česky | english
Internet Information Server (IIS)
[Dotaz] Pokouším se instalovat IIS 6.0 na Windows 2003 Server. Viděl jsem předtím odkaz "Paste your CSR below..." (Vložte žádost o certifikát sem...), ale není dostupný.
[Odpověď] IIS6.0 s pěknými snímky oken dialogů (poskytl Alaric Dailey)
[Odpověď] Přehled IIS SSL
Konfigurace serverových certifikátů pro SSL (IIS 6.0)
Jak vytvořit a instalovat serverový SSL certifikát do Internet Information Serveru 4.0
http://blog.eukhost.com/2006/10/12/wildcard-ssl-importing-in-windows-iis-server - Wildcard SSL - Importing in Windows IIS Server
http://blog.eukhost.com/2006/10/12/wildcard-ssl-exporting-in-windows-iis-server - Wildcard SSL - Exporting in Windows IIS Server
Jak vytvořit certifikát na IIS 7.0
- v současnosti:
- Poskytovatelé kryptografických služeb:
- Microsoft RSA SChannel Cryptographic Provider, délka bitů: 384, 512, 1024, 2048, 4096, 8192, 16384
- Microsoft DH SChannel Cryptographic Provider, délka bitů: 512, 1024
- Poskytovatelé kryptografických služeb:
Jak vytvořit certifikát serveru na IIS 8.5
Související :MS IIS8 na systému Windows Server 2012
Chcete-li to "dělat po svém", pak si stáhněte kopii OpenSSL binární soubory.
Windows 2000 IIS vyžaduje SSL i po jeho vypnutí
[Dotaz] Nejsem-li schopen vypnout SSL na webu IIS nebo virtuální složce:
Například: Výchozí web IIS je nastaven, aby vyžadoval https, a já odstraním zaškrtnutí u "Vyžadovat zabezpečený kanál (SSL) pro podsložku/virtuální složku a pak restartuji služby IIS; pak se pokusím připojit se k složce odkazem http://... a dostávám chybové hlášení:
HTTP 403.4 - Forbidden: SSL required (zakázáno: nutná SSL)
což znamená, že SSL je stále vyžadováno.
[Odpověď] Vypínejte SSL správným způsobem!
Při vypínání možnosti "Require secure channel (SSL)" (Vyžadovat zabezpečený kanál SSL), je-li vystínováno "Require 128-bit encryption" (Vyžadovat šifrování 128 bity), vyberte "Require secure channel (SSL)", klikem zrušte "Require 128-bit encryption" a pak znovu vyčistěte možnost "Require secure channel (SSL)".
Poznámka k IIS wildcard certifikátu
IIS (s jistotou IIS 6.0) není schopen generovat žádost o wildcard certifikát, které by automatický systém CAcertu rozuměl. Při pokusu podat takovou žádost o certifikát nastane chyba přibližně s takovým textem:
Následující názvy počítačů byly odmítnuty, protože je systém nedokáže spojit s Vaším účtem; jsou-li platné, prosím ověřte domény podle Vašeho účtu. Zamítnuto: \x00*\x00.\x00y\x00o\x00u\x00r\x00d\x00o\x00m\x00a\x00i\x00n\x00.\x00o\x00r\x00g
(*.yourdomain.org)
Řešením je použít jeden z alternativních způsobů generování žádosti (funguje například openVPN).
Chci použít zprostředkující certifikát třídy 3 se starším systémem Windows
Máte-li problémy s použitím nového zprostředkujícího certifikátu třídy 3 a s vytvářením klientských certifikátů třídy 3, pravděpodobně Váš starší systém Windows (Windows XP, Windows 2003) nemá instalovánu opravu Základní kryptografický poskytovatel Microsoft Smart Card (KB909520).
- KB909520 instaluje podporu SHA256 a další kryptografické poskytovatele: AES128, AES192, AES256 a další
Další informace o kryptografických poskytovatelích ve Windows - čtěte Článek knihovny MSDN: CryptoAPI - Poskytovatelé kryptografických služeb
Doporučení MS pro starší systémy serverů a stanic Windows pro práci se SHA2
Z materiálu Windows a SHA2
Organizacím, které chtějí nasadit SHA2 a organizacím spolupracujím s 3. stranami, které začnou brzy používat SHA2, doporučujeme:
- Používají-li ještě systémy XP, potřebují instalovat Service Pack 3. Má funkčnost SHA2 a je ještě jako jediný podporován (září 2010).
- Potřebují-li systémy Windows XP získat certifikáty od certifikační autority SHA2, pak je třeba instalovat KB 968730.
- Používají-li Windows Server 2003, pak je třeba instalovat Service Pack (1 nebo 2) a KB 938397.
- Potřebuje-li Windows Server 2003 získat certifikáty od certifikační autority SHA2, pak je třeba instalovat Service Pack 2 a KB 968730. Plánujete-li instalovat KB 968730, pak instalace KB 938397 není potřebná.
- Je-li třeba používat S/MIME se SHA2 pro podepisování těl e-mailových zpráv, měl by být na pracovní stanice instalován alespoň systém Windows Vista s Office 2003.