SSL/TLS-Zertifikate sind für das Hosten von Websites auf IIS-Servern (Internet Information Services) unerlässlich, da sie sicherstellen, dass die zwischen Server und Benutzer übertragenen Daten verschlüsselt sind.
Dies verhindert, dass Angreifer sensible Daten wie personenbezogene Daten (PII), Gesundheitsdaten (PHI) und PCI-Daten durch Methoden wie Man-in-the-Middle-Angriffe abfangen. Für Websites, die auf IIS gehostet werden und sensible Informationen verarbeiten, ist Verschlüsselung unerlässlich.
Problem Statement
Bei der Erzeugung eines Zertifikatsignieranforderung (CSR)ist der private Schlüssel normalerweise an das Zertifikat gebunden. Wenn Sie jedoch einen Drittanbieter verwenden Zertifikatslebenszyklusverwaltung (CLM) Eine Lösung, die kein .PFX-Zertifikat ausstellen kann (ein Format, das für den Import eines Zertifikats in IIS erforderlich ist), kann problematisch sein. Ohne das .PFX-Format, das Zertifikat und privaten Schlüssel kombiniert, ist ein optimaler Zertifikatsimport in IIS nicht möglich.
Die folgenden Schritte vereinfachen das Exportieren und Importieren von Zertifikaten im erforderlichen Format und stellen sicher, dass Ihr Server bereit ist, eine sichere Verbindung aufzubauen.
Voraussetzungen:
Bevor wir mit den weiteren Schritten zum Import des Zertifikats fortfahren, ist es wichtig, die folgenden Voraussetzungen zu erfüllen, um eine reibungslose Konfiguration zu gewährleisten.
-
CSR
Generieren Sie einen CSR für die Domain, die Sie sichern möchten.
Geben Sie die erforderlichen Details wie den allgemeinen Namen (Ihre Domäne), Organisationsinformationen und den Standort an.
- Reichen Sie den CSR bei der Zertifizierungsstelle ein, um das ausgestellte Zertifikat zu erhalten.
-
SSL/TLS-Zertifikat
Besorgen Sie sich ein gültiges SSL/TLS-Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (CA).
Importieren Sie das Zertifikat in Ihren persönlichen Zertifikatsspeicher, bevor Sie es in IIS importieren.
Stellen Sie sicher, dass Sie über die erforderlichen Formate verfügen:
.PFX-Format zum Importieren in den IIS Server Manager (beinhaltet das Zertifikat und den privaten Schlüssel).
-
IIS-Server installiert und konfiguriert
Stellen Sie sicher, dass IIS auf Ihrem Server installiert ist. Sie können es mithilfe des Server-Manager auf Windows Server oder über die Assistent zum Hinzufügen von Rollen und Features.
Stellen Sie sicher, dass der IIS-Dienst ausgeführt wird und für das Hosten Ihrer Website richtig konfiguriert ist.
-
Administrativer Zugriff auf den Server
Stellen Sie sicher, dass Sie über Administratorrechte für den Zugriff auf den IIS-Server verfügen und Zertifikatsverwaltung Konsole. Diese Berechtigungen sind für die Installation und Konfiguration des SSL/TLS-Zertifikats erforderlich.
-
Sicherung des privaten Schlüssels (optional, aber empfohlen)
Wenn Sie ein Zertifikat mit seinem privaten Schlüssel exportieren, stellen Sie sicher, dass der private Schlüssel sicher gesichert ist. Ein Verlust kann dazu führen, dass das Zertifikat unbrauchbar wird.
Exportieren des Zertifikats in ein PFX-Format
Das PFX-Format ist für den Import des Zertifikats in den IIS Server Manager unerlässlich, da es das Zertifikat und seinen privaten Schlüssel kombiniert. Nachfolgend finden Sie die Schritte zum Exportieren des Zertifikats in ein PFX-Format.
-
Öffnen Sie den Microsoft Store auf Ihrem Windows-PC Zertifikatsverwaltungskonsole (certlm.msc):
- Gehe zu Datei > Snap-In hinzufügen/entfernen.
- Auswählen Zertifikate und klicken auf Hinzufügen.
- Wählen Mein Benutzerkonto, dann klick Farbe und OK.
-
Suchen Sie das Zertifikat:
- Navigieren Zertifikate – Aktueller Benutzer > Persönlich > Zertifikate.
-
Exportieren Sie das Zertifikat:
- Klicken Sie mit der rechten Maustaste auf das Zertifikat und wählen Sie Alle Aufgaben > Exportieren.
-
Im Zertifikatexport-Assistent:
- Klicken Sie auf Weiter.
- Auswählen Ja, den privaten Schlüssel exportieren, und klicken auf Weiter.
- Wähle die .PFX formatieren und klicken Sie auf Weiter.
- Geben Sie ein Kennwort zum Sichern der PFX-Datei an und klicken Sie dann auf Weiter.
- Geben Sie einen Speicherort für die Datei an und klicken Sie auf Fertig stellen.
Sie haben jetzt das Zertifikat im PFX-Format und können es in den IIS Server Manager importieren.
Es gibt zwei Möglichkeiten, den Import des Zertifikats auf den IIS-Server abzuschließen:
Methode 1: Verwenden eines .PFX-Zertifikats
Schritt 1: Öffnen Sie den IIS-Manager:
- Navigieren Sie zu der Server-Zertifikate .
Schritt 2: Importieren des Zertifikats:
- Wählen Sie im rechten Aktionsbereich die Import .
- Navigieren Sie zu Ihrer PFX-Datei, geben Sie das Kennwort ein und klicken Sie auf OK.
Wählen Sie Ihre .pfx-Zertifikatsdatei aus, geben Sie das Passwort ein und klicken Sie auf OK.
Sie haben das Zertifikat erfolgreich importiert. Fahren Sie mit der Bindung an Ihre Site fort.
Hinweis: Manchmal funktioniert der Export eines Zertifikats im PFX-Format aufgrund von Einschränkungen der Zertifikatvorlage nicht. Wenn Sie auf solche Einschränkungen stoßen, bietet Methode 2 eine alternative Möglichkeit, das Zertifikat in IIS zu binden, ohne dass eine PFX-Datei erforderlich ist.
Methode 2: Binden des Zertifikats über Zertifikatsbindungen
Wenn Sie das Zertifikat mit dem privaten Schlüssel bereits im lokalen Maschinenspeicher haben, führen Sie die folgenden Schritte aus, um es direkt an Ihre Website zu binden:
Navigieren Sie zur Website:
- Wählen Sie im IIS-Manager die Standardwebsite (oder die Zielsite) aus dem linken Bereich. Wählen Sie im rechten Aktionsbereich Bindings.
Zugriff auf Site-Bindungen:
- Suchen und aktivieren Sie im Fenster „Bindungen“ die Option für den Port 443.
- Klicken Sie auf Bearbeiten.
Binden des Zertifikats:
- Geben Sie den mit dem Zertifikat verknüpften Hostnamen ein.
- Wählen Sie aus der Dropdown-Liste das entsprechende Zertifikat aus.
- Verwenden Sie die Ansehen Option, um zu überprüfen, ob Sie das richtige Zertifikat binden.
- Klicken Sie auf OK.
Hinweis: Wenn beim Bearbeiten von Site-Bindungen ein Fehler auftritt, führen Sie die folgenden Schritte zur Fehlerbehebung aus:
Überprüfen Sie das Anwendungspoolkonto:
- Überprüfen Sie den Anwendungspool, unter dem Ihre Website ausgeführt wird.
- Stellen Sie sicher, dass es unter dem Netzwerkdienstkonto ausgeführt wird.
Öffnen Sie den Zertifikatspeicher, indem Sie certlm.msc ausführen.
Suchen Sie das Zertifikat im Persönlich > Zertifikate -Ordner.
Klicken Sie mit der rechten Maustaste auf das Zertifikat und gehen Sie zu Alle Aufgaben, und wählen Sie Private Schlüssel verwalten
Klicken Sie auf Hinzufügen…
Geben Sie „Netzwerkdienst“ ein und geben Sie den Objektnamen ein, um das Feld auszuwählen.
Klicken Sie auf Überprüfen Sie die Namen und zuweisen Lesen Sie mehr Erlaubnis.
Starten Sie den IIS-Dienst mit dem Befehl neu iisreset.
Versuchen Sie den Bindungsvorgang erneut.
Wie kann Verschlüsselungsberatung helfen?
CertSecure Manager, unser CLM Die Lösung bietet Automatisierungsagenten für IIS, Apache, Tomcat und Load Balancer wie F5. Dadurch wird der Prozess von Zertifikatserneuerung und die Bereitstellung, d. h. die Bindung des Zertifikats an gehostete Dienste für solche Endpunkte. Dieser Ansatz stellt sicher, dass Sie direkt mit der Bindung des Zertifikats auf Webservern wie IIS fortfahren können, wodurch das Fehlerrisiko reduziert und wertvolle Zeit gespart wird. Darüber hinaus bietet unser Managed Service PKI-Dienste bieten End-to-End-Support für solche Szenarien, sorgen für eine schnelle Lösung und effiziente Abwicklung zertifikatsbezogener Aufgaben und minimieren Ausfallzeiten und betriebliche Komplexität.
Fazit
Der Import von SSL/TLS-Zertifikaten in den IIS Server Manager ist ein wichtiger Schritt zur Sicherung Ihrer Website und zur Aufrechterhaltung einer sicheren Kommunikation zwischen Webserver und Client. Mit diesen Schritten können Sie Ihre SSL / TLS-Zertifikat zum jeweiligen Dienst im IIS-Webserver. Beide Methoden verdeutlichen die erforderlichen Schritte zum Binden des digitalen Zertifikats aus dem Truststore, während die Überprüfung der Berechtigungen eine reibungslose Zertifikatsbindung und die sichere Funktionalität der Website gewährleistet.
