none
Как для сайта работающего на IIS cделать доступ по самозаверенному сертификату RRS feed

  • Общие обсуждения

  • Здравстуйте, прочитав много информации в интернете и на данном форуме по установке авторизации к сайту на IIS по САМОЗАВЕРЕННОМУ СЕРТИФИКАТУ все равно не могу решить проблему с ошибкой:

    Ошибка HTTP 403.7 - Forbidden

    Страница, к которой вы пытаетесь обратиться, требует, чтобы веб-браузер имел SSL-сертификат клиента, признаваемый веб-сервером.

    Делаю это я на компьютере под управлением Windows server 2008 r2 на IIS!

    Что я делал:

    1. Установил IIS и опубликовал на нем сайт по http(все открывается и работает).

    2. В Диспетчере служб IIS создал САМОЗАВЕРЕННЫЙ СЕРТИФИКАТ, и выгрузил его к себе на флешку.

    3. В Диспетчере служб IIS на сайте изменил привязку с Http(порт 80) на HTTPS(порт 443) и указал созданный мной сертификат.

    4. В Диспетчере служб IIS в настройках самого сайта изменил Параметры SSL - поставил галку Требовать SSL и там же выбрал Требовать сертификаты клиента.

    5. Перезагрузил Сервер.

    6. Попробовал зайти на сайт с самого сервера по адресу https://localhost/. Выдал - Ошибка HTTP 403.7 - Forbidden(хотя наверно уже должно заходить т.к. сертификат автоматом устанавливается на комп где он создается)

    7. Беру флешку с сертификатом и устанавливаю сертификат на другой комп(устанавливаю Доверенные корневые центры сертификации (в Личные тоже пробовал)).

    8. С клиентского компа захожу https://server/ - Выдает 403 - запрещено. Доступ запрещен.

    Задача я думаю не сложная для людей которые уже это делали... Помогите пожалуйста.. Чтоже нужно сделать чтоб все заработало?

    23 апреля 2014 г. 8:15

Все ответы

  • День Добрый!

    Посмотрите вот этот мануаль: How to configure IIS client certificate mapping authentication for IIS7

    Может подтолкнет Вас на мысль...


    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"

    23 апреля 2014 г. 9:29
  • Добрый День!

    Вот как в данной инструкции описано так и делаю, только в пункте 2 в инструкции делают импорт сертификата(неизвестно откуда взятого), а я там же только создаю самозаверенный сертификат(который потом экспортирую и устанавливаю на клиентский комп)..  А инструкция подробная, хорошая .. но только не работает все равно..(((

    23 апреля 2014 г. 10:22
  • Добрый День!

    Вот как в данной инструкции описано так и делаю, только в пункте 2 в инструкции делают импорт сертификата(неизвестно откуда взятого), а я там же только создаю самозаверенный сертификат(который потом экспортирую и устанавливаю на клиентский комп)..  А инструкция подробная, хорошая .. но только не работает все равно..(((

    Вы про этот пункт? 

    Import the CA root certificate to Trusted Root Certification Authorities and server certificate to Personal folder

    Это импорт корневого сертификата. В Вашем случае Ваш сертификат нужно положить в соответствующую папку.


    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"

    23 апреля 2014 г. 10:30
  • Я про пункт - 2. Import the server certificate as below. Но теперь посмотрел внимательней и появился вопрос!))

    Import the CA root certificate to Trusted Root Certification Authorities and server certificate to Personal folder - Импортируйте Корневой сертификат в Доверенные корневые центры сертификации и сертификат сервера в Личные.

    Когда я создаю самозаверенный сертификат в диспетчере IIS он является сертификатом сервера да?  Какой же сертификат тогда является Корневым сертификатом?

    Возможно инструкция которую вы предложили связана с центром сертификации и там два сертификата выпускаются? Я пользовался вот какой инструкцией - http://weblogs.asp.net/scottgu/archive/2007/04/06/tip-trick-enabling-ssl-on-iis7-using-self-signed-certificates.aspxМожет во втором сертификате "собака зарыта"))?

    23 апреля 2014 г. 11:43
  • Я про пункт - 2. Import the server certificate as below. Но теперь посмотрел внимательней и появился вопрос!))

    Import the CA root certificate to Trusted Root Certification Authorities and server certificate to Personal folder - Импортируйте Корневой сертификат в Доверенные корневые центры сертификации и сертификат сервера в Личные.

    Когда я создаю самозаверенный сертификат в диспетчере IIS он является сертификатом сервера да?  Какой же сертификат тогда является Корневым сертификатом?

    Возможно инструкция которую вы предложили связана с центром сертификации и там два сертификата выпускаются? Я пользовался вот какой инструкцией - http://weblogs.asp.net/scottgu/archive/2007/04/06/tip-trick-enabling-ssl-on-iis7-using-self-signed-certificates.aspxМожет во втором сертификате "собака зарыта"))?

    Если я все правильно понимаю Ваша инструкция ТОЛЬКО про то как организовать доступ к сайту по https...

    А я так понимаю Вы хотите сделать доступ без запроса логина пароля по сертификату пользователя?

    Я все правильно понимаю? Заранее извините за занудство...


    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"


    • Изменено Igor Chulkov 23 апреля 2014 г. 11:59
    23 апреля 2014 г. 11:59
  • Да Вы понимаете правильно. Нужно чтоб именно по сертификату была авторизация..
    23 апреля 2014 г. 12:02
  • Хм...

    А что мешает развернуть CA и сделать по мануалу который я давал?


    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"

    23 апреля 2014 г. 12:44
  •     Это не нужно т. к. группа пользователей не большая которым нужен доступ к сайту, как раз для таких ситуаций как моя и делался самозаверенный сертификат. Да еще и сомневаюсь что не будет проблем с СА раз даже с самозаверенным сертификатом такие проблемы))).. Есть мнение что на один компьютер IIS и CA нельзя устанавливать т.к. работать не будет - это я в какой то статье прочитал пока изучал свою проблему...

        А с моей задачей уже справиться не получится)))?

    23 апреля 2014 г. 14:16
  • Вообще то, самозаверенный сертификат всегда Корневой. Естественно, что он должен располагаться как в папке Личные сертификаты, так и в папке Доверенные корневые центры сертификации.

    Да, я Жук, три пары лапок и фасеточные глаза :))


    23 апреля 2014 г. 15:44
    Модератор
  • Я так и думал)).. Что же тогда сделать чтоб решить данную проблему?
    23 апреля 2014 г. 15:55
  • После создания самозаверенного сертификата через IIS на сервере он автоматом создается только в Доверенных корневых центрах сертификации в Личных его нет(но я и в Личные пробовал его устанавливать уже вручную)...

    И с самого сервера  если перейти по адресу https://localhost/ я предпологаю что сайт должен запускаться без дополнительных установок сертификата а он не запускается((...

    23 апреля 2014 г. 16:08
  • :)) для начала, установить сертификат в "Доверенные корневые...". Таким образом, у Вас он должен быть и в "Личные" и в "Доверенные корневые...".

    В "Доверенные корневые...", этот сертификат должен быть установлен и у всей группы Пользователей. Соответственно, что для каждого Пользователя группы должен быть выпущен свой Сертификат который так же должен быть установлен у Пользователя в "Личные".

    Внимательно изучите дополнительно статью.


    Да, я Жук, три пары лапок и фасеточные глаза :))


    23 апреля 2014 г. 16:25
    Модератор
  • Добрый Вечер!

    Мне бы уже закончить эту тему.. обратится просто не к кому больше... а здесь все как то поверхностно изучают проблему(хотя я все вроде бы подробно описываю).

    Сертификат я пробовал установить во все возможные места и в Доверенные корневые и в Личные и даже не по одному разу))).

    А ссылку, которую вы предлагаете внимательно изучить, я уже встречал в интернете до обращения на данный форум и изучал, но эта ссылка на совершенно другую тему))..

    Я конечно рад любой помощи)), но просьба, если хотите помочь, изучите пожалуйста сначала проблему!

    23 апреля 2014 г. 19:13