在運行IIS 的計算機上配置中間證書以進行服務器身份驗證

steven0224

在運行IIS 的計算機上配置中間證書以進行服務器身份驗證

前言

我們經常在安裝和部署SSL證書的時候，需要一同安裝中間證書。中間證書到底是什麼？為什麼必須要安裝？為什麼有時候，沒有中間證書，我的IE也能正常訪問HTTPS？為什麼其他瀏覽器都OK了，但安卓手機就是不行了！

當客戶端計算機嘗試建立與IIS Web 服務器的經過服務器身份驗證的安全層（SSL）連接時，將在客戶端計算機上驗證服務器證書鏈。若要成功完成此證書驗證，必須在服務器上正確配置服務器證書鏈中的中間證書。如果這些證書配置不正確，服務器身份驗證可能會失敗。它還適用於使用SSL/傳輸層安全性（TLS）進行身份驗證的任何程序。

作為證書路徑發現的一部分，中間證書必須位於內部，以生成到受信任的根證書的證書路徑。中間證書是一種可用於確定證書是否最終由有效的根證書頒發機構（CA）頒發的證書。可以從緩存或客戶端計算機上的證書存儲中獲取這些證書。服務器還可以向客戶端計算機提供信息。

中間證書是什麼

中間證書，其實也叫中間CA（中間證書頒發機構，Intermediate certificate authority, Intermedia CA），對應的是根證書頒發機構（Root certificate authority ，Root CA）。為了驗證證書是否可信，必須確保證書的頒發機構在設備的可信CA中。如果證書不是由可信CA簽發，則會檢查頒發這個CA證書的上層CA證書是否是可信CA，客戶端將重複這個步驟，直到證明找到了可信CA（將允許建立可信連接）或者證明沒有可信CA（將提示錯誤）。

為了構建信任鏈，每個證書都包括字段：“使用者”和“頒發者”。中間CA將在這兩個字段中顯示不同的信息，顯示設備如何獲得下一個CA證書，重複檢查是否是可信CA。

根證書，必然是一個自簽名的證書，“使用者”和“頒發者”都是相同的，所以不會進一步向下檢查，如果根CA不是可信CA，則將不允許建立可信連接，並提示錯誤。

例如：一個服務器證書domain.com，是由Intermedia CA簽發，而Intermedia CA的頒發者Root CA在WEB瀏覽器可信CA列表中，則證書的信任鏈如下：

證書1 - 使用者：domain.com；頒發者：Intermedia CA

證書2 - 使用者：Intermedia CA；頒發者： Root CA

證書3 - 使用者：Root CA ； 辦法和： Root CA

當Web瀏覽器驗證到證書3：Root CA時，發現是一個可信CA，則完成驗證，允許建立可信連接。當然有些情況下，Intermedia CA也在可信CA列表中，這個時候，就可以直接完成驗證，建立可信連接。

為何需要中間證書

保護根證書。如果直接採用根證書籤發證書，一旦發生根證書洩露，將造成極大的安全問題。所以目前根證書都要求離線保存，如果需要用根證書籤名，則必須通過人手工方式，直接用根證書在線簽發證書是不允許的。

區分不同類型的產品。針對DV,OV,EV等不同類型，不同安全級別的證書，CA會採用不同的根證書，一來便於區分，二來一旦出現問題，也便於區別處理，降低影響。中間CA證書一般都是支持在線簽發證書的。

交叉驗證。為了獲得更好的兼容性，支持一些很古老的瀏覽器，有些根證書本身，也會被另外一個很古老的根證書籤名，這樣根據瀏覽器的版本，可能會看到三層或者是四層的證書鏈結構，如果能看到四層的證書鏈結構，則說明瀏覽器的版本很老，只能通過最早的根證書來識別。

要獲得中間證書，一般有兩種方式：第一種、由客戶端自動下載中間證書；第二種、由服務器推送中間證書。以下分別討論。

客戶端自動下載中間證書

一張標準的證書，都會包含自己的頒發者名稱，以及頒發者機構訪問信息： Authority Info Access，其中就會有頒發者CA證書的下載地址。

通過這個URL，我們可以獲得這個證書的頒發者證書，即中間證書。Windows、IOS、MAC都支持這種證書獲取方式，但Android不支持這種方式，所以，如果我們僅依靠這種方式來獲得中間證書，就無法在Android系統上建立可信連接。

除了操作系統支持外，還有一個很重要的因素，就是客戶端可以正常訪問公網。如果客戶端本身在一個封閉的網絡環境內，無法訪問公網下載中間證書，就會造成失敗，無法建立可信連接。

此外，有些CA的中間證書下載地址因為種種原因被“牆”掉了，也會造成我們無法獲得中間證書，進而無法建立可信鏈接。

雖然自動下載中間證書的機制如此不靠譜，但在有些應用中，這卻是唯一有效的機制，譬如郵件簽名證書，由於我們發送郵件時，無法攜帶頒發郵件證書的中間證書，往往只能依靠客戶端自己去下載中間證書，一旦這個中間證書的URL無法訪問（被“牆”掉）就會造成驗證失敗。

服務器推送中間證書

服務器推送中間證書，就是將中間證書，預先部署在服務器上，服務器在發送證書的同時，將中間證書一起發給客戶端。我們部署證書，首先就要找到頒發服務器證書的中間證書，可以用中間證書下載工具 。

如果我們在服務器上不主動推送中間證書，可能會造成的問題

Android手機無法自動下載中間證書，造成驗證出錯，提示證書不可信，無法建立可信連接。
Java客戶端無法自動下載中間證書，驗證出錯，可信連接失敗。
內網電腦，在禁止公網的情況下，無法自動下載中間證書，驗證出錯，可信連接失敗。
雖然我們不部署中間證書，在大多數情況，我們依然可以建立可信的HTTPS連接，但為了避免以上這些情況，我們必須在服務器上部署中間證書。

所以，為了確保我們在各種環境下都能建立可信的HTTPS連接，我們應該盡量做到以下幾點：

1、必須在服務器上部署正確的中間證書，以確保各類瀏覽器都能獲得完整的證書鏈，完成驗證。

2、選擇可靠的SSL服務商，有些小的CA機構，因為各種原因，造成他們的中間證書下載URL被禁止訪問，即使我們在服務器上部署了中間證書，但也可能存在某種不可測的風險，這是我們應該盡力避免的。

3、中間證書往往定期會更新，所以在證書續費或者重新簽發後，需要檢查是否更換過中間證書。

影響

客戶端計算機無法連接到運行IIS 的服務器。出現這種情況的原因是，客戶端計算機無法對沒有正確配置的中間證書的服務器進行身份驗證。

一般來說，直接在iis利用導入導出證書的功能或者mmc導入ssl證書後，無須考慮中間證書，貌似大多數情況中間證書也會一同識別到中級證書頒發機構裡。

但是我碰上的是多台服務器導入同一ssl證書時，操作系統是雲中心統一安裝的。出現其中一兩台服務器綁定證書無法綁定， 443端口綁定證書會彈出“windows並沒有足夠信息驗證該證書…”錯誤提示，無法進行證書綁定。

配置中間證書

打開"證書" "Microsoft 管理控制台" （MMC）管理單元。若要執行此操作，請執行以下步驟：

在命令提示符處，鍵入Mmc.exe。

如果沒有以內置管理員身份運行該程序，則係統將提示您提供運行該程序的權限。在" Windows 安全性" 對話框中，單擊"允許"。

在"檔案" "File"菜單上，選擇"新增/移除嵌入式管理單元""Add/Remove Snap-in..."。

在"新增或移除嵌入式管理單元""Add or Remove Snap-ins"對話框中，在"可用的嵌入式管理單元""Available snap-ins" 列表中選擇"憑證""Certificates" 管理單元，選擇"新增""Add"，然後選擇"確定"。

在"憑證嵌入式管理單元" 對話框中，選擇"電腦帳戶"，然後選擇"下一步"。

在"選取電腦" 對話框中，選擇"完成"。

在"新增或移除嵌入式管理單元" 對話框中，選擇"確定"。

若要添加中間證書，請按照以下步驟操作：

在"憑證(本機電腦)" MMC 管理單元中，展開"憑證"，右鍵單擊"中繼憑證授權單位"，指向"所有工作"，然後選擇"匯入"。

在"憑證匯入精靈" 中，選擇"下一步"。

在"要匯入的檔案" 頁上，在"檔案名稱" 框中鍵入要匯入的憑證的檔案名，然後選擇"下一步"。

選擇"下一步"，然後完成憑證匯入嚮導。


看到這裡，覺得不就是利用mmc匯入ssl證書的方法嗎？但是注意的是這個是幫助匯入中繼憑證的，前面是已經匯入ssl證書了，再重新導入一遍到中繼憑證裡，這個時候中繼憑證列表項就會出現我們ssl證書所需要的中繼憑證了。

rma038