Erstellen und Installieren eines SSL-Zertifikats

Sie müssen beim lokalen Computer als Mitglied der Administratorgruppe angemeldet sein, um die folgenden Verfahren ausführen zu können:

• Eine Signieranforderung für das Zertifikat (CSR) erstellen

• Ein SSL-Zertifikat installieren

• Das Zertifikat an einen bestimmten Port und an ein bestimmtes Protokoll binden

• Ein Shared-SSL-Zertifikat in einem uStore-Cluster installieren

Hinweis: Wenn auf Windows Server 2008 die Benutzerkontensteuerung aktiviert ist, wird möglicherweise eine Meldung angezeigt, wenn Sie versuchen, auf den IIS-Manager zuzugreifen. Ist dies der Fall, klicken Sie auf „Weiter“.

Erstellen Sie eine Signieranforderung für das Zertifikat (CSR).

Während des Kaufs eines SSL-Zertifikats ist eine Datei Signieranforderung für das Zertifikaterforderlich. Fordern Sie ein Internetserverzertifikat an, wenn Sie die Identität Ihres Webservers für Clients nachweisen müssen, die Inhalt anfordern, der sich auf dem Server befindet. Internetserverzertifikate werden von öffentlichen Zertifizierungsstellen ausgegeben.

So fordern Sie ein Internetserverzertifikat an:

1. Klicken Sie im Menü Start auf Programme > Zubehör > Ausführen.

2. Geben Sie im Feld Öffnen inetmgr ein, und klicken Sie auf OK.

3. Navigieren Sie im linken Fenster zu <Servername>.

4. Doppelklicken Sie in der Ansicht Funktionen auf Serverzertifikate.

5. Klicken Sie im Fenster Aktionenauf Zertifikatanforderung erstellen.

• Geben Sie im Textfeld Gemeinsamer Name einen Namen für das Zertifikat ein.

• Geben Sie im Textfeld Organisationden Namen der Organisation ein, in der das Zertifikat verwendet wird.

• Geben Sie im Textfeld Organisationseinheit den Namen der Organisationseinheit ein, in der das Zertifikat verwendet wird.

• Geben Sie im Textfeld Ortden vollständigen Namen des Ortes ein, in dem sich Ihre Organisation oder Organisationseinheit befindet.

• Geben Sie im Textfeld Bundesland/Kantonden vollständigen Namen des Bundeslandes/Kantons ein, in dem sich Ihre Organisation oder Organisationseinheit befindet.

• Geben Sie im Textfeld Land/Regionden vollständigen Namen des Landes/der Region ein, in dem bzw. der sich Ihre Organisation oder Organisationseinheit befindet.

6. Geben Sie auf der Seite Eigenschaften für definierten Namendes Assistenten für die Zertifikatanforderung die folgenden Informationen ein, und klicken Sie dann auf Weiter.

7. Wählen Sie auf der Seite Eigenschaften für Kryptografiedienstanbieter in der Dropdown-Liste KryptografiedienstanbieterentwederMicrosoft RSA SChannel Cryptographic Provider oder Microsoft DH SChannel Cryptographic Provider . IIS 7 verwendet standardmäßig „Microsoft RSA Channel Cryptographic Provider“.

8. Wählen Sie in der Dropdown-Liste Bitlänge ein Bitlänge, die vom Anbieter verwendet werden kann. Der RSA SChannel-Anbieter verwendet standardmäßig eine Bitlänge von 2048. Der DH SChannel-Anbieter verwendet standardmäßig eine Bitlänge von 512. Eine längere Bitlänge ist zwar sicherer, kann sich jedoch auf die Leistung auswirken.

9. Klicken Sie auf Next (Weiter).

10. Geben Sie auf der Seite Dateinameim Textfeld Dateiname für die Zertifikatanforderungeinen Dateinamen ein, oder klicken Sie auf die Schaltfläche „Durchsuchen“, um eine Datei zu suchen, und klicken Sie dann auf Fertigstellen.

11. Senden Sie die Zertifikatanforderung an eine öffentliche Zertifizierungsstelle.

Ein SSL-Zertifikat installieren

Wenn Sie eine Antwort von der öffentlichen Zertifizierungsstelle erhalten haben, an die Sie die Zertifikatanforderung gesendet haben, müssen Sie den Prozess abschließen, indem Sie das Serverzertifikat auf Ihrem Webserver installieren.

Hinweis: Sie können das Serverzertifikat nur auf dem Computer installieren, von dem aus Sie die Zertifikatanforderung gesendet haben.

So installieren Sie ein Internetzertifikat:

1. Klicken Sie im Menü Start auf Programme > Zubehör > Ausführen.

2. Geben Sie im Feld Öffnen inetmgr ein, und klicken Sie auf OK.

3. Navigieren Sie im linken Fenster zu <Servername>.

4. Doppelklicken Sie in der Ansicht Funktionen auf Serverzertifikate.

5. Klicken Sie im Fenster Aktionenauf Zertifikatanforderung abschließen.

6. Geben Sie auf der Seite Zertifikatanforderung abschließenim Textfeld Name der Datei, die die Antwort der Zertifizierungsstelle enthältden Pfad der Datei ein, die die Antwort von der Zertifizierungsstelle enthält, oder klicken Sie auf die Schaltfläche „Durchsuchen“, um die Datei zu suchen.

7. Geben Sie im Textfeld Anzeigenameeinen Namen ein, und klicken Sie auf OK.

Nach Abschluss der Zertifikatanforderung müssen Sie das Zertifikat an die Standardwebsite binden.

Das Zertifikat an einen bestimmten Port und an ein bestimmtes Protokoll binden

1. Klicken Sie im Menü Start auf Programme > Zubehör > Ausführen.

2. Geben Sie im Feld Öffnen inetmgr ein, und klicken Sie auf OK.

3. Navigieren Sie im linken Fenster zu <Servername>Sites und wählen Sie die Standardwebsite.

4. Klicken Sie im Fenster Aktionenauf Bindungen. Dadurch wird ein Dialogfeld angezeigt, in dem die Protokolle für die ausgewählte Website aufgelistet sind.

5. Klicken Sie im Dialogfeld Sitebindungenauf Hinzufügen.

6. Wählen Sie im Dialogfeld Website-Bindungen hinzufügen in der Drop-down-Liste Typ die Option https aus.

7. Wählen Sie in der Dropdown-Liste SSL-Zertifikat das zu bindende Zertifikat.

8. Klicken Sie auf OK, um die Sitebindung hinzuzufügen und zurück zum Dialogfeld Sitebindungen zu wechseln.

9. Klicken Sie im Dialogfeld Sitebindungen auf Schließen.

Ein Shared-SSL-Zertifikat in einem uStore-Cluster installieren

In diesem Abschnitt wird beschrieben, wie Sie einen uStore-Cluster einrichten, der mehrere Webserver mit demselben SSL-Zertifikat enthält. Diese Einstellungen gewährleisten eine sichere und verschlüsselte Kommunikation zwischen allen Webservern im uStore-Cluster.

Um ein Shared-SSL-Zertifikat in einem uStore-Cluster zu installieren, gehen Sie folgendermaßen vor:

• Fordern Sie ein SSL-Zertifikat vom primären Webserver an.

• Installieren Sie das SSL-Zertifikat auf dem primären Webserver.

• Binden Sie das SSL-Zertifikat an den primären Webserver.

• Exportieren Sie das SSL-Zertifikat mit dem privaten Schlüssel vom primären Webserver

• Importieren Sie das SSL-Zertifikat mit dem privaten Schlüssel in alle anderen Webserver im uStore-Cluster

• Binden Sie das importierte SSL-Zertifikat an einen Webserver.

Ein Zertifikat mit dem privaten Schlüssel exportieren

Zum Exportieren des Schlüssels, den Sie auf dem ersten Webserver installiert haben, gehen Sie folgendermaßen vor. Dieser Schlüssel wird auf andere Webserver im uStore-Cluster importiert.

So exportieren Sie ein Zertifikat mit dem privaten Schlüssel:

1. Öffnen Sie das Snap-In Zertifikate für einen Benutzer, einen Computer oder einen Dienst, indem Sie Folgendes ausführen:

   • Klicken Sie im Menü Start auf Alle Programme, klicken Sie auf Zubehör und dann auf Ausführen.

   • Geben Sie mmc ein, und klicken Sie auf OK.

   • Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.

   • Wählen Sie Zertifikate, und klicken Sie dann auf Hinzufügen.

   • Wählen Sie Computerkonto, und klicken Sie dann auf Weiter.

   • Wählen Sie Lokaler Computer (der Computer, auf dem diese Konsole ausgeführt wird) und klicken Sie dann auf Fertig stellen.

   • Klicken Sie auf OK.

2. Erweitern Sie in der Konsolenstruktur den Eintrag Zertifikate> Persönlichund erweitern Sie dann Zertifikate.

3. Klicken Sie in der Dropdown-Liste Details mit der rechten Maustaste auf das zu exportierende Zertifikat.

4. Zeigen Sie auf Alle Tasks, und klicken Sie dann auf Exportieren.

5. Klicken Sie im Zertifikatexport-Assistenten auf Weiter, und wählen Sie Ja, umden privaten Schlüssel zu exportieren. Diese Option wird nur angezeigt, wenn der private Schlüssel als exportierbar markiert ist und Sie Zugriff auf den privaten Schlüssel haben.

6. Aktivieren Sie unter Exportdateiformat das KontrollkästchenWenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen, und klicken Sie auf Weiter.

7. Geben Sie im Feld Passwort ein Passwort ein, um den zu exportierenden Schlüssel zu verschlüsseln.

8. Geben Sie im Feld Passwort bestätigen das gleiche Passwort erneut ein, und klicken Sie dann auf Weiter.

9. Geben Sie im Feld Dateinameeinen Dateinamen und einen Pfad für die Datei PKCS#12ein, in der das exportierte Zertifikat und der private Schlüssel gespeichert werden.

10. Klicken Sie auf Weiter und dann auf Fertig stellen.

11. Es wird eine Popup-Meldung angezeigt, die bestätigt, dass der Exportprozess des Zertifikats erfolgreich war.

12. Klicken Sie auf OK.

Importieren Sie ein Zertifikat

Wenn das Zertifikat exportiert wurde, kopieren Sie es an einen Speicherort auf einem anderen Webserver im uStore-Cluster. Sie müssen das Zertifikat in den persönlichen Zertifikatspeicher des Computers importieren.

So importieren Sie das Zertifikat in den persönlichen Zertifikatspeicher des Computers:

1. Öffnen Sie das Snap-In Zertifikate für einen Benutzer, einen Computer oder einen Dienst, indem Sie Folgendes ausführen:

   • Klicken Sie im Menü Start auf Alle Programme, klicken Sie auf Zubehör und dann auf Ausführen.

   • Geben Sie mmc ein, und klicken Sie auf OK.

   • Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.

   • Wählen Sie Zertifikate, und klicken Sie dann auf Hinzufügen.

   • Wählen Sie Computerkonto, und klicken Sie dann auf Weiter.

   • Wählen Sie Lokaler Computer (der Computer, auf dem diese Konsole ausgeführt wird) und klicken Sie dann auf Fertig stellen.

   • Klicken Sie auf OK.

2. Erweitern Sie in der Konsolenstruktur den Eintrag Zertifikate> Persönlichund erweitern Sie dann Zertifikate.

3. Zeigen Sie im Menü Aktionenauf Alle Tasks, und klicken Sie dann auf Importieren, um den Zertifikatimport-Assistenten zu starten.

4. Geben Sie den Namen der Datei ein, die das zu importierende Zertifikat enthält. Sie können auch auf Durchsuchenklicken und zur Datei navigieren.

5. Wenn es sich um eine Datei des Typs PKCS #12 handelt, geben Sie das Passwort ein, das zum Verschlüsseln des privaten Schlüssels verwendet wird, und klicken Sie auf Weiter.

6. Wählen Sie Alle Zertifikate in folgendem Speicher speichern, klicken Sie auf Durchsuchen,und wählen Sie den zu verwendenden ZertifikatspeicherPersönlich.

7. Es wird eine Popup-Meldung angezeigt, die bestätigt, dass der Importprozess des Zertifikats erfolgreich war. Klicken Sie auf OK.

Das Zertifikat an einen bestimmten Port und an ein bestimmtes Protokoll binden

1. Klicken Sie im Menü Start auf Alle Programme, klicken Sie auf Zubehör und dann auf Ausführen.

2. Geben Sie im Feld Öffnen inetmgr ein, und klicken Sie auf OK.

3. Navigieren Sie im linken Fenster zu <Servername> >Sites und wählen Sie die Standardwebsite.

4. Klicken Sie im Fenster Aktionenauf Bindungen. Dadurch wird ein Dialogfeld angezeigt, in dem die Protokolle für die ausgewählte Website aufgelistet sind.

5. Klicken Sie im Dialogfeld Sitebindungenauf Hinzufügen.

6. Wählen Sie im Dialogfeld Website-Bindungen hinzufügen in der Drop-down-Liste Typ die Option https aus.

7. Wählen Sie in der Dropdown-Liste SSL-Zertifikat das zu bindende Zertifikat.

8. Klicken Sie auf OK, um die Sitebindung hinzuzufügen und zurück zum Dialogfeld Sitebindungen zu wechseln.

9. Klicken Sie im Dialogfeld Sitebindungen auf Schließen.

Wiederholen Sie die Verfahren zum Importieren und Binden des Zertifikats auf allen anderen Servern im uStore-Cluster.