Het aanmaken en installeren van een ZOVAR Servercertificaat onder IIS6
Versie 1.0
Datum Status Bestandsnaam
18-06-2008 definitief 20080618 - ZOVAR Instructie IIS6.doc (ZV30.01)
ZOVAR | Installatie en configuratie ZOVAR certificaat voor IIS 1.0 d.d. 18-06-2008 | ZV30.01
Inhoudsopgave
1 1.1 1.2
Inleiding—3 Inleiding—3 Disclaimer—3
2
Stappenplan Servercertificaat—4
3 3.1 3.2 3.3
Aanmaken van het Certificate Signing Request—5 Wat heeft u nodig—5 Aanmaken van het Certificate Signing Request—5 Het aanvragen van een certificaat:—10
4
Het omzetten van en naar PEM encoding—11
5 5.1 5.2 5.3 5.4 5.5
Het installeren van een servercertificaat—15 Wat heeft u nodig—15 Installeren van een servercertificaat—16 SSL Vereisen—20 Installatie Root CA certificaten:—22 Controle van de werking—22
6
Het vereisen van een cliëntcertificaat—25
7
Relevante Links—27
© 2007 CIBG, Den Haag Alle rechten voorbehouden. Niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën,opnamen of enig andere manier, zonder voorafgaande schriftelijke toestemming van de uitgever: CIBG, telefoon 070-3407446
Pagina 2 van 27
ZOVAR | Installatie en configuratie ZOVAR certificaat voor IIS 1.0 d.d. 18-06-2008 | ZV30.01
1
Inleiding
1.1
Inleiding Dit document beschrijft de basisstappen voor het aanmaken en installeren van een servercertificaat voor het beveiligen van de communicatie tussen een cliënt en een Microsoft Internet Information Server 6.0 (IIS6). Wanneer er in dit document wordt gesproken over een cliënt, dan wordt hiermee een willekeurig werkstation bedoelt. Wanneer er in dit document wordt gesproken over een webserver dan wordt hiermee de server bedoeld waarop de internetpagina draait waarvan de communicatie versleuteld dient te worden. Verderop in het document wordt ook uitgelegd hoe u de gebruiker zich kan laten identificeren door middel van het tonen van een cliëntcertificaat. Dit is geen vereiste.
1.2
Disclaimer Het aanmaken van een PKCS#10 kan op vele manieren. Wij verwijzen u dan ook naar de documentatie van de leverancier van uw server. Dit document kunt als een voorbeeld gebruiken voor het aanmaken van een PKCS#10 bestand en als voorbeeld voor de installatie op de server van het door ZOVAR verkregen certificaat. Aan de inhoud van dit document kan geen rechten worden ontleend. Ook kunnen wij geen vragen beantwoorden over de inhoud hiervan aangezien dit buiten de ondersteuning valt van ZOVAR. Deze documentatie wordt u aangeboden “as is”.
Pagina 3 van 27
ZOVAR | Installatie en configuratie ZOVAR certificaat voor IIS 1.0 d.d. 18-06-2008 | ZV30.01
2
Stappenplan Servercertificaat
Dit stappenplan beschrijft de te nemen stappen van het maken, installeren en configureren van een servercertificaat binnen de IIS webserver op Windows. Achter elke stap staat de naam van het document welke deze stap uitgebreid beschrijft. Stap
Beschrijving
Document
1
Aanmaken van een PKCS#10 bestand
Hoofdstuk 3
2
Aanvragen servercertificaat
Zie factsheet ‘ZOVAR Servercertificaat aanvragen’ op www.zovar.nl.
Indien nodig (bij overzetten van PEM codering naar DER) 3
Omzetten codering
Hoofdstuk 4
4
Installeren van het servercertificaat
Hoofdstuk 5
Pagina 4 van 27
ZOVAR | Installatie en configuratie ZOVAR certificaat voor IIS 1.0 d.d. 18-06-2008 | ZV30.01
3
Aanmaken van het Certificate Signing Request
3.1
Wat heeft u nodig Voor het aanmaken van een zogeheten Certificate Signing Request (PKCS#10 bestand) heeft u de volgende zaken nodig: een werkende IIS6 webserver met een onbeveiligde website.
3.2
Aanmaken van het Certificate Signing Request In de eigenschappen van de Internet pagina waarvoor u een servercertificaat gaat aanvragen klikt u op het tabblad Directory Security:
Klik hier onder het kopje “Secure Communications” op de knop “Server Certificate”.
Pagina 5 van 27
ZOVAR | Installatie en configuratie ZOVAR certificaat voor IIS 1.0 d.d. 18-06-2008 | ZV30.01
Klik in het “Wizard webserver certificate” welkom scherm op “Next”.
Om een nieuw certificaat aan te maken, selecteert u de bovenste optie “Create new certificate” En klik daarna op “Next”.
Pagina 6 van 27
ZOVAR | Installatie en configuratie ZOVAR certificaat voor IIS 1.0 d.d. 18-06-2008 | ZV30.01
In het volgende scherm wordt u gevraagd of u het request direct wilt versturen of dat u dit later wilt doen. U selecteert hier de potties “Prepare the request now, but send it later”. En klik daarna op “Next”.
Geef het certificaat een herkenbare naam. De naam van de website die u wilt beveiligen is voldoende. Als “Bit length”selecteren we 1024 bit (Default). En klik daarna op “Next”. Als u gebruik wilt maken van een HSM (Hardware Security Module), plaatst u een vinkje bij “Select cryptographic service provider (CSP) for this certificate”.
Pagina 7 van 27
ZOVAR | Installatie en configuratie ZOVAR certificaat voor IIS 1.0 d.d. 18-06-2008 | ZV30.01
In het “Organization Information” scherm vult u de naam van de betreffende organisatie in en de naam van de afdeling. Deze zijn vrij invulbaar, maar wel verplicht. Het webregistratiesysteem doet verder niets met deze informatie. U dient deze tijdens de aanvraagprocedure van het servercertificaat correct in te vullen.
In het “Common Name” scherm geeft u de naam van de website op zoals u deze in zou typen in de Internet browser. Ook hier: het webregistratiesysteem doet hier niets mee. U kunt deze tijdens de aanvraag van het servercertificaat correct invullen. U bent echter wel verplicht hier iets in te vullen. Klikt u daarna op “Next”.
Pagina 8 van 27
ZOVAR | Installatie en configuratie ZOVAR certificaat voor IIS 1.0 d.d. 18-06-2008 | ZV30.01
In het volgende scherm vult u de correct geografische informatie in. Klik daarna op “Next”. Ook deze velden zijn verplicht. In het aanvraagsysteem voor het servercertificaat hoeft u deze niet in te vullen omdat dit ontbreekt in het certificaatprofiel van ZOVAR.
In het volgende scherm vult u de locatie in van het .txt bestand waarin de Certificate Signing Request informatie staat. Dit is het PKCS#10 bestand. Klik daarna op “Next”.
Pagina 9 van 27
ZOVAR | Installatie en configuratie ZOVAR certificaat voor IIS 1.0 d.d. 18-06-2008 | ZV30.01
Controleer of alle informatie klopt, en klik daarna op “Next”.
Klik op “Finish” om de wizard te sluiten. 3.3
Het aanvragen van een certificaat: Volg de procedure voor het aanvragen van het servercertificaat in de factsheet ‘ZOVAR Servercertificaat aanvragen’ op www.zovar.nl. Wanneer u uw certificaat in uw bezit heeft kunt u verder met hoofdstuk 4.
Pagina 10 van 27
ZOVAR | Installatie en configuratie ZOVAR certificaat voor IIS 1.0 d.d. 18-06-2008 | ZV30.01
4
Het omzetten van en naar PEM encoding
Er zijn twee gangbare formaten voor certificaten: • een zogenaamd DER (Distinguished Encoding Rules) formaat; • een PEM (Privacy Enhanced Mail) formaat dat ook bekend is als Base64 encoding. Als u via de ldapsearch pagina een certificaat opvist is dit DER encoded. https://www.zovar.nl/ldapsearch of https://www.zovar-test.nl/ldapsearch De DER encoding is vereist voor de genoemde tools (ASN.1 dump en ViewBER). De Microsoft Viewer kan zowel Base64 als DER encoding aan en die viewer kunt u ook gebruiken om de formaten in elkaar te converteren. Hieronder is aangegeven hoe u een PEM encoded certificate omzet naar DER encoding.
Klik op ‘copy to file’ en voer de handelingen uit zoals aangegeven op de volgende printouts. Klikt u hier op “Next”.
Pagina 11 van 27
ZOVAR | Installatie en configuratie ZOVAR certificaat voor IIS 1.0 d.d. 18-06-2008 | ZV30.01
Kiest u hier in welk formaat u het certificaat wilt hebben. Klikt u daarna op “Next”.
Pagina 12 van 27
ZOVAR | Installatie en configuratie ZOVAR certificaat voor IIS 1.0 d.d. 18-06-2008 | ZV30.01
Vul het pad in waar het bestand moet worden opgeslagen. Klikt u daarna op “Next”.
Klikt u hier op “Finish”.
Pagina 13 van 27
ZOVAR | Installatie en configuratie ZOVAR certificaat voor IIS 1.0 d.d. 18-06-2008 | ZV30.01
Het exporteren is gelukt, klikt u hier op “OK”.
Pagina 14 van 27
ZOVAR | Installatie en configuratie ZOVAR certificaat voor IIS 1.0 d.d. 18-06-2008 | ZV30.01
5
Het installeren van een servercertificaat
5.1
Wat heeft u nodig Voor de installatie van het certificaat heeft u het volgende nodig: • •
een geldig en getekend X.509 certificaat in DER-Encodig; ee certificaten van de complete ‘certificate chain’ tot en met het Root CA certificaat.
Na de aanvraag voor een certificaat wordt deze automatisch verstuurd naar het emailadres van de bij ZOVAR geregistreerde aanvrager. De Root CA keten bestaat uit de volgende CA’s: Staat der Nederlanden Root CA ->Staat der Nederlanden Overheid CA ->ZOVAR CSP CA ->ZOVAR Services CA
U kunt de Root en Overheid CA certificaten hier downloaden: http://www.pkioverheid.nl -> download stamcertificaat. De ZOVAR CA certificaten kunt u downloaden van: http://www.zovar.nl/ onder Hiërarchie. U dient hier alleen het ZOVAR Services CA certificaat te downloaden. Pas wanneer u cliënt authenticiteit door middel van cliëntcertificaten wilt gaan vereisen, zijn ook de andere ZOVAR CA certificaten nodig.
Pagina 15 van 27
ZOVAR | Installatie en configuratie ZOVAR certificaat voor IIS 1.0 d.d. 18-06-2008 | ZV30.01
5.2
Installeren van een servercertificaat In de eigenschappen van de Internet pagina waarvoor we het certificaat gaan installeren klikt u op het tabblad “Directory Security”.
Klikt u hier onder het kopje “Secure Communications” op de knop “Server Certificate”. Klik in het “welkom scherm” op “Next”.
Pagina 16 van 27
ZOVAR | Installatie en configuratie ZOVAR certificaat voor IIS 1.0 d.d. 18-06-2008 | ZV30.01
Selecteer de optie “Process the pending request and install the certificate”, en klik op “Next”.
Pagina 17 van 27
ZOVAR | Installatie en configuratie ZOVAR certificaat voor IIS 1.0 d.d. 18-06-2008 | ZV30.01
Vul de locatie in van het DER-encoded X.509 certificaat die u gekregen heeft na de aanvraag, en klik op next.
Vul de SSL poort in die gebruikt gaat worden voor de internetpagina. Standaard is dit 443. Wijk hiervan niet af, tenzij u hiervoor een specifieke reden heeft.
Pagina 18 van 27
ZOVAR | Installatie en configuratie ZOVAR certificaat voor IIS 1.0 d.d. 18-06-2008 | ZV30.01
Controleer de gegevens op het controle scherm en klik daarna op next.
Klik op Finish om de wizard te sluiten.
Pagina 19 van 27
ZOVAR | Installatie en configuratie ZOVAR certificaat voor IIS 1.0 d.d. 18-06-2008 | ZV30.01
5.3
SSL Vereisen Om het verbinden via SSL verplicht te maken configureert u dit als volgt. Klik in de eigenschappen van de beveiligde website op het tabblad “Directory Security”.
Klik in het kopje Secure Communications op de knop Edit.
Pagina 20 van 27
ZOVAR | Installatie en configuratie ZOVAR certificaat voor IIS 1.0 d.d. 18-06-2008 | ZV30.01
Vink hier “Require Secure Channel (SSL)” én “Require 128-bit encryption” aan. Klik op OK, en nog een keer op OK om het eigenschappen scherm te sluiten. Herstart de website om de veranderingen in te laten gaan.
Pagina 21 van 27
ZOVAR | Installatie en configuratie ZOVAR certificaat voor IIS 1.0 d.d. 18-06-2008 | ZV30.01
5.4
Installatie Root CA certificaten: De complete CA keten moet als vertrouwd aangemerkt worden op de webserver. Deze keten ïmporteert u in de Trusted Root Certificate Authority certificate store van de local computer. Open een Microsoft Management Console (mmc.exe) en voeg de invoegtoepassing “Certificates” toe. Selecteer de locale computer, niet de gebruiker. Klap de Certificate store (local computer) open, en daarna de Trusted Root Certification Authorities.
Klik met de rechtermuisknop op de fysieke store “Certificates” en selecteer import. Volg de wizard en importeer 1 voor 1 alle in hoofdstuk 3.1 gedownloade Root CA certificates. 5.5
Controle van de werking Surf met een webbrowser naar de zojuist geconfigureerde website. Denk er aan eerst de https URL in te typen. Zoals in dit voorbeeld: https://www.mijnsite.nl Als u het Root CA al vertrouwt krijgt u direct de website te zien. Als u deze niet vertrouwt, dan krijgt u een melding te zien die omschrijft dat het certificaat wel in orde is, maar dat de ondertekenende instantie niet als vertrouwd is aangemerkt. Klik in dat geval op OK/Yes.
Pagina 22 van 27
ZOVAR | Installatie en configuratie ZOVAR certificaat voor IIS 1.0 d.d. 18-06-2008 | ZV30.01
Dubbelklik (Bij MS Internet Explorer) op het gele slotje, onderin het venster. U krijgt dan de SSL gegevens te zien:
Pagina 23 van 27
ZOVAR | Installatie en configuratie ZOVAR certificaat voor IIS 1.0 d.d. 18-06-2008 | ZV30.01
In het tabblad Certification Path ziet u de complete boomstructuur. In dit voorbeeld is dit slechts 1 laag diep. In het geval van een ZOVAR Servercertificaat is dit 4 lagen diep.
Pagina 24 van 27
ZOVAR | Installatie en configuratie ZOVAR certificaat voor IIS 1.0 d.d. 18-06-2008 | ZV30.01
6
Het vereisen van een cliëntcertificaat
LET OP! Dit is alleen nodig indien u de gebruikers zich wilt laten identificeren door middel van een cliëntcertificaat. Klik in Computermanagement -> Services and Applications -> Internet Information Server -> Websites, met de rechter muisknop op de website die u wilt beveiligen. Kies in het context-menu voor de optie Properties. Kies in het Properties scherm op het tabblad “Directory Security”.
Klik in het vak “Secure Communications” op de knop Edit.
Pagina 25 van 27
ZOVAR | Installatie en configuratie ZOVAR certificaat voor IIS 1.0 d.d. 18-06-2008 | ZV30.01
In het onderdeel “Client Certificates” selecteert u de optie: Require client certificates. Klik op “OK” en sluit de eigenschappen van de website. Let op! IIS accepteert automatisch alle cliëntcertificaten die uit dezelfde certificatechain komen als het servercertificaat. Als u cliëntcertificaten vanuit een andere CA wilt accepteren dan moet u de selfsigned root CA van deze CA importeren in een “Certificate Trust List”. Deze CA moet ook in de “Local Computer trusted Root Certificates” store geïmporteerd worden. Als u specifieke cliëntcertificaten wilt koppelen aan gebruikers-accounts dan vinkt u het vinkje “Enable client certificate mapping” aan. Daarna kunt u de lijst met koppelingen bewerken door op de knop “Edit” te klikken.
Pagina 26 van 27
ZOVAR | Installatie en configuratie ZOVAR certificaat voor IIS 1.0 d.d. 18-06-2008 | ZV30.01
7
Relevante Links
• • • • • • • • •
How to implement SSL in IIS: http://support.microsoft.com/kb/299875/en-usHTTP/Shell Server Certificate Button Unavailable in IIS: http://support.microsoft.com/kb/306667/en-us How to control the ciphers for SSL and TLS: http://support.microsoft.com/kb/216482/en-us HOW TO: Use Host Header Names to Configure Multiple Web Sites in Internet Information Services 6.0: http://support.microsoft.com/kb/324287/en-us IIS 6.0: Computer must trust all certification authorities trusted by individual sites: http://support.microsoft.com/kb/332077/en-us IIS and client certificates: http://support.microsoft.com/kb/907274/en-us The best practices for managing trusted certificate authorities in Windows Server 2003: http://support.microsoft.com/kb/838427/en-us Enterprise CA May Not Publish Certificates from Child Domain or Trusted Domain; http://support.microsoft.com/kb/219059/en-us HOW TO: Configure Internet Information Services Web Authentication in Windows Server 2003: http://support.microsoft.com/kb/324276/en-us
Pagina 27 van 27