DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 298805 - Geändert am: Mittwoch, 26. März 2014 - Version: 1.0

Auf dieser Seite

Zusammenfassung

Dieser Artikel behandelt die folgenden Punkte:
  • Einrichten und Aktivieren von Serverzertifikaten, damit Ihre Kunden sicher sein können, dass Ihre Website gültig ist und alle an Sie gesendeten Informationen privat und vertraulich bleiben.
  • Verwenden von Zertifikaten von Drittanbietern zum Aktivieren von SSL (Secure Sockets Layer). Zusätzlich enthält der Artikel einen allgemeinen Überblick über den Prozess der Generierung einer Zertifikatsignieranforderung, die zum Erwerben eines Zertifikats von Drittanbietern erforderlich ist.
  • Aktivieren von SSL-Verbindungen für Ihre Website.
  • Erzwingen von SSL für alle Verbindungen und Festlegen der erforderlichen Verschlüsselungslänge zwischen den Clients und Ihrer Website.
Über die SSL-Sicherheitsfunktionen Ihres Webservers sind zwei Arten der Authentifizierung möglich. Sie können ein Serverzertifikat verwenden, um es den Benutzern zu ermöglichen, Ihre Website zu authentifizieren, bevor sie persönliche Informationen, wie z. B. eine Kreditkartennummer, übermitteln. Sie können auch Clientzertifikate verwenden, um Benutzer zu authentifizieren, die Informationen von Ihrer Website anfordern.

In diesem Artikel wird vorausgesetzt, dass Sie eine Zertifizierungsstelle (Certificate Authority, CA) eines Drittanbieters verwenden, um die Authentifizierung für Ihren Webserver bereitzustellen.

Zum Aktivieren der Überprüfung von SSL-Serverzertifikaten und zum Bereitstellen der von Ihren Kunden gewünschten Sicherheitsstufe sollten Sie ein Zertifikat von einer Zertifizierungsstelle eines Drittanbieters beziehen. Zertifikate, die von einer Drittanbieter-Zertifizierungsstelle für Ihre Organisation ausgestellt werden, sind normalerweise an den Webserver und insbesondere an die Website gebunden, an die Sie SSL binden möchten. Sie können eigene Zertifikate mit dem IIS-Server (Internet Information Services, Internetinformationsdienste) erstellen. Dies setzt allerdings voraus, dass die Clients Ihnen implizit als Zertifizierungsstelle vertrauen.

In diesem Artikel wird Folgendes vorausgesetzt:
  • IIS ist installiert.
  • Die Website, die mit SSL gesichert werden soll, wurde erstellt und veröffentlicht.

Beziehen eines Zertifikats

Um den Prozess zum Beziehen des Zertifikats einzuleiten, müssen Sie eine Zertifikatsignieranforderung generieren. Dies wird mithilfe der IIS-Managementkonsole durchgeführt; daher muss IIS installiert sein, bevor eine Zertifikatsignieranforderung generiert werden kann. Eine Zertifikatsignieranforderung ist im Grunde ein Zertifikat, das Sie auf Ihrem Server generieren und das beim Anfordern eines Zertifikats von einer Drittanbieter-Zertifizierungsstelle die computerspezifischen Informationen über Ihren Server validiert. Die Zertifikatsignieranforderung ist einfach eine verschlüsselte Textnachricht, die mit einem öffentlichen/privaten Schlüsselpaar verschlüsselt wird.

Normalerweise sind in einer von Ihnen generierten Zertifikatsignieranforderung die folgenden Informationen über Ihren Computer enthalten:
  • Organisation
  • Organisationseinheit
  • Land
  • Zustand
  • Ort
  • Allgemeiner NameHinweis: Der allgemeine Name (CN) setzt sich normalerweise aus dem Namen des Hostcomputers und der Domäne zusammen, der er angehört, wie z. B. "xyz.com". In diesem Fall gehört der Computer zur Domäne ".com" und trägt den Namen "xyz". Dabei kann es sich um den Stammserver Ihrer Unternehmensdomäne oder einfach um eine Website handeln.

Generieren der Zertifikatsignieranforderung

  1. Öffnen Sie die IIS-MMC (Microsoft Management Console). Klicken Sie hierzu mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie auf Verwalten. Die Computerverwaltungskonsole wird geöffnet. Erweitern Sie den Abschnitt Dienste und Anwendungen. Suchen Sie Internet-Informationsdienste, und erweitern Sie die IIS-Konsole.
  2. Wählen Sie die spezielle Website aus, auf der Sie ein Serverzertifikat installieren möchten. Klicken Sie mit der rechten Maustaste auf die Site, und klicken Sie auf Eigenschaften.
  3. Klicken Sie auf die Registerkarte Verzeichnissicherheit. Klicken Sie im Abschnitt Sichere Kommunikation auf Serverzertifikat. Der Assistent für Webserverzertifikate wird gestartet. Klicken Sie auf Weiter.
  4. Wählen Sie die Option Neues Zertifikat erstellen aus, und klicken Sie auf Weiter.
  5. Wählen Sie Anforderung jetzt vorbereiten, aber später senden aus, und klicken Sie auf Weiter.
  6. Geben Sie in das Feld Name einen Namen ein, den Sie sich merken können. Standardmäßig wird der Name der Website verwendet, für den die Zertifikatsignieranforderung generiert wird.Hinweis: Beim Generieren der Zertifikatsignieranforderung muss eine Bitlänge angegeben werden. Die Bitlänge des Verschlüsselungsschlüssels bestimmt die Verschlüsselungsstärke des Zertifikats, das an die Drittanbieter-CA gesendet wird. Je größer die Bitlänge, desto stärker die Verschlüsselung. Die meisten Drittanbieter-CAs ziehen eine Mindestlänge von 1024 Bit vor.

  7. Geben Sie im Abschnitt Organisationsinformationen die Informationen zu Ihrer Organisation und Organisationseinheit ein. Diese Angaben müssen präzise sein, weil diese Anmeldeinformationen der Drittanbieter-Zertifizierungsstelle übergeben werden und deren Lizenzierung des Zertifikats entsprechen müssen. Klicken Sie auf Weiter, um auf den Abschnitt Gemeinsamer Name (CN) Ihrer Site zuzugreifen.
  8. Der Abschnitt Gemeinsamer Name (CN) Ihrer Site ist für das Anbinden des Zertifikats an Ihre Website zuständig. Geben Sie für SSL-Zertifikate den Namen des Hostcomputers zusammen mit dem Domänennamen ein. Für Intranet-Server kann der NetBIOS-Name des Computers verwendet werden, auf dem die Site bereitgestellt wird. Klicken Sie auf Weiter, um auf die geographischen Informationen zuzugreifen.
  9. Geben Sie die Informationen zu Ihrem Land und Bundesland ein. Schreiben Sie das Land und das Bundesland vollständig aus; verwenden Sie keine Abkürzungen. Klicken Sie auf Weiter.
  10. Speichern Sie die Datei als Textdatei (.txt).
  11. Bestätigen Sie die Details Ihrer Anforderung. Klicken Sie auf Weiter, um den Vorgang abzuschließen, und beenden Sie den Assistenten für Webserverzertifikate.

Anfordern des Zertifikats

Es gibt verschiedene Verfahren zum Übermitteln der Anforderung. Wenden Sie sich an den Zertifikatsanbieter Ihrer Wahl, um die zu verwendende Methode und die beste Zertifikatsstufe für Ihre Bedürfnisse zu bestimmen. Abhängig von der Methode, die zum Senden der Anforderung an die Zertifizierungsstelle gewählt wird, können Sie die Zertifikatsignieranforderungsdatei aus Schritt 10 im Abschnitt "Generieren der Zertifikatsignieranforderung" senden, oder müssen Sie den Inhalt dieser Datei kopieren und in die Anforderung einfügen. Diese Datei wird verschlüsselt und enthält eine Kopfzeile und eine Fußzeile für den Inhalt. Sie müssen beim Anfordern des Zertifikats sowohl die Kopfzeile als auch die Fußzeile angeben. Eine Zertifikatsignieranforderung sollte in etwa wie folgt aussehen:
-----BEGINN NEUE ZERTIFIKATANFORDERUNG-----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-----ENDE NEUE ZERTIFIKATANFORDERUNG-----
					

Installieren des Zertifikats

Nachdem die Drittanbieter-Zertifizierungsstelle Ihre Anforderung für ein Serverzertifikat bearbeitet hat, erhalten Sie das Zertifikat per E-Mail oder über eine Downloadsite. Das Zertifikat muss auf der Website installiert werden, auf der Sie sichere Kommunikation bereitstellen möchten.

Führen Sie die folgenden Schritte aus, um das Zertifikat zu installieren:
  1. Laden oder kopieren Sie das Zertifikat, das Sie von der Zertifizierungsstelle bezogen haben, auf den Webserver.
  2. Öffnen Sie die IIS-MMC, wie im Abschnitt "Generieren der CSR" beschrieben.
  3. Öffnen Sie das Dialogfeld Eigenschaften für die Website, auf der Sie das Zertifikat installieren.
  4. Klicken Sie auf die Registerkarte Verzeichnissicherheit und anschließend auf Serverzertifikat. Der Assistent für Webserverzertifikate wird gestartet. Klicken Sie auf Weiter.
  5. Wählen Sie Ausstehende Anforderung verarbeiten und Zertifikat installieren, und klicken Sie dann auf Weiter.
  6. Wechseln Sie zu dem Speicherort des Zertifikat, das Sie in Schritt 1 gespeichert haben. Klicken Sie zweimal auf Weiter und anschließend auf Fertig stellen.

Erzwingen von SSL-Verbindungen

Nachdem das Serverzertifikat installiert worden ist, können Sie SSL-Verbindungen über einen sicheren Kanal mit Clients des Webservers erzwingen. Zunächst müssen Sie Anschluss 443 für sichere Kommunikation mit der Website aktivieren. Gehen Sie hierzu wie folgt vor:
  1. Klicken Sie in der Computerverwaltungskonsole mit der rechten Maustaste auf die Website, auf der Sie SSL erzwingen möchten, und klicken Sie auf Eigenschaften.
  2. Klicken Sie auf die Registerkarte Website. Überprüfen Sie im Abschnitt Identifizierung der Website, ob das Feld SSL-Anschluss den numerischen Wert 443 aufweist.
  3. Klicken Sie auf Erweitert. Es sollten zwei Felder angezeigt werden. Die IP-Adresse und der Anschluss der Website sollten bereits im Feld Mehrere Identitäten für diese Website aufgelistet sein. Klicken Sie unter dem Feld Mehrere SSL-Identitäten für diese Website auf Hinzufügen, wenn der Anschluss 443 nicht in der Liste aufgeführt ist. Wählen Sie die IP-Adresse der Servers aus, und geben Sie den numerischen Wert 443 in das Feld SSL-Anschluss ein. Klicken Sie auf OK.
Nachdem der Anschluss 443 aktiviert ist, können Sie SSL-Verbindungen erzwingen. Gehen Sie hierzu wie folgt vor:
  1. Klicken Sie auf die Registerkarte Verzeichnissicherheit. Beachten Sie, dass im Abschnitt Sichere Kommunikation jetzt die Option Bearbeiten verfügbar ist. Klicken Sie auf Bearbeiten.
  2. Wählen Sie Sicheren Kanal voraussetzen (SSL).Hinweis: Wenn Sie 128-Bit-Verschlüsselung angeben, können Clients, die einen Browser mit einer Verschlüsselungsstärke von 40 Bit oder 56 Bit verwenden, nicht mit Ihrer Website kommunizieren, sofern sie ihre Verschlüsselungsstärke nicht erhöhen.
  3. Öffnen Sie Ihren Browser, und versuchen Sie, mit dem standardmäßigen HTTP-Protokoll eine Verbindung mit dem Webserver herzustellen. Wenn SSL erzwungen wird, wird die folgende Fehlermeldung angezeigt:
    Die Seite kann nur über eine sichere Verbindung abgerufen werden
    Diese Seite erfordert die Eingabe von "https" im Adressfenster.

    Versuchen Sie Folgendes: Setzen Sie https:// an den Anfang der Adresse, die Sie erreichen möchten. HTTP 403.4 - Verboten: SSL erfordert Internetinformationsdienste
    Technische Informationen (für Supportmitarbeiter) - Hintergrund: Dieser Fehler zeigt an, dass die Seite, auf die Sie zugreifen möchten, durch Secure Sockets Layer (SSL) geschützt wird.
    Verbindungen mit Ihrer Website können jetzt nur über das HTTPS-Protokoll hergestellt werden.
Hinweis Dies ist ein Artikel, der im Schnellverfahren direkt von der Microsoft-Supportorganisation erstellt wurde. Die hierin enthaltenen Informationen werden als Reaktion auf neue Probleme wie besehen bereitgestellt. Da dieser Artikel im Schnellverfahren erstellt wurde, kann er Tippfehler enthalten und zu einem späteren Zeitpunkt ohne vorherige Ankündigung überarbeitet werden. Weitere zu berücksichtigende Informationen finden Sie in den Nutzungsbedingungen (http://go.microsoft.com/fwlink/?LinkId=151500) .

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 6.0
Keywords: 
kbhowtomaster KB298805
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store