Certificates_IIS_SP1_Ops

[helldanger1]

Os certificados são uma forma de identificação digital do servidor e dos clientes que solicitam informações desse servidor. A função dos certificados é semelhante à de um passaporte ou de outra carteira de identidade oficial, que identifica o portador. Os certificados fazem parte dos recursos SSL (Secure Sockets Layer) do IIS (Serviços de Informações da Internet) que estabelecem uma conexão segura pela qual é possível enviar informações sigilosas.

Esta seção inclui as seguintes informações:
Certificados de servidor

Obtendo certificados de servidor: descreve como obter certificados de servidor.

Instalando certificados de servidor: descreve como instalar certificados de servidor.

Fazendo backup de certificados de servidor: descreve como fazer backup de certificados de servidor.

Determinando a versão da autoridade de certificação de raiz intermediária em um servidor Web: descreve como determinar a versão da autoridade de certificação de raiz intermediária em um servidor Web

Configurando uma lista de autoridades de certificação confiáveis: Explica como adicionar novas autoridades de certificação à lista de autoridades de emissão confiáveis do seu servidor.

Gerenciando certificados do servidor por meio de programação no IIS 6.0: descreve exemplos que usam o componente de certificado para importar, copiar, salvar e fazer o backup dos certificados de servidor.

Certificados de cliente

Obtendo certificados de cliente no IIS 6.0: descreve como obter identificações digitais de usuários, chamadas certificados de cliente.

Habilitando certificados de cliente no IIS 6.0: descreve como habilitar a autenticação SSL de certificados de cliente.

Fazendo backup de certificados de cliente no IIS 6.0: descreve como criar uma cópia de um certificado de cliente.

Verificando o status de certificados de cliente no IIS 6.0: explica como verificar a validade dos certificados de cliente dos usuários.

Mapeando certificados de clientes para contas de usuários no IIS 6.0: descreve como mapear certificados de cliente de três maneiras.

 

[helldanger1]

Obtendo certificados de servidor
Você pode obter certificados de servidor junto a uma autoridade de certificação (CA) de terceiros, que pode exigir que você prove sua identidade antes de emitir um certificado. Você também pode emitir certificados de seu próprio servidor usando uma autoridade de certificação online, como a Microsoft Certificate Services, que instala o certificado no momento da solicitação. Quando você usa o Assistente de Certificado de Servidor para obter um certificado de servidor, o processo é denominado criação de um certificado de servidor.

 

[helldanger1]

Instalando certificados de servidor
Após ter obtido um certificado de servidor, você poderá instalá-lo. Quando você usa o Assistente de Certificado de Servidor para instalar um certificado de servidor, o processo é denominado atribuição de um certificado de servidor.

Importante
Você deve ser membro do grupo Administradores no computador local para executar o(s) procedimento(s) a seguir. Como prática recomendada de segurança, faça logon no computador usando uma conta que não seja do grupo Administradores e use o comando runas para executar o Gerenciador do IIS como um administrador. No prompt de comando, digite runas /user:Nome_da_Conta_Administrativa "mmc %systemroot%\system32\inetsrv\iis.msc".
Procedimentos
Para instalar um certificado de servidor usando o Assistente de Certificado de Servidor Web
1.No Gerenciador do IIS, expanda o computador local e a pasta Sites.

2.Clique com o botão direito do mouse no site ou no arquivo desejado e, em seguida, clique em Propriedades.

3.Na guia Segurança de Diretório ou Segurança de Arquivo, em Comunicações de segurança, clique em Certificado de Servidor.

4.No Assistente de Certificado de Servidor Web, clique em Atribuir um certificado existente.

5.Siga as orientações do Assistente de Certificado de Servidor Web, que o guiarão durante o processo de instalação de um certificado de servidor.

Observação
Quando você usar o Assistente de Certificado de Servidor Web para atribuir um certificado, especifique uma senha antes da atribuição do certificado ao servidor Web.
Informações Relacionadas
Para obter informações sobre como obter certificados de servidor, consulte Obtendo certificados de servidor.

Para obter informações gerais sobre certificados, consulte SSL and Certificates.

 

[helldanger1]

Fazendo backup de certificados de servidor
Você pode usar o snap-in do MMC do Gerenciador de Certificados para fazer o backup dos certificados do servidor.

Importante
Você deve ser membro do grupo Administradores no computador local para executar o(s) procedimento(s) a seguir. Como prática recomendada de segurança, faça logon no computador usando uma conta que não seja do grupo Administradores e use o comando runas para executar o Gerenciador do IIS como administrador. No prompt de comando, digite runas /User:Nome_da_Conta_Administrativa "mmc %systemroot%\system32\inetsrv\iis.msc".
Procedimentos
Para fazer o backup de um certificado do servidor usando o Gerenciador de Certificados
1.Se o Gerenciador de Certificados não estiver instalado no MMC, será preciso instalá-lo.

2.Localize o armazenamento de certificado correto. Em geral, trata-se do armazenamento do Computador Local no Gerenciador de Certificados.

3.No armazenamento Pessoal, clique no certificado do qual deseja fazer backup.

4.No menu Ação, aponte para Todas as Tarefas e clique em Exportar.

5.No Assistente para Exportação do Gerenciador de Certificados, clique em Sim, exportar a chave particular.

6.Siga as configurações padrão do assistente e digite uma senha para o arquivo de backup do certificado, quando solicitado.

Importante
Não selecione Excluir a chave particular se a exportação tiver êxito porque isso desabilitará o certificado do servidor atual.
7.Conclua as etapas do assistente para exportar uma cópia de backup do certificado do servidor.

Para adicionar um Gerenciador de Certificados ao MMC
1.Para abrir um console do MMC:

No menu Iniciar, clique em Executar.

Na caixa Abrir, digite o seguinte: mmc.

Clique em OK.

2.No menu Arquivo, clique em Adicionar/Remover Snap-in.

3.Na caixa Adicionar/Remover Snap-in, clique em Adicionar.

4.Na lista Snap-ins Autônomos Disponíveis, clique em Certificados e, em seguida, clique em Adicionar.

5.Na caixa snap-in Certificados, clique em Conta de Computador e, em seguida, em Avançar.

6.Na caixa Selecionar Computador, clique em Computador Local e, em seguida, em Concluir.

 

[helldanger1]

Determinando a versão da autoridade de certificação de raiz intermediária em um servidor Web
A autoridade de certificação de raiz intermediária de identificação de servidor global VeriSign (SSL de 128 bits) expirou em 7 de janeiro de 2004. Os servidores que executam o IIS e não foram atualizados com a nova autoridade de certificação de raiz intermediária de identificação de servidor global poderão ter problemas quando os clientes tentarem estabelecer sessões SSL usando o protocolo HTTPS após essa data.

Observação
Servidores usando certificados VeriSign Secure Server ID de 40 bits não são afetados por essa expiração.
Importante
Para executar um ou mais dos procedimentos a seguir, é necessário que você seja membro do grupo Administradores no computador local. Como prática recomendada de segurança, faça logon no computador usando uma conta que não seja do grupo Administradores e use o comando runas para executar o Gerenciador do IIS como um administrador. No prompt de comando, digite runas /User:Nome_da_Conta_Administrativa "mmc %systemroot%\system32\inetsrv\iis.msc".
Para determinar a versão da autoridade de certificação de raiz intermediária em um servidor Web
1.Clique em Iniciar, clique em Executar, digite mmc e clique em OK.

2.No menu Arquivo, clique em Adicionar/Remover Snap-in.

3.Na caixa de diálogo Adicionar/Remover Snap-in, clique em Adicionar, selecione Certificados e clique em Adicionar.

4.Clique na opção Conta de computador e em Avançar.

5.Selecione a opção Computador Local (o computador em que este console está sendo executado) e clique em OK.

6.Clique em Fechar e clique em OK.

7.Na janela de console, expanda Certificados e Autoridades de Certificação Intermediárias.

8.Clique na pasta Certificados.

9.Na coluna Emitido Para, localize o certificado identificado pelo nome "www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD. ©97 Verisign".

10.Clique com o botão direito do mouse no certificado e clique em Abrir.

Se o certificado tiver expirado, a seguinte mensagem será exibida na guia Geral:

"O certificado expirou ou não é válido ainda."

Se o certificado for atual, a seguinte mensagem será exibida na guia Geral:

"Este certificado destina-se ao(s) seguinte(s) fim(ns):"

e listará os fins para os quais o certificado deve ser utilizado.

11.Anote o intervalo de datas Válido de/até e clique em OK.

12.Se você precisar atualizar a autoridade de certificação raiz intermediária no servidor Web, siga as instruções no site da Verisign.

 

[helldanger1]

Configurando uma lista de autoridades de certificação confiáveis
Você pode configurar os computadores que executam um membro da família Windows Server 2003 com o IIS 6.0 para que aceitem certificados de uma lista predefinida de CAs (autoridades de certificação). Você pode comparar automaticamente os certificados de cliente com a lista de certificados confiáveis. As listas de certificados confiáveis são úteis principalmente para os provedores que têm vários sites em um servidor e que precisam de uma lista diferente de autoridades de certificação aprovadas para a autenticação dos clientes em cada site.

Cada site pode ser configurado para aceitar certificados de uma lista diferente usando listas de certificados confiáveis (CTLs) diferentes. Por exemplo, um administrador de intranet cria uma lista diferente de CAs confiáveis para o site de cada departamento na intranet, na forma de uma lista de certificados confiáveis. Como resultado, o IIS aceita somente certificados de autoridades de certificação que constam da lista de certificados confiáveis do departamento. Quando os membros do departamento fizerem logon com um certificado de cliente de uma CA que conste da lista de certificados confiáveis do departamento, eles serão autenticados automaticamente.

 

[helldanger1]

Gerenciando certificados do servidor por meio de programação no IIS 6.0
Você pode usar scripts junto com IISCertObj, um objeto do Modelo de Objeto Componente (COM), para gerenciar certificados de forma remota e programática. Use o IISCertObj para executar as seguintes tarefas:

Importar cópias de um certificado a partir de um arquivo .pfx (arquivo contendo um certificado criptografado PFX e uma chave particular), de um servidor para vários servidores.

Salvar cópias de backup de certificados em um site central.

Copiar um certificado de um servidor para vários servidores.

Para saber como obter certificados do servidor SSL, consulte Obtendo certificados de servidor.

Scripts de exemplo
Após adquirir um certificado do servidor SSL de uma autoridade de certificação, você precisará seguir uma ou mais destas etapas ao distribuir cópias para todos os servidores:

Importe as cópias dos certificados mestres para vários servidores.

Salve as cópias de backup dos certificados em um arquivo central.

Exporte os certificados por vários servidores.

No IIS, se usar o host de scripts do Windows (WSH) ou as páginas ASP, você poderá executar scripts que se comunicam com o IISCertObj de forma programática para importar, arquivar ou exportar certificados.

Importar certificados para vários servidores (CertImport.vbs)
Sites de grande porte normalmente precisam usar uma certificado SSL para proteger o logon do usuário em vários servidores. Seria muito demorado usar o MMC para adicionar cópias do certificado a cada servidor. Você precisa é de uma solução com scripts que instale cópias do mesmo certificado em todos os servidores de destino.

Importante
Você deve ser membro do grupo Administradores no computador local para executar scripts e executáveis. Como prática recomendada de segurança, faça logon no computador usando uma conta que não esteja no grupo Administradores e use o comando runas para executar o script ou executável como um administrador. Em um prompt de comando, digite runas /profile /User:Meu_Computador\Administrador cmd para abrir uma janela de comando com direitos de administrador e, em seguida, digite cscript.exeNome_do_Script (inclua o caminho completo do script e todos os parâmetros).
Salve o script a seguir como CertImport.vbs. Modifique os argumentos de instrução da linha de comando para que correspondam aos seus recursos de rede. Em seguida, use a instrução da linha de comando para importar um certificado de um armazenamento de certificados em um servidor para outros servidores.

Copiar CódigoOption Explicit
Dim iiscertobj, pfxfile, pfxfilepassword, InstanceName, WebFarmServers, IISServer
Set iiscertobj = WScript.CreateObject("IIS.CertObj")
pfxfile = WScript.Arguments(0)
pfxfilepassword = WScript.Arguments(1)
InstanceName = WScript.Arguments(2)
WebFarmServers = split(WScript.Arguments(3), ",")
iiscertobj.UserName = WScript.Arguments(4)
iiscertobj.UserPassword = WScript.Arguments(5)
For Each IISServer in WebFarmServers
iiscertobj.ServerName = IISServer
iiscertobj.InstanceName = InstanceName
iiscertobj.Import pfxfile, pfxfilepassword, true, true
NextInstrução da linha de comando:

Certimport.vbs cert.pfx pfxpassword w3svc/1 iisserver1,iisserver2,iisserver3 Administrator aal34290

Salvar certificados em um arquivo central (Save_all_certs.vbs)
Com o método de exportação IISCertObj, você pode arquivar um backup de cada certificado existente em seu server farm, em um site central.

Salve o script a seguir como Save_all_certs.vbs no editor de texto. Modifique os argumentos de instrução da linha de comando para que correspondam aos seus recursos de rede. Em seguida, use a instrução da linha de comando para exportar cópias dos certificados para o site central.

Copiar CódigoOption Explicit
Dim iiscertobj, targetServer, targetServers, pfxbasename, pfxpassword, InstanceName
Set iiscertobj = WScript.CreateObject("IIS.CertObj")
pfxbasename = WScript.Arguments(0)
pfxpassword = WScript.Arguments(1)
InstanceName = WScript.Arguments(2)
targetServers = split(WScript.Arguments(3), ",")
iiscertobj.UserName = WScript.Arguments(4)
iiscertobj.UserPassword = WScript.Arguments(5)
iiscertobj.InstanceName = InstanceName
For Each targetServer in targetServers
iiscertobj.ServerName = targetServer
iiscertobj.Export pfxbasename + targetServer + ".pfx", pfxpassword, true, false, false
NextInstrução da linha de comando:

Save_all_certs.vbs C:\certbackup\ adsf-0324 w3svc/1 iisserver2,iisserver3,iisserver4 Administrator aal34290

Copiar um certificado de um servidor existentes para um novo servidor (CertCopy.vbs)
Com o script e a instrução da linha de comando a seguir, você pode usar o método copy de IISCertObj para copiar um certificado para um novo servidor após adicionar o servidor a um server farm.

Salve o script abaixo como certcopy.vbs. Modifique os argumentos de instrução da linha de comando para que correspondam aos seus recursos de rede. Em seguida, execute a instrução da linha de comando.

Copiar CódigoOption Explicit
Dim iiscertobj, targetServer, targetServers, targetInstance
Set iiscertobj = WScript.CreateObject("IIS.CertObj")
iiscertobj.ServerName = WScript.Arguments(0)
iiscertobj.Instancename = WScript.Arguments(1)
targetServers = split(WScript.Arguments(2), ",")
targetInstance = WScript.Arguments(3)
iiscertobj.UserName = WScript.Arguments(4)
iiscertobj.UserPassword = WScript.Arguments(5)
For Each targetServer in targetServers
iiscertobj.Copy true, true, targetServer, targetInstance
NextInstrução da linha de comando:

Certcopy.vbs iisServer1 w3svc/1 iisServer2 w3svc/1 Administrator asdf-0324

 

[helldanger1]

Obtendo certificados de cliente no IIS 6.0
Você pode obter um certificado de cliente de uma Autoridade de Certificação, que é uma organização independente confiável. Antes de a Autoridade de Certificação emitir um certificado, talvez você precise confirmar a identidade. As informações de identificação solicitadas pela autoridade de certificação variam de acordo com o tipo de certificado desejado. A forma como esses certificados são obtidos e implementados depende do navegador que está sendo usado. Os procedimentos deste tópico aplicam-se somente ao Microsoft Internet Explorer versão 3.0 e posterior. Para obter os procedimentos de certificados de cliente de outros navegadores, consulte a documentação do navegador.

Procedimentos
Obter um certificado de cliente
1.Escolha uma autoridade de certificação. Para obter informações sobre como escolher uma autoridade de certificação, consulte Obtaining and Installing Server Certificates.

2.Consulte as instruções específicas de solicitação fornecidas pela autoridade de certificação.

3.Solicite seu certificado. Alguns certificados de cliente são válidos somente para o computador e o navegador da Web usados para gerar a solicitação do certificado. Nesse caso, certifique-se de fazer a solicitação on-line do computador no qual pretende instalar o certificado.

4.Ao receber seu certificado de cliente, use os recursos de segurança do seu navegador da Web para instalá-lo. (Alguns navegadores da Web podem se referir aos certificados de cliente como "certificados de navegador" ou "certificados pessoais".)

 

[helldanger1]

Habilitando certificados de cliente no IIS 6.0
Você pode exigir que os usuários que tentarem acessar o seu site façam logon com um certificado de cliente. A solicitação de um certificado de cliente é apenas um dos aspectos da proteção do seu servidor contra o acesso não autorizado. Qualquer usuário com um certificado de cliente válido ou confiável pode estabelecer uma conexão segura e acessar o recurso. Para proteger um conteúdo da Web contra o acesso não autorizado, siga um destes procedimentos:

Use a autenticação básica, Digest ou integrada do Windows, além de exigir um certificado de cliente.

Crie um mapeamento de conta do Windows para os certificados de cliente. Para obter mais informações, consulte Mapeando certificados de clientes para contas de usuários no IIS 6.0.

Importante
Para executar o(s) procedimento(s) a seguir, é necessário que você seja membro do grupo Administradores no computador local ou que alguém tenha delegado a você a autorização apropriada. Como prática recomendada de segurança, faça logon no computador usando uma conta que não seja do grupo Administradores e use o comando runas para executar o Gerenciador do IIS como um administrador. No prompt de comando, digite runas /User:Nome_da_Conta_Administrativa "mmc systemroot\system32\inetsrv\iis.msc". Para obter informações sobre como delegar autoridade administrativa, consulte "Delegando administração" no Centro de Ajuda e Suporte do Windows Server 2003.

Procedimentos
Habilitar os certificados de cliente
No Gerenciador do IIS, clique duas vezes no computador local e, em seguida, clique com o botão direito do mouse no site, diretório ou arquivo desejado e clique em Propriedades.

Se você não tiver obtido anteriormente um certificado de servidor, clique na guia Segurança de Diretório e, em Comunicações de Segurança, clique em Certificado de Servidor. Para obter mais informações, consulte Obtendo certificados de servidor.

Se você tiver obtido anteriormente um certificado de servidor, clique na guia Segurança de Diretório ou Segurança de Arquivo e, em Comunicações de Segurança, clique em Editar.

Na caixa Comunicações de Segurança, marque a caixa de seleção Exigir canal de segurança (SSL). Exigir um canal seguro significa que os usuários não podem se conectar a esse site sem usar um link seguro (isto é, a URL do link deve começar com https://).

Em Certificados de cliente, selecione uma das seguintes opções para habilitar a autenticação de Certificado de cliente:

Aceitar certificados de cliente Os usuários podem acessar o recurso com um certificado de cliente, mas o certificado não é obrigatório.

Exigir certificados de cliente O servidor solicitará um certificado de cliente antes de conectar o usuário ao recurso. O acesso será negado aos usuários que não têm um certificado de cliente válido.

Ignorar certificados de cliente O acesso será concedido aos usuários com ou sem um certificado de cliente.

 

[helldanger1]

Fazendo backup de certificados de cliente no IIS 6.0
Você pode usar o Assistente para Exportação de Certificados para criar uma cópia de backup de um certificado.

Importante
É necessário que você seja membro do grupo Administradores no computador local para executar um ou mais dos procedimentos a seguir. Como prática recomendada de segurança, faça logon no computador usando uma conta que não seja do grupo Administradores e use o comando runas para executar o Gerenciador do IIS como um administrador. No prompt de comando, digite runas /user:Nome_da_Conta_Administrativa "mmc %systemroot%\system32\inetsrv\iis.msc".

Procedimentos
Para fazer backup de um certificado de cliente
No menu Ferramentas do Internet Explorer, versão 5.0 ou posterior, clique em Opções da Internet e, em seguida, clique na guia Conteúdo.

Na guia Conteúdo, clique em Certificados e, em seguida, clique na guia Pessoal.

Na guia Pessoal da lista de certificados, clique no certificado desejado e, em seguida, clique em Exportar.

No Assistente para Exportação de Certificados, clique em Avançar.

Na página seguinte do assistente, clique em Não, não exportar a chave particular e, em seguida, clique em Avançar.

Na página seguinte do assistente, clique em X.509 codificado na Base 64 (*.cer) e, em seguida, clique em Avançar.

Siga as demais etapas do Assistente para Exportação de Certificados para concluir o procedimento.

 

[helldanger1]

Verificando o status de certificados de cliente no IIS 6.0
As autoridades de certificação (CAs) não podem revogar fisicamente os certificados de cliente dos usuários. Entretanto, podem publicar listas de revogação de certificados (CRLs) que são copiadas para o seu computador, permitindo que você procure os certificados de cliente que foram revogados. Para obter informações sobre como recuperar CRLs de uma CA e armazená-las no seu computador, consulte "Recuperar uma lista de revogação de certificados" no Centro de Ajuda e Suporte do Windows Server 2003.

As propriedades da metabase que controlam a verificação de CRL podem ser definidas ou exibidas através de um objeto COM, de scripts WMI ou de scripts ADSI. Para obter informações sobre como configurar a metabase, consulte Configuring the Metabase.

Para usar uma lista de revogação de certificados para verificar o status de certificados de cliente, execute as seguintes ações:

Habilite a verificação de CRL.

Opcionalmente, configure a CRL em seu computador para ser atualizada em um intervalo fixo, mesmo que ainda esteja válida no computador.

Opcionalmente, altere o intervalo de tempo padrão para atualizar a CRL em seu computador em um intervalo fixo.

Importante
Você deve ser membro do grupo Administradores no computador local para executar scripts e executáveis. Como prática recomendada de segurança, faça logon no computador usando uma conta que não esteja no grupo Administradores e use o comando runas para executar o script ou executável como um administrador. Em um prompt de comando, digite runas /profile /User:Meu_Computador\Administrador cmd para abrir uma janela de comando com direitos de administrador e, em seguida, digite cscript.exeNome_do_Script (inclua o caminho completo do script e todos os parâmetros).

Procedimentos
Para habilitar e desabilitar a verificação de CRL
Defina a CertCheckMode Metabase Property. A verificação de CRL está habilitada por padrão. A CRL será atualizada pela autoridade de certificação na emissão de uma nova CRL, a menos que você intervenha definindo um intervalo de atualização de CRL.

Para definir o intervalo de atualização da CRL
Altere a configuração da RevocationFreshnessTime Metabase Property. Você pode atualizar a CRL no seu computador com a CRL no servidor da CA mesmo quando a CRL armazenada em cache no seu computador for válida.

Parar alterar o intervalo padrão para um período personalizado
Defina a RevocationURLRetrievalTimeout Metabase Property como um período em milissegundos.

 

[helldanger1]

Mapeando certificados de clientes para contas de usuários no IIS 6.0
O mapeamento de certificados de clientes permite a autenticação automática dos usuários que efetuarem logon com esses certificados, sem exigir o uso de outros métodos de autenticação para os quais há suporte, como Básica, Digest ou Integrada do Windows.

Ela inclui as seguintes informações:

Mapeando certificados de cliente um-para-um: Descreve como mapear certificados de clientes individuais para contas de usuários do Windows.

Mapeando certificados de cliente muitos-para-um: Descreve como usar as regras curinga para mapear mais de um certificado de cliente para uma conta de usuário do Windows.

Mapeando certificados de clientes com o mapeamento do serviço de diretório: Descreve o uso de recursos nativos do Windows Active Directory para autenticar os usuários com certificados de clientes.

 

[helldanger1]

Mapeando certificados de cliente um-para-um
O mapeamento de um-para-um mapeia os certificados de cliente individuais para as contas de usuário do Windows. O servidor compara a cópia do certificado de cliente armazenada com o certificado de cliente enviado pelo navegador. Os dois devem ser idênticos para que o mapeamento prossiga. Se um cliente receber outro certificado contendo as mesmas informações de usuário, esse certificado deverá ser remapeado.

Esta seção inclui as seguintes informações:

Exportando um certificado de cliente para mapeamento um-para-um: descreve como exportar um certificado de cliente que possa ser usado para mapeamento um-para-um no IIS.

Mapeando um certificado de cliente específico para uma conta de usuário: descreve como mapear um certificado de cliente específico um-para-um para uma conta de usuário do Windows.

 

[helldanger1]

Exportando um certificado de cliente para mapeamento um-para-um
Alguns certificados de cliente precisam ser exportados para serem usados no mapeamento um-para-um do IIS. Para obter mais informações sobre se é necessário exportar certificados de cliente, contate sua autoridade de certificação.

Importante
Para executar um ou mais dos procedimentos a seguir, é necessário que você seja membro do grupo Administradores no computador local. Como prática recomendada de segurança, faça logon no computador usando uma conta que não seja do grupo Administradores e use o comando runas para executar o Gerenciador do IIS como um administrador. No prompt de comando, digite runas /User:Nome_da_Conta_Administrativa "mmc %systemroot%\system32\inetsrv\iis.msc".

Procedimentos
Para exportar um certificado de cliente para mapeamento um-para-um
No menu Ferramentas do Internet Explorer, versão 5.0 ou posterior, clique em Opções da Internet e, em seguida, clique na guia Conteúdo.

Na guia Conteúdo, clique em Certificados e, em seguida, clique na guia Pessoal.

Na guia Pessoal da lista de certificados, clique no certificado a ser exportado e clique em Exportar.

No Assistente para Exportação de Certificados, clique em Avançar.

Na página seguinte do assistente, clique em Não, não exportar a chave particular e, em seguida, clique em Avançar.

Na página seguinte do assistente, clique em X.509 Codificado na Base 64 (*.cer) e, em seguida, clique em Avançar.

Observação
Os programas de mapeamento de certificados de cliente do IIS 6.0 e dos serviços do Windows Active Directory aceitam certificados formatados como arquivos binários ou codificados na Base 64.

Siga as demais etapas do Assistente para Exportação de Certificados para concluir o procedimento.

Mapeie o certificado um-para-um exportado para uma conta de usuário do Windows. Para obter informações sobre como mapear um certificado um-para-um para uma conta de usuário do Windows, consulte Mapeando um certificado de cliente específico para uma conta de usuário.

 

[helldanger1]

Mapeando um certificado de cliente específico para uma conta de usuário
Use o procedimento a seguir para mapear um certificado de cliente específico para uma conta de usuário.

Importante
É necessário que você seja membro do grupo Administradores no computador local para executar um ou mais dos procedimentos a seguir. Como prática recomendada de segurança, faça logon no computador usando uma conta que não seja do grupo Administradores e use o comando runas para executar o Gerenciador do IIS como um administrador. No prompt de comando, digite runas /user:Nome_da_Conta_Administrativa "mmc %systemroot%\system32\inetsrv\iis.msc".

Procedimentos
Mapear um certificado de cliente específico para uma conta de usuário
No Gerenciador do IIS, expanda o computador local e a pasta Sites.

Clique com o botão direito do mouse no nome do site para o qual deseja configurar a autenticação e, em seguida, clique em Propriedades.

Clique na guia Segurança de Diretório e, na seção Comunicações de Segurança, clique em Editar.

Na caixa Comunicações de Segurança, marque a caixa de seleção Ativar mapeamento de certificado de cliente e clique em Editar.

Na caixa Mapeamentos de Conta, clique na guia um-para-um.

Na guia um-para-um, adicione um novo certificado, clicando em Adicionar, ou edite um mapeamento existente, selecionando o mapeamento e clicando em Editar Mapa.

Se você estiver adicionando um novo certificado, navegue até o arquivo do certificado e abra-o.

Observação
Se não conseguir localizar o arquivo de certificado, você talvez precise exportá-lo. Para obter informações sobre como exportar um certificado para uso em mapeamento um-para-um, consulte Exportando um certificado de cliente para mapeamento um-para-um.

Na caixa Mapear para Conta, digite um nome de mapa para o mapeamento. Esse é o nome exibido na lista de seleção, na caixa Mapeamentos de Conta.

Digite uma conta de usuário do Windows ou navegue até ela. Digite a senha da conta para a qual o certificado está sendo mapeado.

Clique em OK.

Repita essas etapas para mapear outros certificados ou para mapear este certificado para outras contas.

Informações Relacionadas

 

[helldanger1]

Mapeando certificados de cliente muitos-para-um
O mapeamento de muitos-para-um usa regras de correspondência de curingas que verificam se um certificado de cliente contém informações específicas, como o emissor ou o assunto. Esse mapeamento não compara o certificado de cliente real e, em vez disso, aceita todos os certificados de cliente que atendem a critérios específicos. Se um cliente receber outro certificado contendo as mesmas informações de usuário, o mapeamento existente funcionará.

Quando você utilizar o mapeamento de muitos-para-um, lembre-se do seguinte:

Os mapeamentos de certificado de cliente específicos sempre têm precedência sobre os mapeamentos de curingas.

Alguns certificados de cliente oferecem uma quantidade maior de informações de identificação e podem conter subcampos adicionais e personalizados. Para obter informações sobre os formatos de certificado, contate sua autoridade de certificação.

 

[helldanger1]

Mapeando certificados de clientes com o mapeamento do serviço de diretório
Importante
Se você usar o mapeamento do serviço de diretório, não será possível usar o mapeamento de um-para-um ou de muitos-para-um para todo o Serviço de Publicação na World Wide Web (serviço da Web).

O mapeamento de certificados do serviço de diretório (DS) usa recursos nativos do Windows Active Directory para autenticar usuários com certificados de cliente. Para obter informações sobre como mapear um certificado para uma conta de usuário do Active Directory, consulte "Mapear um certificado para uma conta de usuário" no Centro de Ajuda e Suporte do Windows Server 2003.

Importante
Você deve ser membro do grupo Administradores no computador local para executar o(s) procedimento(s) a seguir. Como prática recomendada de segurança, faça logon no computador usando uma conta que não seja do grupo Administradores e use o comando runas para executar o Gerenciador do IIS como administrador. No prompt de comando, digite runas /user:Nome_da_Conta_Administrativa "mmc %systemroot%\system32\inetsrv\iis.msc".

Procedimentos
Para habilitar o mapeamento do serviço de diretório
No Gerenciador do IIS, clique com o botão direito do mouse no nó Sites e clique em Propriedades.

Na guia Segurança de Diretório, marque a caixa de seleção Ativar mapeador de serv. de dir. do Windows e clique em OK.