Microsoft IIS 7.0: Unterschied zwischen den Versionen
| Zeile 32: | Zeile 32: | ||
Der Inhalt des fertigen CSR stellt sich in einem Text Editor wie folgt dar: | Der Inhalt des fertigen CSR stellt sich in einem Text Editor wie folgt dar: | ||
[[Image:007_csr_4_4.png]] | |||
== 2. Einspielen von Zwischenzertifikaten (intermediate certificates) == | |||
Starten Sie die MMC. Öffnen Sie dann das Snapin für Zertifikate. | Starten Sie die MMC. Öffnen Sie dann das Snapin für Zertifikate. | ||
[[Image:011_MMC_1.png]] | |||
[[Image:012_MMC_2.png]] | |||
[[Image:013_MMC_3.png]] | |||
Öffnen Sie hier den Zweig "Zwischenzertifizierungsstellen"->"Zertifikate" und öffnen Sie mit einem Rechtsklick das Kontextmenü und hier den Punkt "alle Aufgaben"->"Importierten". | Öffnen Sie hier den Zweig ''"Zwischenzertifizierungsstellen"->"Zertifikate"'' und öffnen Sie mit einem Rechtsklick das Kontextmenü und hier den Punkt ''"alle Aufgaben"->"Importierten"''. | ||
[[Image:014_MMC_4.png]] | |||
Importieren Sie hier nun die intermediate Zertifikate, die Ihnen die für Sie zuständige Zertifzierungsstelle zur Verfügung gestellt hat. | Importieren Sie hier nun die intermediate Zertifikate, die Ihnen die für Sie zuständige Zertifzierungsstelle zur Verfügung gestellt hat. | ||
3. Einspielen des Zertifikates | |||
== 3. Einspielen des Zertifikates == | |||
Nach Abschluss der Zertifizierung erhalten Sie von der Zertifizierungsstelle das Zertifikat in der Regel per Email in Textform zugestellt. | Nach Abschluss der Zertifizierung erhalten Sie von der Zertifizierungsstelle das Zertifikat in der Regel per Email in Textform zugestellt. | ||
[[Image:008_crt.png]] | |||
Speichern Sie das Zertifikat mit einem Texteditor beispielsweise auf dem Desktop oder an einem anderen Ort, welchen Sie leicht wieder lokalisieren können. | Speichern Sie das Zertifikat mit einem Texteditor beispielsweise auf dem Desktop oder an einem anderen Ort, welchen Sie leicht wieder lokalisieren können. | ||
Um das Zertifikat einspielen zu können, starten Sie wie in Schrit 1.1 den IIS Manager über das ''Startmenü -> Verwaltung''. | |||
[[Image:009_crt_einspielen.png]] | |||
Wählen Sie hier den entsprechenden Hostnamen und starten Sie das Menü "Zertifikate". | Wählen Sie hier den entsprechenden Hostnamen und starten Sie das Menü "Zertifikate". | ||
[[Image:010_crt_einspielen_2.png]] | |||
Spielen Sie nun über den Punkt "Zertifikatsanforderung abschliessen" das fertige Zertifikat ein. Folgen Sie dabei den Anweisungen im Dialog. | Spielen Sie nun über den Punkt "Zertifikatsanforderung abschliessen" das fertige Zertifikat ein. Folgen Sie dabei den Anweisungen im Dialog. | ||
[[Image:015_crt_einspielen_3.png]] | |||
Sollte es dabei zu einer Fehlermeldung kommen, dass die Zertifizierungskette unvollständig ist, bzw. nicht nachvollzogen werden kann, befolgen Sie bitte die Anweisungen aus dem Abschnitt 1.2 | Sollte es dabei zu einer Fehlermeldung kommen, dass die Zertifizierungskette unvollständig ist, bzw. nicht nachvollzogen werden kann, befolgen Sie bitte die Anweisungen aus dem Abschnitt 1.2 | ||
Ist der Import abgeschlossen, wird das Zertifikat in der Übersicht angezeigt. | Ist der Import abgeschlossen, wird das Zertifikat in der Übersicht angezeigt. | ||
[[Image:016_crt_fertig.png]] | |||
== 4. Zuweisen einer Bindung == | |||
Um das Zertifikat nun zu aktivieren öffnen Sie im IIS Manager die betreffende Site. | Um das Zertifikat nun zu aktivieren öffnen Sie im IIS Manager die betreffende Site. | ||
[[Image:017_Bindung_1.png]] | |||
In der rechten Menüspalte "Aktionen" starten Sie unter "Site bearbeiten" den Dialog für die Bearbeitung der "Bindungen". | In der rechten Menüspalte "Aktionen" starten Sie unter "Site bearbeiten" den Dialog für die Bearbeitung der "Bindungen". | ||
[[Image:018_Bindung_2.png]] | |||
Richten Sie in diesem Dialog, sofern noch nicht vorhanden, eine HTTPS Verbindung ein, andernfalls bearbeiten Sie die vorhandene. Wählen Sie aus der Dropdown Liste "SSL-Zertifikate" das Zertifikat aus, das der Sitebindung zu geordnet werden soll. Starten Sie abschliessend den Dienst über die Spalte "Aktionen" den neu. | Richten Sie in diesem Dialog, sofern noch nicht vorhanden, eine HTTPS Verbindung ein, andernfalls bearbeiten Sie die vorhandene. Wählen Sie aus der Dropdown Liste "SSL-Zertifikate" das Zertifikat aus, das der Sitebindung zu geordnet werden soll. Starten Sie abschliessend den Dienst über die Spalte "Aktionen" den neu. | ||
5. Alternative Zertifikatsinstallation | |||
== 5. Alternative Zertifikatsinstallation == | |||
Wenn Sie den IIS-Manager umgehen möchten, um ein Zertifikat einzuspielen, bzw. schon vorher den CSR zu erzeugen, können Sie auch wie folgt vorgehen. | Wenn Sie den IIS-Manager umgehen möchten, um ein Zertifikat einzuspielen, bzw. schon vorher den CSR zu erzeugen, können Sie auch wie folgt vorgehen. | ||
Laden Sie von hier den OpenSSL Light Installer und die Visual C++ Redistributables. Installieren Sie die Softwarepakete anschliessend auf einem Arbeitsplatzrechner. | Laden Sie von hier den OpenSSL Light Installer und die Visual C++ Redistributables. Installieren Sie die Softwarepakete anschliessend auf einem Arbeitsplatzrechner. | ||
Öffnen Sie nun über das Startmenü die Eingabeaufforderung (cmd.exe) und erzeugen Sie den private Key und den CSR mit folgendem Befehl. | Öffnen Sie nun über das Startmenü die Eingabeaufforderung (cmd.exe) und erzeugen Sie den private Key und den CSR mit folgendem Befehl. | ||
c:\OpenSSL-Win32\bin\openssl.exe req -new -nodes -newkey rsa:2048 -keyout key.txt -out csr.txt | |||
<code> | |||
c:\OpenSSL-Win32\bin\openssl.exe req -new -nodes -newkey rsa:2048 -keyout key.txt -out csr.txt | |||
</code> | |||
Sie werden während der Erzeugung der Zertifikatsanforderung um Eingaben gebeten. Der komplette Vorgang stellt sich exemplarisch so dar: | Sie werden während der Erzeugung der Zertifikatsanforderung um Eingaben gebeten. Der komplette Vorgang stellt sich exemplarisch so dar: | ||
[[Image:019_CSR_via_CMD-exe_klein.png]] | |||
Nachdem Sie das fertige Zertifikat erhalten haben, fahren Sie wie folgt fort. Legen Sie den Zertifikatstextblock im gleichen Verzeichnis ab wie die csr.txt und key.txt Datei. | Nachdem Sie das fertige Zertifikat erhalten haben, fahren Sie wie folgt fort. Legen Sie den Zertifikatstextblock im gleichen Verzeichnis ab wie die csr.txt und key.txt Datei. | ||
Führen Sie die Daten nun mit dem folgenden Befehl zu einer .PFX Datei zusammen. | Führen Sie die Daten nun mit dem folgenden Befehl zu einer .PFX Datei zusammen. | ||
| Zeile 98: | Zeile 113: | ||
Sie werden zur Eingabe eines Passwortes gebeten, um den Container, der nun Schlüssel und Zertifikat enthält zu schützen. | Sie werden zur Eingabe eines Passwortes gebeten, um den Container, der nun Schlüssel und Zertifikat enthält zu schützen. | ||
[[Image:020_PFX_CMD-exe.png]] | |||
Das Zertifikat und den Schlüssel importieren Sie am einfachsten über die MMC mit dem Snapin "Zertifikat". Verfahren Sie dafür wie in Abschnitt 1.2. Öffnen Sie aber statt der Zwischenzertifizierungsstellen den Zweig "Eigene Zertifikate. | Das Zertifikat und den Schlüssel importieren Sie am einfachsten über die MMC mit dem Snapin ''"Zertifikat"''. Verfahren Sie dafür wie in Abschnitt 1.2. Öffnen Sie aber statt der Zwischenzertifizierungsstellen den Zweig ''"Eigene Zertifikate"''. | ||
[[Image:021_mmc_import_own.png]] | |||
Geben Sie im folgenden Dialog den Pfad zum PFX Container an. Fahren Sie fort und geben Sie im nächsten Schritt das Export-Passwort an, das Sie beim Erzeugen des Containers verwendet haben. | Geben Sie im folgenden Dialog den Pfad zum PFX Container an. Fahren Sie fort und geben Sie im nächsten Schritt das Export-Passwort an, das Sie beim Erzeugen des Containers verwendet haben. | ||
[[Image:023_pfx_import_password.png]] | |||
Sollte der Zertifikatsspeicher "Eigene Zertifikate" noch nicht ausgewählt worden sein, holen Sie dies an dieser Stelle bitte nach. | Sollte der Zertifikatsspeicher ''"Eigene Zertifikate"'' noch nicht ausgewählt worden sein, holen Sie dies an dieser Stelle bitte nach. | ||
[[Image:024_Import_Zertifikatsspeicher.png]] | |||
Nach einer letzten Statusübersicht können Sie den Import fertig stellen. Sie können Das Zertifikat nun einer Bindung hinzufügen, wie im vorangegangenen Abschnitt bereits erläutert. | Nach einer letzten Statusübersicht können Sie den Import fertig stellen. Sie können Das Zertifikat nun einer Bindung hinzufügen, wie im vorangegangenen Abschnitt bereits erläutert. | ||
6. Welche Zertifikate empfehlen sich für den IIS | |||
== 6. Welche Zertifikate empfehlen sich für den IIS == | |||
Da der IIS häufig in Verbindung mit dem Exchange-Server genutzt wird, bieten sich gerade in diesem Zusammenhang Multidomainzertifikate an, um die verschiendenen Hostnamen entsprechend abzusichern und eine reibungslose Funktionalität in Verbindung mit zB Outlook zu gewährleisten. | Da der IIS häufig in Verbindung mit dem Exchange-Server genutzt wird, bieten sich gerade in diesem Zusammenhang Multidomainzertifikate an, um die verschiendenen Hostnamen entsprechend abzusichern und eine reibungslose Funktionalität in Verbindung mit zB Outlook zu gewährleisten. | ||
Version vom 16. August 2012, 10:01 Uhr
Howto: SSL-Zertifikat für den Microsoft IIS 7.0
Auf dieser Seite erläutern wir Ihnen die Installation eines SSL-Zertifikates in einer Windows-Server-Umgebung.
1. Generierung einer Zertifizierungsanforderung (CSR)
Um die Zertifizierungsanforderung zu generieren verfahren Sie unter Windows 2008 Server wir folgt. Öffnen Sie über das Startmenü das Untermenü Verwaltung und starten Sie den "Internet Information Service Manager".
Im IIS Manager wählen Sie den betreffenden Servernamen aus. Starten Sie in der Ansicht "Features" unter "IIS" das Menü "Serverzertifikate".
Wählen Sie hier in der rechten Spalte die Option "Zertifikatsaforderung erstellen ..."
und folgen Sie den Anweisungen im folgenden Dialog wie in den folgenden Abbildungen beschrieben.
Nachdem Sie die Angaben zu Ihrem Unternehmen und dem "Gemeinsamen Namen" (Common Name/CN) gemacht haben, fordert Windows Sie zu Angaben bezüglich des "Kryptografiedienstanbieters" auf.
Dahinter verbirgt sich der Kryptografie Mechanismus, wählen Sie hier, sofern noch nicht vorausgewählt RSA. Die Bitlänge des Schlüsselpaars muss mindestes 2048 Bit betragen. Voreingestellt ist ein Wert von 1024 Bit, der inzwischen aber von allen großen Zertifizierungsstellen abgelehnt wird.
Abschließend wählen SIe den Speicherort für den CSR. Sie sollten hier einen Ort wählen, den Sie leicht wiederfinden können. Der Inhalt des fertigen CSR stellt sich in einem Text Editor wie folgt dar:
2. Einspielen von Zwischenzertifikaten (intermediate certificates)
Starten Sie die MMC. Öffnen Sie dann das Snapin für Zertifikate.
Öffnen Sie hier den Zweig "Zwischenzertifizierungsstellen"->"Zertifikate" und öffnen Sie mit einem Rechtsklick das Kontextmenü und hier den Punkt "alle Aufgaben"->"Importierten".
Importieren Sie hier nun die intermediate Zertifikate, die Ihnen die für Sie zuständige Zertifzierungsstelle zur Verfügung gestellt hat.
3. Einspielen des Zertifikates
Nach Abschluss der Zertifizierung erhalten Sie von der Zertifizierungsstelle das Zertifikat in der Regel per Email in Textform zugestellt.
Speichern Sie das Zertifikat mit einem Texteditor beispielsweise auf dem Desktop oder an einem anderen Ort, welchen Sie leicht wieder lokalisieren können.
Um das Zertifikat einspielen zu können, starten Sie wie in Schrit 1.1 den IIS Manager über das Startmenü -> Verwaltung.
Wählen Sie hier den entsprechenden Hostnamen und starten Sie das Menü "Zertifikate".
Spielen Sie nun über den Punkt "Zertifikatsanforderung abschliessen" das fertige Zertifikat ein. Folgen Sie dabei den Anweisungen im Dialog.
Sollte es dabei zu einer Fehlermeldung kommen, dass die Zertifizierungskette unvollständig ist, bzw. nicht nachvollzogen werden kann, befolgen Sie bitte die Anweisungen aus dem Abschnitt 1.2
Ist der Import abgeschlossen, wird das Zertifikat in der Übersicht angezeigt.
4. Zuweisen einer Bindung
Um das Zertifikat nun zu aktivieren öffnen Sie im IIS Manager die betreffende Site.
In der rechten Menüspalte "Aktionen" starten Sie unter "Site bearbeiten" den Dialog für die Bearbeitung der "Bindungen".
Richten Sie in diesem Dialog, sofern noch nicht vorhanden, eine HTTPS Verbindung ein, andernfalls bearbeiten Sie die vorhandene. Wählen Sie aus der Dropdown Liste "SSL-Zertifikate" das Zertifikat aus, das der Sitebindung zu geordnet werden soll. Starten Sie abschliessend den Dienst über die Spalte "Aktionen" den neu.
5. Alternative Zertifikatsinstallation
Wenn Sie den IIS-Manager umgehen möchten, um ein Zertifikat einzuspielen, bzw. schon vorher den CSR zu erzeugen, können Sie auch wie folgt vorgehen.
Laden Sie von hier den OpenSSL Light Installer und die Visual C++ Redistributables. Installieren Sie die Softwarepakete anschliessend auf einem Arbeitsplatzrechner.
Öffnen Sie nun über das Startmenü die Eingabeaufforderung (cmd.exe) und erzeugen Sie den private Key und den CSR mit folgendem Befehl.
c:\OpenSSL-Win32\bin\openssl.exe req -new -nodes -newkey rsa:2048 -keyout key.txt -out csr.txt
Sie werden während der Erzeugung der Zertifikatsanforderung um Eingaben gebeten. Der komplette Vorgang stellt sich exemplarisch so dar:
Nachdem Sie das fertige Zertifikat erhalten haben, fahren Sie wie folgt fort. Legen Sie den Zertifikatstextblock im gleichen Verzeichnis ab wie die csr.txt und key.txt Datei.
Führen Sie die Daten nun mit dem folgenden Befehl zu einer .PFX Datei zusammen.
C:\Temp>c:\OpenSSL-Win32\bin\openssl.exe pkcs12 -export -in crt.txt -inkey key.txt -out keycrt.p12 -name "netzreform GmbH"
Sie werden zur Eingabe eines Passwortes gebeten, um den Container, der nun Schlüssel und Zertifikat enthält zu schützen.
Das Zertifikat und den Schlüssel importieren Sie am einfachsten über die MMC mit dem Snapin "Zertifikat". Verfahren Sie dafür wie in Abschnitt 1.2. Öffnen Sie aber statt der Zwischenzertifizierungsstellen den Zweig "Eigene Zertifikate".
Geben Sie im folgenden Dialog den Pfad zum PFX Container an. Fahren Sie fort und geben Sie im nächsten Schritt das Export-Passwort an, das Sie beim Erzeugen des Containers verwendet haben.
Sollte der Zertifikatsspeicher "Eigene Zertifikate" noch nicht ausgewählt worden sein, holen Sie dies an dieser Stelle bitte nach.
Nach einer letzten Statusübersicht können Sie den Import fertig stellen. Sie können Das Zertifikat nun einer Bindung hinzufügen, wie im vorangegangenen Abschnitt bereits erläutert.
6. Welche Zertifikate empfehlen sich für den IIS
Da der IIS häufig in Verbindung mit dem Exchange-Server genutzt wird, bieten sich gerade in diesem Zusammenhang Multidomainzertifikate an, um die verschiendenen Hostnamen entsprechend abzusichern und eine reibungslose Funktionalität in Verbindung mit zB Outlook zu gewährleisten.
