Lektion 4: Konfigurieren der SSL-Sicherheit 709
Lektion 4: Konfigurieren der SSL-Sicherheit
Als Windows Server 2003-Profi wissen Sie, dass die SSL-Verschlüsselung vertrauliche oder
persönliche Informationen schützt, während sie zwischen einem Client und einem Server
ausgetauscht werden. In dieser Lektion lernen Sie, wie Sie Zertifikate konfigurieren, SSL-
Zertifikate anfordern, SSL-Einstellungen konfigurieren und Zertifikate exportieren oder
importieren.
Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen:
■ Erwerben oder Generieren eines SSL-Zertifikats und Konfigurieren von HTTPS-
Bindungen
■ Konfigurieren von SSL-Einstellungen
■ Importieren und Exportieren von Zertifikaten
Veranschlagte Zeit für diese Lektion: 25 Minuten
Konfigurieren von Serverzertifikaten
Eine Ihrer größten Herausforderungen im Bereich der Sicherheit besteht darin, die Kommu-
nikation zwischen einem Webclient und einem Webserver zu schützen. Um dieses Problem
zu lösen, können Sie Serverzertifikate einsetzen, die zusätzliche Sicherheit für Webdienste
zur Verfügung stellen. IIS 7.0 enthält integrierte Unterstützung zum Erstellen und Verwalten
von Serverzertifikaten und zum Aktivieren verschlüsselter Kommunikation.
Serverzertifikate stellen einen Mechanismus bereit, wie ein Webserver den Clients gegen-
über seine Identität beweist. Kapitel 7, „Active Directory-Zertifikatdienste“, beschreibt die
Hierarchie der Vertrauensautoritäten und die verschiedenen Zertifizierungsstellentypen, etwa
vertrauenswürdige öffentliche oder interne Zertifikate. Der Webserver kann sofort ein selbst-
signiertes SSL-Zertifikat generieren; daneben können Sie Zertifikate von den folgenden Zer-
tifizierungsstellentypen erwerben oder generieren lassen:
■ Externe vertrauenswürdige öffentliche Zertifizierungsstelle
■ Interne Stammzertifizierungsstelle des Unternehmens
■ Interne untergeordnete Unternehmenszertifizierungsstelle
■ Interne eigenständige Stammzertifizierungsstelle
■ Interne eigenständige untergeordnete Zertifizierungsstelle
Wenn Sie beispielsweise auf einer sicheren Site eine Shopanwendung einrichten, auf die
Kunden in der ganzen Welt über das Internet zugreifen, müssen Sie ein Zertifikat von einer
externen vertrauenswürdigen öffentlichen Zertifizierungsstelle kaufen.
Eine sichere HTTPS-Site können Sie erst erstellen, wenn Sie eine HTTPS-Sitebindung ein-
gerichtet haben. Und eine solche Bindung können Sie erst einrichten, wenn Sie über ein
SSL-Zertifikat verfügen. Sie gehen folgendermaßen vor, um sich ein SSL-Serverzertifikat
zu besorgen:
1. Generieren Sie eine Zertifikatanforderung.
Diese Anforderung wird auf einem Webserver erstellt, der eine Textdatei erstellt. Diese
710 Kapitel 13: Konfigurieren einer Webdiensteinfrastruktur
Datei enthält die Informationen über die Anforderung in einem verschlüsselten Format.
Die Zertifikatanforderung identifiziert den Webserver eindeutig.
2. Reichen Sie die Zertifikatanforderung an eine Zertifizierungsstelle ein.
Handelt es sich um eine externe Internetsite, ist das üblicherweise eine vertrauenswür-
dige öffentliche Zertifizierungsstelle. Für eine Intranetsite können Sie auch eine unter-
geordnete Unternehmenszertifizierungsstelle verwenden. Sie reichen die Anforderung
über eine sichere Website ein oder indem Sie eine E-Mail-Nachricht senden. Die Zerti-
fizierungsstelle überprüft die Informationen in der Anforderung und erstellt ein ver-
trauenswürdiges Serverzertifikat.
3. Installieren Sie das erhaltene Zertifikat auf dem Webserver.
Die Zertifizierungsstelle liefert dem Antragsteller das Zertifikat, normalerweise in
Form einer Textdatei. Diese Datei wird dann in den Webserver importiert, um sichere
Kommunikation zu ermöglichen.
Sie können ein SSL-Zertifikat, das sich für den Einsatz auf einem IIS-Webserver eignet, im
Internetinformationsdienste-Manager anfordern. Öffnen Sie auf einem Windows Server
2008-Webserver den Internetinformationsdienste-Manager und klicken Sie in der Ansicht
Features doppelt auf Serverzertifikate. Die Zertifikatanforderungen beziehen sich auf SSL-
Serverzertifikate auf Webserverebene. Für andere Objekte, etwa Websites oder Webanwen-
dungen, können Sie hier keine Zertifikatanforderungen generieren.
Abhängig von der Webserverkonfiguration sind oft schon einige Zertifikate in der Standard-
konfiguration enthalten. Der Fensterabschnitt Aktionen im Internetinformationsdienste-
Manager enthält Befehle zum Erstellen neuer Zertifikate.
Sie generieren eine Zertifikatanforderung, indem Sie auf Zertifikatanforderung erstellen
klicken und dann die Informationen über die Organisation eingeben, die das Zertifikat an-
fordert. Die Zertifizierungsstelle prüft anhand dieser Informationen, ob sie das Zertifikat
ausstellt. Die eingegebenen Daten müssen daher sämtlich stimmen. Beispielsweise sollte das
Feld Organization den vollständigen Firmennamen des anfordernden Unternehmens enthal-
ten. Das Feld Gemeinsamer Name enthält gewöhnlich den Domänennamen, der für das Zer-
tifikat benutzt wird.
Wählen Sie anschließend die kryptografische Methode aus, die benutzt werden soll, um die
Zertifikatanforderung zu schützen. Wählen Sie in der Dropdownliste Kryptografiedienst-
anbieter eine Methode aus, die von der Zertifizierungsstelle angeboten wird. Die meisten
kommerziellen Zertifizierungsstellen akzeptieren die Standardeinstellung, Microsoft RSA
SChannel Cryptographic Provider. Die Einstellung in Bitlänge legt die Stärke der Ver-
schlüsselung fest. Je größer der Wert, desto länger dauert die Verarbeitung, aber desto höher
auch die Sicherheit.
Geben Sie auf der nächsten Seite einen vollqualifizierten Pfad und Dateinamen ein. In dieser
Datei wird die Anforderung gespeichert. Die Anforderung wird in eine Textdatei geschrie-
ben, die verschlüsselte Informationen enthält. Reichen Sie die Zertifikatanforderung an eine
Zertifizierungsstelle ein. Normalerweise können Sie eine Zertifikatanforderung auf der Web-
site der Zertifizierungsstelle hochladen, manchmal müssen Sie den Inhalt auch kopieren und
in einer sicheren Website einfügen. Der Aussteller benötigt daneben noch weitere Informa-
tionen, zum Beispiel Details über Ihre Organisation und eine Rechnungsadresse.
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
