Criptografia do IIS 6.0

[helldanger1]

Você pode usar a criptografia para ajudar a proteger as informações particulares que os clientes trocam com o servidor Web, como números de cartões de crédito ou de telefone. Também é possível criptografar dados durante a execução de scripts de administração remotos com base em WMI. No IIS, a base da criptografia é o protocolo SSL, que estabelece um link de comunicação criptografado com os usuários.

Esta seção contém as informações a seguir:

Configurando a SSL (Secure Sockets Layer): descreve como configurar um servidor Web ou site para utilizar o SSL para conexões seguras.

Definindo o nível de criptografia: descreve como configurar a criptografia no Gerenciador do IIS.

Criptografando dados ao executar scripts de administração remota baseados em WMI: descreve como modificar os scripts de administração com base em WMI para estabelecer uma conexão remota criptografada.

 

[helldanger1]

Configurando a SSL (Secure Sockets Layer)
Esta seção contém as informações a seguir:

Configurando a SSL em um servidor Web ou site:: descreve como configurar um servidor Web ou site para utilizar a SSL para conexões seguras.

Redirecionando solicitações com indicador a um conteúdo habilitado para SSL: Descreve como evitar erros 404 redirecionando as solicitações de URLs http:// para https://.

Habilitando a SSL no modo de kernel:: descreve como habilitar a SSL no modo de kernel para um servidor Web.

 

[helldanger1]

Como configurar SSL em um Servidor Web

Microsoft Corporation

Janeiro 2004

Objetivos

Utilize este módulo para:

Obter um certificado SSL.

Instalar um certificado SSL em um servidor IIS.

Configurar um diretório virtual para exigir o SSL.

Produtos Aplicados

Este módulo é aplicado aos seguintes produtos e tecnologias:

Microsoft® Windows® XP ou Windows 2000 Server (com Service Pack 3) e sistemas operacionais superiores

Microsoft Internet Information Services 5.0

Serviços de Certificados Microsoft (se você precisar gerar seus próprios certificados)

Como Utilizar Este Módulo

Para obter o máximo deste módulo:

Você deve ter experiência na configuração do IIS.

Você deve ter acesso a Autoridade de Certificação (CA), como o Serviço de Certificados da Microsoft, se você precisar gerar seus próprios certificados.

Você deve decidir qual CA comercial utilizará e adquirir um certificado SSL se você não quiser gerar seus próprios certificados. A maioria dos CAs cobrarão por este serviço.

Leia o módulo, "Comunicação Segura." Este fornece uma introdução ao SSL e descreve as situações mais comuns de uso.

 

[helldanger1]

Sumário
O SSL (Secure Sockets Layer) é um conjunto de tecnologias de criptografia que fornece autenticação, confidencialidade e integridade de dados. O SSL é o mais usado geralmente entre navegadores e servidores Web para criar um canal de comunicação segura. Pode ser utilizado também em comunicações seguras entre aplicações clientes e serviços Web.

Para suportar as comunicações em SSL, um servidor Web deve ser configurado com um certificado SSL. Este módulo descreve como obter um certificado SSL e como configurar o Microsoft Internet Information Services (IIS) para suportar comunicações seguras com navegadores Web e outros tipos de aplicações de clientes usando SSL.



Gerar um Pedido do Certificado
Este procedimento cria um novo pedido de certificado, onde poderá ser enviado à Autoridade Certificadora (CA) para ser processado. Se houver sucesso, a CA enviará de volta o arquivo contendo um certificado válido.

Para gerar um pedido de certificado

1.Inicie o snap-in do IIS.

2.Expanda o nome do seu servidor Web e selecione o site da Web o qual você deseja instalar o certificado.

3.Clique com o botão direito do mouse no site da Web e depois clique em Propriedades.

4.Clique na guia Segurança da Pasta.

5.Clique em Certificado do Servidor com Comunicação de Segurança para iniciar o Assistente de Certificado de Servidor Web.

Nota: Se o Servidor de Certificado estiver indisponível, você provavelmente selecionou um diretório virtual, diretório ou arquivo. Volte para o passo 2 e selecione um site da Web.

6.Clique em Avançar para passar da caixa de diálogo introdutória.

7.Clique em Criar um Novo Certificado, e depois em Avançar.

8.A caixa de diálogo possui as seguintes duas opções:

Preparar o pedido agora, mas enviar depois.
Esta opção está sempre disponível.

Envie o pedido imediatamente para uma Autoridade Certificadora online.
Esta opção está disponível somente se o servidor Web puder acessar um ou mais servidores de Certificados Microsoft no domínio Windows 2000/2003 configurado para editar certificados do servidor Web. Mais tarde neste processo, você terá a oportunidade de selecionar uma autoridade a partir de uma lista para enviar a requisição.

9.Clique em Preparar o Pedido Agora, mas enviar depois, e depois clicar em Avançar.

10.Digite uma descrição para o certificado no campo Nome, digite o comprimento da chave no campo Comprimento e depois clique em Avançar.

O assistente usa o nome do site da Web como padrão. Não é utilizado no certificado, mas age como um nome amigável para ajudar os administradores.

11.Digite um nome organizacional (como Contoso) no campo Organização e digite uma unidade organizacional (como Departamento de Vendas) no campo Unidade Organizacional, e depois clique em Avançar.

Nota: Esta informação estará localizada no pedido de certificados, por isso tenha certeza que é exato. A CA verificará esta informação e colocará no certificado. Um usuário acessando seu site Web vai querer ver esta informação para decidir se ele deve aceitar o certificado.

12.No campo Nome comum, digite um nome comum para o seu site, e depois clique em Avançar.

Importante: O nome comum é uma das mais significativas partes da informação que está no certificado. É no nome DNS do site Web (que é o nome onde usuários digitam quando acessam seu site). Se o nome do certificado não combinar com o nome do site, um problema de certificado será reportado quando os usuários acessarem seu site.

Se o seu site está na Web em Microsoft Corporation, isso é o que você deve especificar para o nome comum.

Se o seu site for interno e usuários acessarem pelo nome do computador, entre com o Nome NetBios ou DNS do computador.

13.Entre com a informação apropriada no campo País/Região, Estado/província e Cidade/Localidade e depois clique em Avançar.

14.Entre com o nome do arquivo para o pedido do certificado

O arquivo contém informações similares as seguintes.

Copiar Código-----BEGIN NEW CERTIFICATE REQUEST-----
MIIDZjCCAs8CAQAwgYoxNjA0BgNVBAMTLW1penJvY2tsYXB0b3Aubm9ydGhhbWVy…
-----END NEW CERTIFICATE REQUEST-----


Isto é uma representação Base 64 do seu pedido de certificado. O pedido contém a informação que entrou através do assistente e também na sua chave privada e a informação assinada pela sua chave privada.

Este pedido será enviado a CA. A CA usa então sua chave de informação pública do pedido de certificado para verificar a informação assinada com a sua chave particular. O CA também verifica a informação fornecida no pedido.

Após você submeter o pedido para a CA, a CA mandará de volta o certificado contido no arquivo. Você deverá então reiniciar o Assistente de Certificado do Servidor Web.

15.Clique em Avançar. O assistente exibe um sumário de informações contido no pedido de certificado.

16.Clique em Avançar, e depois clique em Finalizar para completar o processo do pedido.

O pedido de certificado poderá agora ser enviado para a CA para verificação e processamento. Após você receber uma resposta da CA, você poderá continuar e instalar o certificado no servidor Web, novamente usando o Assistente de Certificado do IIS.

 

[helldanger1]

Submeter um Pedido do Certificado
Este procedimento usa os Serviços de Certificado da Microsoft para submeter o pedido de certificado gerado no procedimento anterior.

Para submeter um pedido de certificado

1.Use o Bloco de Notas para abrir o arquivo certificado gerado no procedimento anterior e copiar todo o conteúdo para a área de transferência.

2.Inicie o Internet Explorer e navegue até http://hostname/CertSry, onde o hostname é o nome do seu computador executando os Serviços de Certificados Microsoft.

3.Clique em Pedido de Certificado, e depois clique em Avançar.

4.Na página Escolher Tipo de Pedido, clique em Avançado e depois clique em Avançar.

5.Na página Pedidos de Certificado Avançado, clique em Submeter uma requisição de certificado usando um arquivo PKCS#10 base64 e depois clique em Avançar.

6.Na página Submeter um Pedido Salvo, clique na caixa de texto Requisição de Certificado Base64 (PKCS #10 or #7) e pressione CTRL + V para passar o pedido de certificado que você copiou para a área de transferência anteriormente.

7.Na caixa de seleção Modelo de Certificado, clique em Servidor Web.

8.Clique em Submeter.

9.Feche o Internet Explorer.


Emitir o Certificado
Para emitir o certificado

1.Inicie a ferramenta Autoridade Certificadora do grupo de programas Ferramentas Administrativas.

2.Expanda sua autoridade certificadora e selecione a pasta Pedidos Pendentes.

3.Selecione o pedido de certificado que você acabou de submeter.

4.No menu Ação, aponte para Todas as Tarefas e depois clique em Editar.

5.Confirme que o certificado foi indicado na pasta Certificados Editados e depois clique duas vezes para vê-lo novamente.

6.Na guia Detalhes, clique em Copiar Arquivo e salve o certificado como Base-64 X.509.

7.Feche a janela de propriedades para o certificado.

8.Feche a ferramenta Autoridade Certificadora.


Instalar o Certificado no Servidor Web
Este procedimento instala o certificado editado no procedimento anterior no servidor Web.

Para instalar o certificado no servidor Web

1.Inicie o Internet Information Services, se já não estiver executando.

2.Expanda o nome do servidor e selecione o site da Weba qual você quer instalar o certificado.

3.Clique no site da Web e depois clique em Propriedades.

4.Clique na guia Segurança da Pasta.

5.Clique em Certificado do Servidor para iniciar o Assistente de Certificado de Servidor Web.

6.Clique em Processar a requisição pendente e instalar o certificado e depois clique em Avançar.

7.Entre com o caminho e o nome do arquivo que contém na resposta da CA e clique em Avançar.

8.Examine o certificado, clique em Avançar e depois clique em Concluir.

O certificado está agora instalado no servidor Web.



Configurar Recursos para Requerer Acesso SSL
Este procedimento utiliza o Internet Services Manager para configurar um diretório virtual para exigir SSL no acesso. Você pode exigir o uso de SSL para arquivos específicos, diretórios ou diretórios virtuais. Clientes devem usar o protocolo HTTPS para acessar qualquer tipo de recurso.

Para configurar recursos para o acesso SSL

1.Inicie o Internet Information Services, se já não estiver executando.

2.Expanda o nome do servidor e do site da Web. (Este deve ser um site da Web que tenha um certificado instalado).

3.Clique no diretório virtual e em Propriedades.

4.Clique na guia Segurança da Pasta.

5.Em Comunicação Segura, clique em Editar.

6.Clique em Exigir canal seguro (SSL).

Para clientes acessarem este diretório virtual agora deverão usar HTTPS.

7.Clique em OK e em OK novamente para fechar a caixa de diálogo Propriedades.

8.Feche o Internet Information Services.

 

[helldanger1]

Redirecionando solicitações com indicador a um conteúdo habilitado para SSL
Quando você atualiza uma configuração de site para exigir SSL, os usuários que criaram anteriormente páginas indicadoras no site receberão uma mensagem de erro 403.4 "Proibido: necessário SSL" ao solicitarem essas páginas após a SSL ter sido configurada. Você pode evitar essa situação criando uma página de erros personalizada que redirecionará automaticamente a chamada http: para uma chamada https:

O exemplo no procedimento a seguir usa ASP, mas você pode usar qualquer manipulador de conteúdo dinâmico. Como os manipuladores de conteúdo dinâmico não estão habilitados por padrão quando o IIS é instalado, você precisa garantir que a extensão do serviço da Web adequada esteja habilitada.

Procedimentos
Para redirecionar solicitações com indicador a um conteúdo habilitado para SSL
1.Crie uma página ASP denominada RedirectToSSL.asp e grave-a no diretório raiz do seu site.

2.Inclua um código de redirecionamento semelhante ao exemplo de código a seguir. Observe que esse exemplo de código não inclui nenhum código de tratamento de erros.

Copiar Código<%@Language=VBScript %>
<%
strQueryString = Request.QueryString
strAddress = Right(strQueryString, Len(strQueryString) - Instr(1,strQueryString, ";"))
strSecure = Replace(strAddress, "http:", "https:", 1, 1)
Response.Redirect strSecure
%>3.No Gerenciador do IIS, clique com o botão direito do mouse no site habilitado para SSL e clique em Propriedades.

4.Na seção Comunicações de segurança da guia Segurança de Diretório, clique em Editar.

5.Clique em Exigir canal de segurança (SSL) e clique em OK.

6.Na guia Erros Personalizados, selecione a mensagem de erro 403;4 e clique em Editar.

7.No campo Tipo de Mensagem na caixa de diálogo Editar Propriedades de Erro Personalizadas, escolha Arquivo, clique em Procurar, procure o local da página RedirectToSSL.asp e clique em OK duas vezes.

8.Navegue até a localização da página RedirectToSSL.asp, clique na página com o botão direito do mouse e clique em Propriedades.

9.Na seção Comunicações de segurança da guia Segurança de Arquivo, clique em Editar.

10.Desmarque Exigir canal de segurança (SSL) e clique em OK duas vezes.

 

[helldanger1]

Habilitando a SSL no modo de kernel:
A habilitação da SSL (Secure Sockets Layer) no modo de kernel melhora o desempenho da SSL, pois as operações de criptografia e descriptografia ocorrem no espaço mais rápido do processamento do kernel. Entretanto, habilitar a SSL no modo de kernel a desabilita no modo de usuário. Para obter mais informações, consulte Kernel-Mode SSL.

Importante
O uso incorreto do Editor do Registro pode causar sérios problemas que exigirão a reinstalação do sistema operacional. Como o Editor do Registro ignora as proteções padrão que impedem a inserção de configurações conflitantes ou que provavelmente danificarão o sistema ou comprometerão o desempenho dele, tome cuidado ao fazer alterações ao Registro. A Microsoft não pode garantir que os problemas resultantes do uso incorreto do Editor do Registro poderão ser solucionados.
Observe que você deve fazer o backup do Registro antes de editá-lo. Se estiver executando o Microsoft® Windows NT® Server ou um sistema operacional de servidor posterior da Microsoft, atualize também o disco de reparação de emergência (ERD).

Para obter informações sobre como editar o Registro, consulte os tópicos "Alterando chaves e valores", "Adicionar e excluir informações no Registro" e "Editar dados do Registro", na Ajuda do Editor do Registro.

Importante
Para executar scripts e executáveis, é necessário que você seja membro do grupo Administradores no computador local. Como prática recomendada de segurança, faça logon no computador usando uma conta que não esteja no grupo Administradores e use o comando runas para executar o script ou o executável como um administrador. Em um prompt de comando, digite runas /profile /user:Meu_Computador\Administrator cmd para abrir uma janela de comando com direitos de administrador e digite cscript.exe Nome_do_Script (inclua o caminho completo do script e todos os parâmetros).
Procedimentos
Para configurar a SSL para execução no modo de kernel
1.No menu Iniciar, clique em Executar.

2.Na caixa Abrir, digite Regedit.exe e clique em OK.

3.Navegue até a chave do Registro indicada a seguir e clique nela duas vezes:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters

4.No menu Editar, aponte para Adicionar, clique em Valor DWORD e adicione o valor do Registro a seguir:

Nome: EnableKernelSSL

Digite: REG_DWORD

Dados: Defina esse valor como 1 para usar a SSL no modo de kernel em vez de no modo de usuário.

5.Saia do Editor do Registro.

6.Reinicie o IIS.