IIS - Получение сертификата сервера

Есть два способа получения серверных сертификатов. Можно выпустить собственный сертификат, а можно получить сертификат от службы сертификации. Следующие процедуры демонстрируют, как можно организовать работу с сертификатами на сервере. Дополнительные сведения о сертификатах см. в разделе О сертификатах.

Важно!   Очень важно обеспечить сохранность и защиту сертификата и пары ключей; всегда создавайте их резервные копии на дискете и храните эту дискету в безопасном месте.

• Чтобы выпустить собственный сертификат сервера
• Чтобы получить сертификат сервера в службе сертификации
• Чтобы создать резервную копию сертификата сервера и закрытого ключа

Исследуя возможность выпуска собственных сертификатов сервера, следует рассмотреть следующие вопросы.

• Ознакомьтесь с возможностями, предлагаемыми службой сертификации; службы сертификации Microsoft Certificate Services 2.0 поддерживают различные форматы сертификатов и имеют средства для аудита и регистрации событий, связанных с сертификатами.
• Сравните стоимость выпуска собственных сертификатов и приобретения сертификата в службе сертификации.
• Организации может потребоваться некоторое время, чтобы изучить, реализовать и интегрировать службы сертификации с существующими системами и политиками безопасности.

1. Используйте службы сертификации для создания настраиваемой службы выпуска сертификатов и управления ими. Серверные сертификаты можно создавать для Интернета или корпоративных интрасетей, что позволяет установить в организации полный контроль над политиками управления сертификатами. Дополнительные сведения см. в документации по службам сертификации Microsoft.
2. Для получения и установки сертификата сервера используйте мастер сертификатов веб-сервера.

Примечания

• Интерактивные запросы на серверные сертификаты можно выполнять только к службам сертификации организации. Мастер сертификатов веб-сервера IIS не распознает изолированную службу сертификации, работающую на том же компьютере. Используйте автономный запрос на сертификат для сохранения сертификата в файле и его автономной обработки (см. документацию по службам сертификации). Интерактивные запросы с использованием локальных служб сертификации организации при этом не затрагиваются.
• При открытии сертификата SGC, на вкладке Общие может возникнуть сообщение "Этот сертификат не удалось проверить для всех указанных для него целей применения." Это сообщение обусловлено способом, которым сертификаты SGC взаимодействуют с Windows 2000, и не обязательно свидетельствует о том, что сертификат работает неправильно.

Примечание.    Если заменяется текущий сертификат сервера, IIS будет продолжать использовать его до тех пор, пока новый запрос не будет полностью обработан.

1. Найдите службу сертификации, предлагающую услуги, которые отвечают требованиям вашей организации, и запросите сертификат сервера.

При выборе службы сертификации необходимо рассмотреть следующие вопросы:

• Сможет ли служба сертификации выдать вам сертификат, совместимый со всеми обозревателями, с помощью которых пользователи обращаются к вашему серверу?
• Является ли служба сертификации известной организацией, которой можно доверять?
• Каким образом служба сертификации обеспечивает подтверждение вашей подлинности?
• Имеет ли эта служба систему интерактивного приема запросов на сертификаты, например запросов, созданных с помощью мастера сертификатов веб-сервера?
• Сколько будет стоить сам сертификат, а также его последующие обновления и другие услуги?
• Имеет ли служба сертификации опыт в области деловых интересов вашей компании?

Список сертификационных служб, поддерживающих Internet Information Services, находится на веб-узле Microsoft Security по адресу http://backoffice.microsoft.com/securitypartners/. В списке By Category выберите строку Certificate Authority Services.

Примечание.  Некоторые службы сертификации требуют подтверждения вашей подлинности перед обработкой запроса или выдачей сертификата.

Создание резервной копии сертификата сервера и закрытого ключа

Примечание.   В предыдущей версии IIS для создания резервных копий сертификатов сервера использовалась программа Key Manager. В настоящей версии программу Key Manager заменяет мастер сертификатов веб-сервера. Так как IIS тесно связан с Windows, для экспорта и создания резервных копий сертификатов сервера можно использовать диспетчер сертификатов.

1. Откройте соответствующее хранилище сертификатов. Обычно, это хранилище «Локальный компьютер» в диспетчере сертификатов.

Примечание.   Если диспетчера сертификатов нет в MMC, его нужно установить.

2. Выберите сертификат в хранилище «Личные».
3. В меню Действие выберите команду Все задачи и подкоманду Экспорт.
4. В мастере экспорта диспетчера сертификатов выберите переключатель Да, экспортировать закрытый ключ.
5. Используйте предлагаемые мастером значения по умолчанию и введите пароль для файла, содержащего резервную копию сертификата.

Важно!   Не устанавливайте флажок Удалить закрытый ключ после успешного экспорта, так как это приведет к прекращению использования текущего сертификата сервера.

6. Завершите операцию создания резервной копии сертификата сервера.

Примечание.   Если диспетчер сертификатов уже установлен в консоли MMC, он будет указывать на хранилище сертификатов «Локальный компьютер».

1. Откройте консоль MMC и выберите команду Добавить/удалить оснастку в меню «Консоль».
2. Нажмите кнопку Добавить.
3. Выберите в списке строку Сертификаты.
4. Нажмите кнопку Добавить.
5. Выберите переключатель учетной записи компьютера.
6. Выберите переключатель локальным компьютером (тем, на котором выполняется эта консоль).
7. Нажмите кнопку Готово.