Konfigurera IIS att använda Certificate Trust List

Konfigurera IIS att använda Certificate Trust List

Detta dokument beskriver kortfattat hurman konfigurerar IIS till att använda en CTL (Certificate Trust List)

Importera LIO Standard CTL (innehåller samtliga rootutfärdare för SITHS samt LIO intern Root CA).

Logga på web servern där CTL ska användas Starta mmc Certificate snap-in med fokus på lokal dator.

Välj import Intermidiate Certificate Authorities/Certificate Trust List.

Peka ut ctl filen.
Öppna en Kommandoprompt (Glöm inte UAC dvs öppna den som administrator)

Skriv följande

STEG 1

C:\>netsh http show sslcert

Detta visar samtliga ssl bindningar som finns konfigurerade på servern (IIS)

SSL Certificate bindings:

————————-

IP:port                 : 0.0.0.0:443

Certificate Hash        : 37964095dc1ff8c635a7db16104cff0206c16222

Application ID          : {4dc3e181-e14b-4a21-b022-59fc669b0914}

Certificate Store Name  : (null)

Verify Client Certificate Revocation    : Enabled

Verify Revocation Using Cached Client Certificate Only    : Disabled

Usage Check    : Enabled

Revocation Freshness Time : 0

URL Retrieval Timeout   : 0

Ctl Identifier          : (null)

Ctl Store Name          : (null)

DS Mapper Usage    : Disabled

Negotiate Client Certificate    : Disabled

Identifiera vilken av bindningarna det gäller (vilken site det gäller)

Kopiera informationen innan steg 2 genomförs.

STEG 2

Detta  Raderar befintlig bindning, vilket vi måste göra för att skapa om den tillsammans med nyttjande av CTL.

C:\>netsh http delete sslcert ipport=0.0.0.0:443

STEG 3

C:\>netsh http add sslcert ipport=0.0.0.0:4444 certhash=37964095dc1ff8c635a7db16104cff0206c16222 appid={4dc3e181-e14b-4a21-b022-59fc669b0914} sslctlidentifier=LIO sslctlstorename=CA

Certhash är hashen på det ssl certifikat som siten ska nyttja

Sslctlidentifier är friendly name på den ctl som ska användas och som är iporterad i maskinen via mmc.

Sslctlstorename är hårdkodat och måste vara CA

****Notera är att samtliga parametrar är Case sensitive****

STEG 4

Verifiera konfiguration

C:\>netsh http show sslcert

SSL Certificate bindings:

————————-

IP:port                 : 0.0.0.0:443

Certificate Hash        : 37964095dc1ff8c635a7db16104cff0206c16222

Application ID          : {4dc3e181-e14b-4a21-b022-59fc669b0914}

Certificate Store Name  : (null)

Verify Client Certificate Revocation    : Enabled

Verify Revocation Using Cached Client Certificate Only    : Disabled

Usage Check    : Enabled

Revocation Freshness Time : 0

URL Retrieval Timeout   : 0

    Ctl Identifier          : LIO

    Ctl Store Name          : CA

DS Mapper Usage    : Disabled

Negotiate Client Certificate    : Disabled

Om följande rader är med så har konfigurationen lyckats

STEG 5

Kör IISRESET

This entry was posted in IIS, PKI and tagged , , , . Bookmark the permalink.