Het aanmaken en installeren van een ZOVAR Servercertificaat onder IIS6

Vergelijkbare documenten
Het aanmaken en installeren van een Servercertificaat onder IIS7

APNS Certificaat genereren en installeren

Het aanmaken en installeren van een Servercertificaat onder IIS7 / IIS8

Het aanmaken en installeren van een Servercertificaat onder IIS7 / IIS8 en IIS10

Installatie Groeps Login app

Versleutelen met Microsoft Outlook

Standard Parts Installatie Solid Edge ST3

DmfAPPL - web Handleiding. Hoe het certificaat installeren? Version 4.0 Januari 2008 Bucom

Deze procedure beschrijft de handelingen die verricht moeten worden voor het verbinden van uw laptop met het wireless netwerk van de HU

Handleiding. Handleiding

Handleiding. Certificaat installeren

Installatiehandleiding Windows XP / Vista / Windows 7

Handleiding. Handleiding

Handleiding Certificaat installeren

Handleiding FileZilla

Installatie King Task Centre

Om gebruik te maken van het draadloze netwerk Eduroam, zal het programma SecureW2 geïnstalleerd moeten worden.

Handleiding. Certificaat installeren

Installatie King Task Centre

Connectivity SQL Er kan geen verbinding worden gemaakt met de SQL server

DmfA - batch Handleiding. Hoe het certificaat installeren? (Internet Explorer 7.0) Versie 1.0 Januari 2008 Bucom

DigiD SSL. Versie Datum 16 augustus 2010 Status Definitief

TaskCentre Web Service Connector: Creëren van requests in Synergy Enterprise

Denit VMware vcenter Installatie VPN Client en VMware vsphere Client

SYSTEEMEISEN EN VX COMPONENTEN INSTALLATIE. Versie Status Datum Auteur Opmerking 1.0 Definitief Servicedesk

Handleiding installatie Rental Dynamics

HANDLEIDING SMTP DIENST BEDRIJVENWEB NEDERLAND B.V.

Ga in het menu Certificaten naar Kies PKI overheid services certificaat. U geeft eerst aan waar het te gebruiken certificaat kan worden gevonden:

1. Digitaal ondertekende documenten

Zonder deze toestemming krijg je meldingen zoals in de volgende plaatjes wanneer je bijvoorbeeld de tekstverwerker probeert op te starten.

Handleiding Certificaat RDW

Handleiding - Mogelijke oplossingen voor problemen met het starten van Uw Online Werkplek

Net2WebServer. Installatie handleiding

Installeer de C54PSERVU in Windows Vista

INSTALLATIE EXCHANGE CONNECTOR

Inhoud Wat is mobiel werken?... 2 Installeren VPN Client... 3 Laptop... 3 Windows Windows Mac OS X Linux Tablet...

Installatiehandleiding. Automated Transfer Tool

SSL VPN. In deze handleiding zullen wij onderstaande SSL mogelijkheden aan u uitleggen. - SSL VPN account/groep creëren.

DE ELEKTRONISCHE IDENTITEITSKAART (EID)

HANDLEIDING VIEW DESKTOP. Handleiding VIEW Desktop. P. de Gooijer. Datum: Versie: 1.3

Tennis Vlaanderen Elit-clubtoepassing / Downloaden certificaat

VPN opzetten naar Auroraa (Global VPN Client)

Installatie Handleiding voor: TiC Narrow Casting Certified. System Integrators

Installatie MicroSoft SQL server 2012 Express

Easyhosting Handleiding SSL Certificaat installeren in DirectAdmin

Installatie SQL: Server 2008R2

UZI-register Ondertekenen met Microsoft Outlook versie 2.5 definitief (UZ69.03) 24 november Versie 1.2. Datum 24 november 2014

Datum 15 juni 2006 Versie Exchange Online. Handleiding voor gebruiker Release 1.0

Installatie handleiding Basware Virtual Printer

Handleiding ALGEMENE HANDLEIDING VWORKSPACE. Versie: 1.2. Datum: 10 april Eigenaar:

SSL VPN. In deze handleiding zullen wij onderstaande SSL mogelijkheden aan u uitleggen. - SSL VPN account/groep creëren.

Technische Informatie

Tennis Vlaanderen Elit-clubtoepassing / Downloaden certificaat

Versie: 1.0. Datum: 19 november Eigenaar:

Handleiding: FTP Verbinding Opzetten Publicatiedatum: (versie 1.0) Pagina 1 van 10 pagina s. Handleiding FTP Verbinding Opzetten

Handleiding installatie VITA Windows VITA. veilige internettoegang voor artsen v 3.0. Link website VITA :

HANDLEIDING EXTERNE TOEGANG CURAMARE

Net2WebServer. Installatie handleiding

Handleiding importeren HDN-browsercertificaat

16. Web Station. In dit hoofdstuk komen de volgende onderwerpen aan bod:

Snel op weg met webworxx

Wi-Fi instellingen voor Windows XP

HANDLEIDING WERKEN OP AFSTAND

Handleiding Virtru. VIRTRU installeren KLIK HIER

Upgrade Accowin van versie 1 naar versie 2

Firmware Upgrade Utility

HANDLEIDING Keystore Explorer

Hoe uw browser configureren voor Belfius Direct Net?

Smart-VPN app voor ios

Instructie certificaat installeren. Certificaat installeren

Zorg dat op de DC een DHCP scope word geïnstalleerd en NPS Role. Vul bij de scope de gateway in van de DC.

Installatie stappen Microsoft SQL Server 2012 Express With Tools:

Installatiehandleiding TiC Narrow Casting Manager

RoBeheer 1.5. Dé specialist in ruimtelijke informatievoorziening. Crotec bv Parallelweg AL s-hertogenbosch

Installatie SQL Server 2014

Handleiding Online Boekhouden

Beveiliging en controle van PaPyRuSdocumenten

Installatie Avalanche Webview

Handleiding Certificaat RDW

Installatie van sqlserver

Handleiding installatie Visual Rental Dynamics

Handleiding Microsoft SQL Server configuratie

Digitaal certificaat Ondertekenen en encryptie. De meest recente versie van dit document kunt u vinden op:

Handleiding DVS. Versie 1.0. Datum Status Vastgesteld

Eerste keer inloggen op het JEP portaal na migratie.

Hoe download en installeer ik de software 15.2? Lees voordat u begint dit document volledig door en sluit alle programma s af.

1. Inleiding Een certificaat aanvragen en installeren Een certificaat aanvragen Een sleutelset aanmaken...

Firmware Upgrade. Upgrade Utility (Router Tools)

SmartRevit SmartAssemblies Etcetera

IAAS - QUICK START GUIDE

Firmware Upgrade. Upgrade Utility (Router Tools)

Windows XP aanmaken CSR

Handleiding. Thuisgebruik. elo.nordwincollege.nl

Configureren van een VPN L2TP/IPSEC verbinding. In combinatie met:

Handmatig je lokale mailbox migreren

Voorbeeld. SMTP relaydienst uitschakelen Microsoft Exchange 2007/2010

Quickstart handleiding

Transcriptie:

Het aanmaken en installeren van een ZOVAR Servercertificaat onder IIS6 Versie 1.0 Datum 18-06-2008 Status definitief Bestandsnaam 20080618 - ZOVAR Instructie IIS6.doc (ZV30.01)

Inhoudsopgave 1 Inleiding 3 1.1 Inleiding 3 1.2 Disclaimer 3 2 Stappenplan Servercertificaat 4 3 Aanmaken van het Certificate Signing Request 5 3.1 Wat heeft u nodig 5 3.2 Aanmaken van het Certificate Signing Request 5 3.3 Het aanvragen van een certificaat: 10 4 Het omzetten van en naar PEM encoding 11 5 Het installeren van een servercertificaat 15 5.1 Wat heeft u nodig 15 5.2 Installeren van een servercertificaat 16 5.3 SSL Vereisen 20 5.4 Installatie Root CA certificaten: 22 5.5 Controle van de werking 22 6 Het vereisen van een cliëntcertificaat 25 7 Relevante Links 27 2007 CIBG, Den Haag Alle rechten voorbehouden. Niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën,opnamen of enig andere manier, zonder voorafgaande schriftelijke toestemming van de uitgever: CIBG, telefoon 070-3407446 Pagina 2 van 27

1 Inleiding 1.1 Inleiding Dit document beschrijft de basisstappen voor het aanmaken en installeren van een servercertificaat voor het beveiligen van de communicatie tussen een cliënt en een Microsoft Internet Information Server 6.0 (IIS6). Wanneer er in dit document wordt gesproken over een cliënt, dan wordt hiermee een willekeurig werkstation bedoelt. Wanneer er in dit document wordt gesproken over een webserver dan wordt hiermee de server bedoeld waarop de internetpagina draait waarvan de communicatie versleuteld dient te worden. Verderop in het document wordt ook uitgelegd hoe u de gebruiker zich kan laten identificeren door middel van het tonen van een cliëntcertificaat. Dit is geen vereiste. 1.2 Disclaimer Het aanmaken van een PKCS#10 kan op vele manieren. Wij verwijzen u dan ook naar de documentatie van de leverancier van uw server. Dit document kunt als een voorbeeld gebruiken voor het aanmaken van een PKCS#10 bestand en als voorbeeld voor de installatie op de server van het door ZOVAR verkregen certificaat. Aan de inhoud van dit document kan geen rechten worden ontleend. Ook kunnen wij geen vragen beantwoorden over de inhoud hiervan aangezien dit buiten de ondersteuning valt van ZOVAR. Deze documentatie wordt u aangeboden as is. Pagina 3 van 27

2 Stappenplan Servercertificaat Dit stappenplan beschrijft de te nemen stappen van het maken, installeren en configureren van een servercertificaat binnen de IIS webserver op Windows. Achter elke stap staat de naam van het document welke deze stap uitgebreid beschrijft. Stap Beschrijving Document 1 Aanmaken van een PKCS#10 Hoofdstuk 3 bestand 2 Aanvragen servercertificaat Zie factsheet ZOVAR Servercertificaat aanvragen op www.zovar.nl. Indien nodig (bij overzetten van PEM codering naar DER) 3 Omzetten codering Hoofdstuk 4 4 Installeren van het servercertificaat Hoofdstuk 5 Pagina 4 van 27

3 Aanmaken van het Certificate Signing Request 3.1 Wat heeft u nodig Voor het aanmaken van een zogeheten Certificate Signing Request (PKCS#10 bestand) heeft u de volgende zaken nodig: een werkende IIS6 webserver met een onbeveiligde website. 3.2 Aanmaken van het Certificate Signing Request In de eigenschappen van de Internet pagina waarvoor u een servercertificaat gaat aanvragen klikt u op het tabblad Directory Security: Klik hier onder het kopje Secure Communications op de knop Server Certificate. Pagina 5 van 27

Klik in het Wizard webserver certificate welkom scherm op Next. Om een nieuw certificaat aan te maken, selecteert u de bovenste optie Create new certificate En klik daarna op Next. Pagina 6 van 27

In het volgende scherm wordt u gevraagd of u het request direct wilt versturen of dat u dit later wilt doen. U selecteert hier de potties Prepare the request now, but send it later. En klik daarna op Next. Geef het certificaat een herkenbare naam. De naam van de website die u wilt beveiligen is voldoende. Als Bit length selecteren we 1024 bit (Default). En klik daarna op Next. Als u gebruik wilt maken van een HSM (Hardware Security Module), plaatst u een vinkje bij Select cryptographic service provider (CSP) for this certificate. Pagina 7 van 27

In het Organization Information scherm vult u de naam van de betreffende organisatie in en de naam van de afdeling. Deze zijn vrij invulbaar, maar wel verplicht. Het webregistratiesysteem doet verder niets met deze informatie. U dient deze tijdens de aanvraagprocedure van het servercertificaat correct in te vullen. In het Common Name scherm geeft u de naam van de website op zoals u deze in zou typen in de Internet browser. Ook hier: het webregistratiesysteem doet hier niets mee. U kunt deze tijdens de aanvraag van het servercertificaat correct invullen. U bent echter wel verplicht hier iets in te vullen. Klikt u daarna op Next. Pagina 8 van 27

In het volgende scherm vult u de correct geografische informatie in. Klik daarna op Next. Ook deze velden zijn verplicht. In het aanvraagsysteem voor het servercertificaat hoeft u deze niet in te vullen omdat dit ontbreekt in het certificaatprofiel van ZOVAR. In het volgende scherm vult u de locatie in van het.txt bestand waarin de Certificate Signing Request informatie staat. Dit is het PKCS#10 bestand. Klik daarna op Next. Pagina 9 van 27

Controleer of alle informatie klopt, en klik daarna op Next. Klik op Finish om de wizard te sluiten. 3.3 Het aanvragen van een certificaat: Volg de procedure voor het aanvragen van het servercertificaat in de factsheet ZOVAR Servercertificaat aanvragen op www.zovar.nl. Wanneer u uw certificaat in uw bezit heeft kunt u verder met hoofdstuk 4. Pagina 10 van 27

4 Het omzetten van en naar PEM encoding Er zijn twee gangbare formaten voor certificaten: een zogenaamd DER (Distinguished Encoding Rules) formaat; een PEM (Privacy Enhanced Mail) formaat dat ook bekend is als Base64 encoding. Als u via de ldapsearch pagina een certificaat opvist is dit DER encoded. https://www.zovar.nl/ldapsearch of https://www.zovar-test.nl/ldapsearch De DER encoding is vereist voor de genoemde tools (ASN.1 dump en ViewBER). De Microsoft Viewer kan zowel Base64 als DER encoding aan en die viewer kunt u ook gebruiken om de formaten in elkaar te converteren. Hieronder is aangegeven hoe u een PEM encoded certificate omzet naar DER encoding. Klik op copy to file en voer de handelingen uit zoals aangegeven op de volgende printouts. Klikt u hier op Next. Pagina 11 van 27

Kiest u hier in welk formaat u het certificaat wilt hebben. Klikt u daarna op Next. Pagina 12 van 27

Vul het pad in waar het bestand moet worden opgeslagen. Klikt u daarna op Next. Klikt u hier op Finish. Pagina 13 van 27

Het exporteren is gelukt, klikt u hier op OK. Pagina 14 van 27

5 Het installeren van een servercertificaat 5.1 Wat heeft u nodig Voor de installatie van het certificaat heeft u het volgende nodig: een geldig en getekend X.509 certificaat in DER-Encodig; ee certificaten van de complete certificate chain tot en met het Root CA certificaat. Na de aanvraag voor een certificaat wordt deze automatisch verstuurd naar het emailadres van de bij ZOVAR geregistreerde aanvrager. De Root CA keten bestaat uit de volgende CA s: Staat der Nederlanden Root CA ->Staat der Nederlanden Overheid CA ->ZOVAR CSP CA ->ZOVAR Services CA U kunt de Root en Overheid CA certificaten hier downloaden: http://www.pkioverheid.nl -> download stamcertificaat. De ZOVAR CA certificaten kunt u downloaden van: http://www.zovar.nl/ onder Hiërarchie. U dient hier alleen het ZOVAR Services CA certificaat te downloaden. Pas wanneer u cliënt authenticiteit door middel van cliëntcertificaten wilt gaan vereisen, zijn ook de andere ZOVAR CA certificaten nodig. Pagina 15 van 27

5.2 Installeren van een servercertificaat In de eigenschappen van de Internet pagina waarvoor we het certificaat gaan installeren klikt u op het tabblad Directory Security. Klikt u hier onder het kopje Secure Communications op de knop Server Certificate. Klik in het welkom scherm op Next. Pagina 16 van 27

Selecteer de optie Process the pending request and install the certificate, en klik op Next. Pagina 17 van 27

Vul de locatie in van het DER-encoded X.509 certificaat die u gekregen heeft na de aanvraag, en klik op next. Vul de SSL poort in die gebruikt gaat worden voor de internetpagina. Standaard is dit 443. Wijk hiervan niet af, tenzij u hiervoor een specifieke reden heeft. Pagina 18 van 27

Controleer de gegevens op het controle scherm en klik daarna op next. Klik op Finish om de wizard te sluiten. Pagina 19 van 27

5.3 SSL Vereisen Om het verbinden via SSL verplicht te maken configureert u dit als volgt. Klik in de eigenschappen van de beveiligde website op het tabblad Directory Security. Klik in het kopje Secure Communications op de knop Edit. Pagina 20 van 27

Vink hier Require Secure Channel (SSL) én Require 128-bit encryption aan. Klik op OK, en nog een keer op OK om het eigenschappen scherm te sluiten. Herstart de website om de veranderingen in te laten gaan. Pagina 21 van 27

5.4 Installatie Root CA certificaten: De complete CA keten moet als vertrouwd aangemerkt worden op de webserver. Deze keten ïmporteert u in de Trusted Root Certificate Authority certificate store van de local computer. Open een Microsoft Management Console (mmc.exe) en voeg de invoegtoepassing Certificates toe. Selecteer de locale computer, niet de gebruiker. Klap de Certificate store (local computer) open, en daarna de Trusted Root Certification Authorities. Klik met de rechtermuisknop op de fysieke store Certificates en selecteer import. Volg de wizard en importeer 1 voor 1 alle in hoofdstuk 3.1 gedownloade Root CA certificates. 5.5 Controle van de werking Surf met een webbrowser naar de zojuist geconfigureerde website. Denk er aan eerst de https URL in te typen. Zoals in dit voorbeeld: https://www.mijnsite.nl Als u het Root CA al vertrouwt krijgt u direct de website te zien. Als u deze niet vertrouwt, dan krijgt u een melding te zien die omschrijft dat het certificaat wel in orde is, maar dat de ondertekenende instantie niet als vertrouwd is aangemerkt. Klik in dat geval op OK/Yes. Pagina 22 van 27

Dubbelklik (Bij MS Internet Explorer) op het gele slotje, onderin het venster. U krijgt dan de SSL gegevens te zien: Pagina 23 van 27

In het tabblad Certification Path ziet u de complete boomstructuur. In dit voorbeeld is dit slechts 1 laag diep. In het geval van een ZOVAR Servercertificaat is dit 4 lagen diep. Pagina 24 van 27

6 Het vereisen van een cliëntcertificaat LET OP! Dit is alleen nodig indien u de gebruikers zich wilt laten identificeren door middel van een cliëntcertificaat. Klik in Computermanagement -> Services and Applications -> Internet Information Server -> Websites, met de rechter muisknop op de website die u wilt beveiligen. Kies in het context-menu voor de optie Properties. Kies in het Properties scherm op het tabblad Directory Security. Klik in het vak Secure Communications op de knop Edit. Pagina 25 van 27

In het onderdeel Client Certificates selecteert u de optie: Require client certificates. Klik op OK en sluit de eigenschappen van de website. Let op! IIS accepteert automatisch alle cliëntcertificaten die uit dezelfde certificatechain komen als het servercertificaat. Als u cliëntcertificaten vanuit een andere CA wilt accepteren dan moet u de selfsigned root CA van deze CA importeren in een Certificate Trust List. Deze CA moet ook in de Local Computer trusted Root Certificates store geïmporteerd worden. Als u specifieke cliëntcertificaten wilt koppelen aan gebruikers-accounts dan vinkt u het vinkje Enable client certificate mapping aan. Daarna kunt u de lijst met koppelingen bewerken door op de knop Edit te klikken. Pagina 26 van 27

7 Relevante Links How to implement SSL in IIS: http://support.microsoft.com/kb/299875/en-ushttp/shell Server Certificate Button Unavailable in IIS: http://support.microsoft.com/kb/306667/en-us How to control the ciphers for SSL and TLS: http://support.microsoft.com/kb/216482/en-us HOW TO: Use Host Header Names to Configure Multiple Web Sites in Internet Information Services 6.0: http://support.microsoft.com/kb/324287/en-us IIS 6.0: Computer must trust all certification authorities trusted by individual sites: http://support.microsoft.com/kb/332077/en-us IIS and client certificates: http://support.microsoft.com/kb/907274/en-us The best practices for managing trusted certificate authorities in Windows Server 2003: http://support.microsoft.com/kb/838427/en-us Enterprise CA May Not Publish Certificates from Child Domain or Trusted Domain; http://support.microsoft.com/kb/219059/en-us HOW TO: Configure Internet Information Services Web Authentication in Windows Server 2003: http://support.microsoft.com/kb/324276/en-us Pagina 27 van 27

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback