie die vorhandene. Wählen Sie aus der Dropdown Liste "SSL-Zertifikate" das Zertifikat aus, das der Sitebindung zu geordnet werden soll. Starten Sie abschließend den Dienst über die Spalte "Aktionen" den neu. | Richten Sie in diesem Dialog, sofern noch nicht vorhanden, eine HTTPS Verbindung ein, andernfalls bearbeiten Sie die vorhandene. Wählen Sie aus der Dropdown Liste "SSL-Zertifikate" das Zertifikat aus, das der Sitebindung zu geordnet werden soll. Starten Sie abschließend den Dienst über die Spalte "Aktionen" den neu. | ||
== Alternative Zertifikatsinstallation == | == Alternative Zertifikatsinstallation == | ||
| Zeile 97: | Zeile 104: | ||
<code> | <code> | ||
c:\OpenSSL-Win32\bin\openssl.exe req -new -nodes -newkey rsa:2048 -keyout key.txt -out csr.txt | c:\OpenSSL-Win32\bin\openssl.exe req -new -nodes -newkey rsa:2048 -keyout key.txt -out csr.txt -sha256 | ||
</code> | </code> | ||
| Zeile 119: | Zeile 126: | ||
[[Image:021_mmc_import_own.png]] | [[Image:021_mmc_import_own.png]] | ||
Geben Sie im folgenden Dialog den Pfad zum PFX Container an. Fahren Sie fort und geben Sie im nächsten Schritt das Export-Passwort an, | Geben Sie im folgenden Dialog den Pfad zum PFX Container an. Fahren Sie fort und geben Sie im nächsten Schritt das Export-Passwort an, dass Sie beim Erzeugen des Containers verwendet haben. | ||
[[Image:023_pfx_import_password.png]] | [[Image:023_pfx_import_password.png]] | ||
| Zeile 127: | Zeile 134: | ||
[[Image:024_Import_Zertifikatsspeicher.png]] | [[Image:024_Import_Zertifikatsspeicher.png]] | ||
Nach einer letzten Statusübersicht können Sie den Import fertig stellen. Sie können | Nach einer letzten Statusübersicht können Sie den Import fertig stellen. Sie können das Zertifikat nun einer Bindung hinzufügen, wie im vorangegangenen Abschnitt bereits erläutert. | ||
== Welche Zertifikate empfehlen sich für den IIS == | == Welche Zertifikate empfehlen sich für den IIS == | ||
Da der IIS häufig in Verbindung mit dem Exchange-Server genutzt wird, bieten sich gerade in diesem Zusammenhang Multidomainzertifikate an, um die verschiedenen Hostnamen entsprechend abzusichern und eine reibungslose Funktionalität in Verbindung mit z.B. Outlook zu gewährleisten. | Da der IIS häufig in Verbindung mit dem Exchange-Server genutzt wird, bieten sich gerade in diesem Zusammenhang Multidomainzertifikate an, um die verschiedenen Hostnamen entsprechend abzusichern und eine reibungslose Funktionalität in Verbindung mit z.B. Outlook zu gewährleisten. | ||
= Weitere Informationen = | |||
Mehr Informationen zu unseren Windows IIS fähigen Produkten finden Sie hier: | |||
* [https://www.sslplus.de/ssl/anwendungsbereiche/ssl-fuer-exchange-server.html SSL Zertifikate für Exchange Server] | |||
* [https://www.sslplus.de/ssl/anwendungsbereiche/ssl-fuer-iis.html SSL Zertifikate für Microsoft IIS] | |||
Aktuelle Version vom 10. Februar 2017, 12:06 Uhr
Howto: SSL-Zertifikat für den Microsoft IIS 7.0
Auf dieser Seite erläutern wir Ihnen die Installation eines SSL-Zertifikates in einer Windows-Server-Umgebung.
Generierung einer Zertifizierungsanforderung (CSR)
Um die Zertifizierungsanforderung zu generieren verfahren Sie unter Windows 2008 Server wie folgt: Öffnen Sie über das Startmenü das Untermenü "Verwaltung" und starten Sie den "Internet Information Service Manager".
Im IIS Manager wählen Sie den betreffenden Servernamen aus. Starten Sie in der Ansicht "Features" unter "IIS" das Menü "Serverzertifikate".
Wählen Sie hier in der rechten Spalte die Option "Zertifikatsanforderung erstellen ..."
und folgen Sie den Anweisungen im folgenden Dialog wie in den folgenden Abbildungen beschrieben.
Nachdem Sie die Angaben zu Ihrem Unternehmen und dem "Gemeinsamen Namen" (Common Name/CN) gemacht haben, fordert Windows Sie zu Angaben bezüglich des "Kryptografiedienstanbieters" auf.
Dahinter verbirgt sich der Kryptografie Mechanismus, wählen Sie hier, sofern noch nicht vorausgewählt "RSA". Die Bitlänge des Schlüsselpaars muss mindestens 2048 Bit betragen. Voreingestellt ist ein Wert von 1024 Bit, der inzwischen aber von allen großen Zertifizierungsstellen abgelehnt wird.
Abschließend wählen Sie den Speicherort für den CSR. Sie sollten hier einen Ort wählen, den Sie leicht wiederfinden können. Der Inhalt des fertigen CSR stellt sich in einem Text Editor wie folgt dar:
Einspielen von Zwischenzertifikaten (intermediate certificates)
Starten Sie die MMC. Öffnen Sie dann das Snapin für Zertifikate.
Öffnen Sie hier den Zweig "Zwischenzertifizierungsstellen"->"Zertifikate" und öffnen Sie mit einem Rechtsklick das Kontextmenü und hier den Punkt "alle Aufgaben"->"Importierten".
Importieren Sie hier nun die intermediate Zertifikate, die Ihnen die für Sie zuständige Zertifzierungsstelle zur Verfügung gestellt hat.
Einspielen des Zertifikates
Nach Abschluss der Zertifizierung erhalten Sie von der Zertifizierungsstelle das Zertifikat in der Regel per Email in Textform zugestellt.
Speichern Sie das Zertifikat mit einem Texteditor, beispielsweise auf dem Desktop oder an einem anderen Ort, welchen Sie leicht wieder lokalisieren können.
Um das Zertifikat einspielen zu können, starten Sie wie in Schritt 1.1 den IIS Manager über das Startmenü -> Verwaltung.
Wählen Sie hier den entsprechenden Hostnamen und starten Sie das Menü "Zertifikate".
Spielen Sie nun über den Punkt "Zertifikatsanforderung abschließen" das fertige Zertifikat ein. Folgen Sie dabei den Anweisungen im Dialog.
Sollte es dabei zu einer Fehlermeldung kommen, dass die Zertifizierungskette unvollständig ist bzw. nicht nachvollzogen werden kann, befolgen Sie bitte die Anweisungen aus dem Abschnitt 1.2.
Ist der Import abgeschlossen, wird das Zertifikat in der Übersicht angezeigt.
Zuweisen einer Bindung
Um das Zertifikat nun zu aktivieren öffnen Sie im IIS Manager die betreffende Site.
In der rechten Menüspalte "Aktionen" starten Sie unter "Site bearbeiten" den Dialog für die Bearbeitung der "Bindungen".
Richten Sie in diesem Dialog, sofern noch nicht vorhanden, eine HTTPS Verbindung ein, andernfalls bearbeiten Sie die vorhandene. Wählen Sie aus der Dropdown Liste "SSL-Zertifikate" das Zertifikat aus, das der Sitebindung zu geordnet werden soll. Starten Sie abschließend den Dienst über die Spalte "Aktionen" den neu.
Alternative Zertifikatsinstallation
Wenn Sie den IIS-Manager umgehen möchten, um ein Zertifikat einzuspielen, bzw. schon vorher den CSR zu erzeugen, können Sie auch wie folgt vorgehen.
Laden Sie von hier den OpenSSL Light Installer und die Visual C++ Redistributables. Installieren Sie die Softwarepakete anschließend auf einem Arbeitsplatzrechner.
Öffnen Sie nun über das Startmenü die Eingabeaufforderung (cmd.exe) und erzeugen Sie den private Key und den CSR mit folgendem Befehl.
c:\OpenSSL-Win32\bin\openssl.exe req -new -nodes -newkey rsa:2048 -keyout key.txt -out csr.txt -sha256
Sie werden während der Erzeugung der Zertifikatsanforderung um Eingaben gebeten. Der komplette Vorgang stellt sich exemplarisch so dar:
Nachdem Sie das fertige Zertifikat erhalten haben, fahren Sie wie folgt fort. Legen Sie den Zertifikatstextblock im gleichen Verzeichnis ab wie die csr.txt und key.txt Datei.
Führen Sie die Daten nun mit dem folgenden Befehl zu einer .PFX Datei zusammen.
C:\Temp>c:\OpenSSL-Win32\bin\openssl.exe pkcs12 -export -in crt.txt -inkey key.txt -out keycrt.p12 -name "netzreform GmbH"
Sie werden zur Eingabe eines Passwortes gebeten, um den Container, der nun Schlüssel und Zertifikat enthält zu schützen.
Das Zertifikat und den Schlüssel importieren Sie am einfachsten über die MMC mit dem Snapin "Zertifikat". Verfahren Sie dafür wie in Abschnitt 1.2. Öffnen Sie aber statt der Zwischenzertifizierungsstellen den Zweig "Eigene Zertifikate".
Geben Sie im folgenden Dialog den Pfad zum PFX Container an. Fahren Sie fort und geben Sie im nächsten Schritt das Export-Passwort an, dass Sie beim Erzeugen des Containers verwendet haben.
Sollte der Zertifikatsspeicher "Eigene Zertifikate" noch nicht ausgewählt worden sein, holen Sie dies an dieser Stelle bitte nach.
Nach einer letzten Statusübersicht können Sie den Import fertig stellen. Sie können das Zertifikat nun einer Bindung hinzufügen, wie im vorangegangenen Abschnitt bereits erläutert.
Welche Zertifikate empfehlen sich für den IIS
Da der IIS häufig in Verbindung mit dem Exchange-Server genutzt wird, bieten sich gerade in diesem Zusammenhang Multidomainzertifikate an, um die verschiedenen Hostnamen entsprechend abzusichern und eine reibungslose Funktionalität in Verbindung mit z.B. Outlook zu gewährleisten.
Weitere Informationen
Mehr Informationen zu unseren Windows IIS fähigen Produkten finden Sie hier:
