Installieren von CardSpace-Beispielzertifikaten
Um die CardSpace-Beispiele verwenden zu können, müssen SSL-Zertifikate, virtuelle Webverzeichnisse und Hostdateieinträge installiert sein. In diesem Dokument wird die Installation der erforderlichen Zertifikate sowie von alternativen Zertifikaten beschrieben.
Vor der Installation
Das Setup für die CardSpace-Beispiele hängt von der erfolgreichen Installation von One-Time Setup Procedure for the Windows Communication Foundation Samples ab.
Schnelle Installation des Beispiels
Um die Zertifikate zu installieren, erstellen Sie die virtuellen Hosts für die Websites sowie alle Hosteinträge. Führen Sie dann die Batchdatei Setup.bat im Beispielverzeichnis aus. Auf diese Weise werden die Skripts einzeln ausgeführt.
Um alles zu deinstallieren, führen Sie die Batchdatei Cleanup.bat im Beispielverzeichnis aus. Auf diese Weise werden die Skripts, die Website und die Hosteinträge deinstalliert. Dateien werden nicht gelöscht.
Informationen zu Zertifikaten
In diesem Dokument wird die Installation der erforderlichen Zertifikate beschrieben. Weitere Informationen zu Zertifikaten finden Sie in den folgenden Dokumenten:
Was sind Zertifikate? (Seite ist möglicherweise nur in englischer Sprache verfügbar)
Funktionsweise von Zertifikaten(Seite ist möglicherweise nur in englischer Sprache verfügbar)
Zertifikate, Tools und Einstellungen(Seite ist möglicherweise nur in englischer Sprache verfügbar)
Weitere Informationen zu Zertifikaten einer Zertifizierungsstelle finden Sie in den folgenden Dokumenten:
Was sind Zertifikate einer Zertifizierungsstelle? (Seite ist möglicherweise nur in englischer Sprache verfügbar)
Funktionsweise von Zertifikaten einer Zertifizierungsstelle(Seite ist möglicherweise nur in englischer Sprache verfügbar)
Zertifikate einer Zertifizierungsstelle, Tools und Einstellungen(Seite ist möglicherweise nur in englischer Sprache verfügbar)
Voraussetzungen
Diese exemplarische Vorgehensweise ist für Windows XP SP2, Windows Server 2003 SP1 und Windows Vista vorgesehen. Die folgenden Komponenten müssen installiert sein:
Microsoft .NET Framework 3.0.
IIS 5.0 (Windows XP SP2), IIS 6.0 (Windows Server 2003) oder IIS 7.0 (Windows Vista).
Tipp
Stellen Sie für Windows Vista sicher, dass die IIS 6.0-Kompatibilitätsunterstützung mit IIS 7.0 installiert wurde.
Die folgenden Zertifikate befinden sich im Zertifikateordner:
Die folgenden Dateien befinden sich im Websiteordner:
images\adatum.gif
images\contoso.gif
images\fabrikam.gif
crldata\adatum.crl
CardSpace\default.html
Die folgenden Skriptdateien befinden sich im Skriptordner:
Install-certificates.vbs
Remove-certificates.vbs
Install-website.vbs
Remove-website.vbs
Install-hosts.vbs
Remove-hosts.vbs
Informationen zu diesen Zertifikaten
Die hier dargestellten Zertifikate dienen lediglich der Veranschaulichung. Das Stamm-Zertifizierungsstellenzertifikat wird als SST-Datei (Microsoft Serialized Certificate Store, Microsoft Serieller Zertifikatspeicher) gespeichert. Die Websitezertifikate werden als PFX-Dateien gespeichert. Die Zertifikate werden für zwei Arten von Szenarien verwendet: Browserszenarien und Windows Communication Foundation (WCF)-Szenarien.
Bei den Beispielzertifikaten handelt es sich um Zertifikate hoher Zusicherung mit eingebetteten Logobildern. Zertifikate mit hoher Zusicherung werden von einer Zertifizierungsstelle ausgestellt, die weiterführende Schritte zur Überprüfung des Inhabers durchführt, für den das Zertifikat ausgestellt ist. In Internet Explorer 7.0 wird bei diesen Zertifikaten mit hoher Zusicherung die Adressleiste in einer anderen Farbe angezeigt. Wenn der Browser die Informationen bestätigt und das Zertifikat auscheckt, wird die Adressleiste grün angezeigt:
Wenn bei der Überprüfung des Zertifikats (mit hoher Zusicherung oder nicht) Probleme auftreten, wird die Adressleiste in Internet Explorer 7.0 gelb angezeigt:
Wenn Internet Explorer 7.0 den Verdacht hat, dass es sich um eine Phishingsite handelt, wird die Adressleiste rot angezeigt:
Bei normalen SSL-Zertifikaten bleibt die Adressleiste weiß.
Logoerweiterungen ermöglichen es der Zertifizierungsstelle, eine Grafik in das Zertifikat einzufügen und eine URL bereitzustellen, um diese zu überprüfen. Die URLs für die Logografiken in den Beispielzertifikaten sind für http://www.adatum.com/images/\<logo>.gif konfiguriert, wobei <logo> der Name des Logos ist.
Für die Szenarien mit Internet Explorer 7.0 und WCF müssen die Zertifikate auf dem Webserver installiert sein, die Grafiklogos müssen unter einem virtuellen Verzeichnis in den Internetinformationsdiensten (IIS) eingerichtet sein, und die Hostdatei muss die Beispieldomänennamen (Fabrikam, Contoso und Adatum) enthalten.
Für alle Szenarien gilt: Um die Beispiele auf mehreren Computern zu verwenden, ändern Sie die Datei c:\windows\system32\drivers\etc\hosts mithilfe von Editor manuell:
Fügen Sie die folgenden Einträge hinzu (und fügen Sie anstelle von 127.0.0.1 die entsprechende IP-Adresse des Servers ein):
127.0.0.1 www.adatum.com adatum.com
127.0.0.1 www.contoso.com contoso.com
127.0.0.1 www.fabrikam.com fabrikam.com
Beispielwebsites und URLs
Die Beispielanwendungen und Websites erstellen virtuelle Verzeichnisse in IIS unter der Standardwebanwendung, die an Anschluss 80 gebunden sein muss. Verwenden Sie keinen Hostheader, sodass Sie für www.fabrikam.com, www.adatum.com und www.contoso.com denselben Webserver verwenden können. Der SSL-Kanal ist an das Zertifikat für www.fabrikam.com gebunden und wird für die HTTPS-Verbindungen verwendet. In den einzelnen Beispielen werden virtuelle Verzeichnisse in der Standardwebsite erstellt, um die Beispiele zu veranschaulichen.
Installation der Zertifikate
Das Stamm-Zertifizierungsstellenzertifikat von unserer fiktiven Zertifizierungsstelle (Adatum) muss im Ordner "Vertrauenswürdige Stammzertifizierungsstellen" im Speicher des lokalen Computers gespeichert werden. (localMachine:root
).
Die Unternehmenszertifikate (Contoso und Fabrikam) müssen im Ordner "Persönlich" im Speicher des lokalen Computers gespeichert werden. (localMachine:My). Die Kennwörter für alle PFX-Dateien sind leer. Führen Sie das Skript Install-certificates.vbs über den Skriptordner aus. Das Skript installiert die Zertifikate in den entsprechenden Speichern. Wenn das Skript ausgeführt wird, wird eine Eingabeaufforderung angezeigt:
Als zusätzliche Sicherheitsvorkehrung (von CAPICOM) zeigt das Skript möglicherweise eine Warnung an, dass ein Zertifikat von einer Zertifizierungsstelle installiert wird. Akzeptieren Sie das Zertifikat an, um den Vorgang fortzusetzen.
Das Skript unterstützt darüber hinaus zwei optionale Befehlszeilenparameter: DEBUG und VERBOSE. Diese stellen während der Ausführung weitere Informationen bereit.
Erfahrene Benutzer: Installieren Sie die Zertifikate manuell über die Microsoft Management Console (MMC).
Installation der Logografiken und der Zertifikatsperrliste
Die Grafiken für die Logoerweiterungen in den Zertifikaten müssen für die Clients zur Überprüfung verfügbar sein.
Firma | URL | Bild |
---|---|---|
Adatum |
http://www.adatum.com/images/adatum.gif |
<Datum-Image> |
Contoso |
https://www.contoso.com/images/contoso.gif |
<Contoso-Image> |
Fabrikam |
http://www.fabrikam.com/images/fabrikam.gif |
<Fabrikam-Image> |
Führen Sie das Skript Install-website.vbs über den Skriptsordner aus. Das Skript erstellt die virtuellen Verzeichnisse für die Zertifikatslogos und die Zertifikatsperrliste (CRL, Certificate Revocation List).
Erfahrene Benutzer: Erstellen Sie die virtuellen Verzeichnisse manuell über das MMC-Snap-In IIS. Die drei Verzeichnisse, die auf Ordner im Installationsordner zeigen, sind in der folgenden Tabelle aufgeführt.
Virtuelles Verzeichnis | Pfad |
---|---|
crldata |
.\website\crldata |
CardSpace |
.\website\CardSpace |
Bilder |
.\website\images |
Änderung der Hostdatei
Die Datei c:\windows\system32\drivers\etc\hosts wird für die Beispiele geändert, sodass die URLs für den lokalen Computer aufgelöst werden können.
Führen Sie das Skript Install-hosts.vbs über den Skriptsordner aus. Das Skript erstellt die Einträge für die Beispiele in die Hostdatei.
Erfahrene Benutzer: Erstellen Sie die Einträge manuell, indem Sie die Datei c:\windows\system32\drivers\etc\hosts bearbeiten und die folgenden Zeilen hinzufügen:
127.0.0.1 www.adatum.com atatum.com
127.0.0.1 www.contoso.com contoso.com
127.0.0.1 www.fabrikam.com fabrikam.com
Überprüfen einer erfolgreichen Installation
Um die Hostdatei und die Installation des virtuellen Webverzeichnisses zu überprüfen, rufen Sie im Internet Explorer die Seite http://www.fabrikam.com/CardSpace auf. Der Browser zeigt die Standardseite für das Beispiel an.
IIS: Zugriffssteuerungslisten für private Zertifikatschlüssel
Damit die Internetinformationsdienste (IIS, Internet Information Services) auf die privaten Schlüssel der Zertifikate zugreifen können, müssen die Zugriffssteuerungsliste für das Internetinformationsdienstkonto (ASPNET auf Windows XP und Windows Vista und NETWORK SERVICE auf Windows Server 2003) festgelegt sein, um Lesezugriff auf die Dateien zu haben. Hierfür ist das Skript für die Installation des Zertifikats verantwortlich. Um die Berechtigungen für private Schlüssel für andere Zertifikate festzulegen, verwenden Sie die Datei Findprivatekey.exe aus dem Windows-SDK und die Datei Cacls.exe, und ersetzen Sie den Fingerabdruck des anderen Zertifikats:
findprivatekey.exe my localmachine -t "d47de657fa4902555902cb7f0edd2ba9b05debb8" –a
ProgramData\Microsoft\Crypto\RSA\MachineKeys\6799c8288a6ee49d3fc35f2424524993_4872db96-95c8-43fa-8498-b2d31edcc120cacls
cacls C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\6799c8288a6ee49d3fc35f2424524993_4872db96-95c8-43fa-8498-b2d31edcc120 /G ASPNET:R
Are you sure (Y/N)?y
processed file: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\6799c8288a6ee49d3fc35f2424524993_4872db96-95c8-43fa-8498-b2d31edcc120
Deinstallieren
Um die Beispielzertifikate, die virtuellen Verzeichnisse und die Hosteinträge zu deinstallieren, führen Sie die folgenden Skripts aus:
Remove-certificates.vbs
Remove-website.vbs
Remove-hosts.vbs
Die Registrierung der Zertifikate, Website und Hosts wird entfernt.
Tipp
Die Dateien im Installationsverzeichnis werden jedoch nicht gelöscht.
Wenn das Zertifikat einer Zertifizierungsstelle aus dem System entfernt wird, zeigt das Skript möglicherweise folgende Nachricht an:
Klicken Sie auf Ja, damit das Zertifikat entfernt werden kann.
Problembehandlung
Internet Explorer-Proxyeinstellungen: Damit die Browserbeispiele ordnungsgemäß funktionieren, müssen Sie möglicherweise Folgendes in den Internet Explorer-Einstellungen hinzufügen, um den Proxy zu umgehen:
www.fabrikam.com;fabrikam.com;www.contoso.com;contoso.com;adatum.com;
www.adatum.com;woodgrovebank.com;www.woodgrovebank.com
Wenn Sie einen automatisch ermittelten Proxy verwenden, deaktivieren Sie die automatische Ermittlung, und geben Sie die Proxyinformationen manuell ein. Bitten Sie den Systemadministrator um Informationen zur Proxykonfiguration.
Wenn die Zertifikatsänderungen nicht ordnungsgemäß angezeigt werden, löschen Sie den SSL-Zertifikatscache in Internet Explorer. Klicken Sie in Internet Explorer auf Extras und dann auf Internetoptionen. Klicken Sie auf die Schaltfläche SSL-Status löschen, und schließen Sie alle Instanzen von Internet Explorer.
Für die Browserszenarien mit Internet Explorer 7.0 müssen Sie SSL-Verbindungen verwenden und die Standardwebsite mit einem SSL-Zertifikat einrichten. Die Problembehandlung bei SSL-Verbindungen erfordert häufig viel Zeit. Mit ein paar wenigen schnellen Tipps können Sie jedoch die meisten Fehler ganz einfach beheben.
Laden Sie zunächst den Download eines SSL-Diagnoseprogramms für IIS (Seite ist möglicherweise nur in englischer Sprache verfügbar) herunter.
Tipp
Alle in diesem Dokument dargestellten Bildschirmabbildungen stammen von einem Computer, auf dem Windows Vista ausgeführt wird. Wenn auf Ihrem Computer ein früheres Betriebssystem ausgeführt wird, werden möglicherweise etwas andere Dialogfelder angezeigt.
Siehe auch
Weitere Ressourcen
Using CardSpace in Windows Communication Foundation
Senden Sie Kommentare zu diesem Thema an Microsoft.
Copyright © 2007 by Microsoft Corporation. Alle Rechte vorbehalten.