O SSL (Secure Sockets Layer) é um conjunto de tecnologias criptográficas que fornece autenticação, confidencialidade e integridade de dados. O SSL é mais comumente usado entre navegadores da Web e servidores Web para criar um canal de comunicação seguro. Ele também pode ser usado para fornecer segurança às comunicações entre aplicativos cliente e serviços da Web.
Para dar suporte a comunicações SSL, um servidor Web deve ser configurado com um certificado SSL. Este módulo descreve como obter um certificado SSL e como configurar o Microsoft® Internet Information Services (IIS) para dar suporte a comunicações seguras com navegadores da Web e outros tipos de aplicativos cliente usando o SSL.
Objetivos
Use este módulo para:
•Obter um certificado SSL.
•Instalar o certificado SSL em um servidor IIS.
•Configurar um diretório virtual para exigir o SSL.
Aplica-se a
Este módulo aplica-se aos seguintes produtos e tecnologias:
•Microsoft Windows® XP ou Windows 2000 Server (com Service Pack 3) e sistemas operacionais posteriores
•Microsoft Internet Information Services 5.0
•Serviços de Certificados Microsoft (se for necessário gerar seus próprios certificados)
Como usar este módulo
Para obter o máximo deste módulo:
•Você deve ter experiência na configuração de IIS.
•Você deve ter acesso a uma autoridade de certificação (CA), como Serviços de Certificados Microsoft, se for preciso gerar seus próprios certificados.
•Você deve decidir de qual autoridade de certificação comercial solicitar um certificado SSL se não desejar gerar seus próprios certificados. A maioria das autoridades de certificação cobra por esse serviço.
•Leia o módulo 4, “Comunicações seguras”. Ele fornece uma introdução ao SSL e descreve as situações nas quais ele é mais comumente usado.
Gerar uma solicitação de certificado
Este procedimento cria uma nova solicitação de certificado, que pode ser enviada a uma autoridade de certificação para processamento. Se bem-sucedida, a autoridade de certificação enviará de volta um arquivo contendo um certificado validado.
•Para gerar uma solicitação de certificado
1.Inicie o snap-in MMC (Console de Gerenciamento Microsoft) do IIS.
2.Expanda o nome do servidor Web e selecione o site para o qual deseja instalar um certificado.
3.Clique com o botão direito do mouse no site e clique em Propriedades.
4.Clique na guia Segurança de pasta.
5.Clique no botão Certificado do Servidor em Comunicações seguras para iniciar o Assistente de Certificado de Servidor Web.
Observação: Se a opção Certificado do Servidor não estiver disponÃvel, provavelmente você selecionou um diretório virtual, um diretório ou um arquivo. Volte para a Etapa 2 e selecione um site.
6.Clique em Avançar para sair da caixa de diálogo Bem-vindo.
7.Clique em Criar um Novo Certificado e clique em Avançar.
8.A caixa de diálogo tem as duas opções a seguir:
•Preparar a solicitação agora, mas enviá-la posteriormente
Esta opção sempre está disponÃvel.
•Enviar a solicitação imediatamente a uma autoridade de certificação on-line
Esta opção estará disponÃvel apenas se o servidor Web puder acessar um ou mais servidores Microsoft Certificate em um domÃnio do Windows 2000 configurado para emitir certificados de servidores Web. Posteriormente no processo de solicitação, você terá a oportunidade de selecionar uma autoridade para a qual enviar a solicitação em uma lista.
Clique em Preparar a solicitação agora, mas enviá-la posteriormente e clique em Avançar.
9.Digite um nome descritivo para o certificado no campo Nome, digite um comprimento em bits para a chave no campo Tamanho do bit e clique em Avançar.
O assistente usa o nome do site atual como um nome padrão. Ele não é usado no certificado, mas funciona como um nome amigável para ajudar os administradores.
10.Digite o nome de uma organização (como Contoso) no campo Organização e digite uma unidade organizacional (como Departamento de Vendas) no campo Unidade organizacional e clique em Avançar.
Observação: Essas informações serão colocadas na solicitação do certificado, então verifique se elas são exatas. A autoridade de certificação verificará essas informações e irá colocá-las no certificado. Um usuário navegando no site desejará ver as informações para decidir se deve aceitar o certificado.
11.No campo Nome comum, digite um nome comum para o site e clique em Avançar.
Importante: O nome comum é uma das informações mais significativas que finalizam o certificado. É o nome DNS do site (isto é, o nome que os usuários digitam quando navegam pelo site). Se o nome do certificado não corresponder ao nome do site, será relatado um problema de certificado quando os usuários navegarem pelo site.
Se o site estiver na Web e for denominado www.contoso.com, é isso que deverá ser especificado para o nome comum.
Se o site for interno e os usuários navegarem pelo nome do computador, digite o nome NetBIOS ou DNS do computador.
12.Digite as informações apropriadas nos campos PaÃs/Região, Estado e Cidade/localidade e clique em Avançar.
13.Digite um nome de arquivo para a solicitação de certificado.
O arquivo contém informações semelhantes às seguintes.
—–BEGIN NEW CERTIFICATE REQUEST—–
MIIDZjCCAs8CAQAwgYoxNjA0BgNVBAMTLW1penJvY2tsYXB0b3Aubm9ydGhhbWVy…
—–END NEW CERTIFICATE REQUEST—–
Esta é uma representação codificada Base 64 da solicitação de certificado. A solicitação contém as informações digitadas no assistente e também a chave pública e as informações assinadas com a chave privada.
Esse arquivo de solicitação é enviado à autoridade de certificação. Esta usa as informações da chave pública da solicitação de certificado para verificar as informações assinadas com a chave privada. A autoridade de certificação também verifica as informações fornecidas na solicitação.
Após submeter a solicitação à autoridade de certificação, ela envia de volta um certificado contido em um arquivo. É possÃvel, então, reiniciar o Assistente de Certificado de Servidor Web.
14.Clique em Avançar. O assistente exibe um resumo das informações contidas na solicitação do certificado.
15.Clique em Avançar e clique em Concluir para concluir o processo de solicitação.
A solicitação do certificado pode, agora, ser enviada para uma autoridade de certificação com fins de verificação e processamento. Após receber uma resposta sobre o certificado da autoridade de certificação, você pode continuar e instalar o certificado no servidor Web, novamente usando o Assistente de certificado do IIS.
Enviar uma solicitação de certificado
Este procedimento usa o Serviços de Certificados Microsoft para enviar a solicitação de certificado gerada no procedimento anterior.
•Para enviar uma solicitação de certificado
1.Use o Bloco de notas para abrir o arquivo de certificado gerado no procedimento anterior e copiar todo o seu conteúdo para a área de transferência.
2.Inicie o Internet Explorer e navegue para http://hostname/CertSrv, onde hostname é o nome do computador que está executando Serviços de Certificados Microsoft.
3.Clique em Solicitar um certificado e clique em Avançar.
4.Na página Escolher tipo de solicitação, clique em Solicitação avançada e clique em Avançar.
5.Na página Solicitações avançadas de certificado, clique em Enviar uma solicitação de certificado usando um arquivo PKCS#10 codificado base64 e clique em Avançar.
6.Na página Enviar uma Solicitação Salva, clique na caixa de texto Solicitação de certificado codificado Base64 (PKCS #10 ou #7) e pressione CTRL+V para colar a solicitação de certificado copiada anteriormente na área de transferência.
7.Na caixa de combinação Modelo de Certificado, clique em Servidor Web.
8.Clique em Enviar.
9.Feche o Internet Explorer.
Emitir o certificado
•Para emitir o certificado
1.Inicie a ferramenta Autoridade de Certificação no grupo de programas Ferramentas Administrativas.
2.Expanda a autoridade de certificação e selecione a pasta Solicitações Pendentes.
3.Selecione a solicitação de certificado que você acabou de enviar.
4.No menu Ação, aponte para Todas as Tarefas e clique em Emitir.
5.Confirme se o certificado é exibido na pasta Certificados Emitidos e clique duas vezes nele para exibi-lo.
6.Na guia Detalhes, clique em Copiar para Arquivo e salve o certificado como um certificado X.509 codificado Base-64.
7.Feche a janela de propriedades do certificado.
8.Feche a ferramenta Autoridade de certificação.
Instalar o certificado no servidor Web
Este procedimento instala o certificado emitido no procedimento anterior no servidor Web.
•Para instalar o certificado no servidor Web
1.Inicie o Internet Information Services, se ele ainda não estiver em execução.
2.Expanda o nome do servidor e selecione o site para o qual deseja instalar um certificado.
3.Clique com o botão direito do mouse no site e clique em Propriedades.
4.Clique na guia Segurança de Pasta.
5.Clique em Certificado do Servidor para iniciar o Assistente de Certificado de Servidor Web.
6.Clique em Processar a solicitação pendente e instalar o certificado e clique em Avançar.
7.Digite o caminho e o nome do arquivo que contém a resposta da autoridade de certificação e clique em Avançar.
8.Examine a visão geral do certificado, clique em Avançar e clique em Concluir.
Um certificado agora está instalado no servidor Web.
Configurar recursos para exigir acesso ao SSL
Este procedimento usa o Gerenciador de Serviços de Internet para configurar um diretório virtual a fim de exigir acesso ao SSL. É possÃvel exigir o uso do SSL para arquivos, diretórios ou diretórios virtuais especÃficos. Os clientes precisam usar o protocolo HTTPS para acessar qualquer recurso desse tipo.
•Para configurar os recursos para exigir acesso ao SSL
1.Inicie o Internet Information Services, se ele ainda não estiver em execução.
2.Expanda o nome do servidor e o site. (Deve ser um site que tenha um certificado instalado.)
3.Clique com o botão direito do mouse em um diretório virtual e clique em Propriedades.
4.Clique na guia Segurança de Pasta.
5.Em Comunicações seguras, clique em Editar.
6.Clique em Exigir canal de segurança (SSL).
Na navegação até esse diretório virtual, o cliente deve, agora, usar HTTPS.
7.Clique em OK e clique em OK novamente para fechar a caixa de diálogo Propriedades.
8.Feche o Internet Information Services.