#language cs
## 20160415 AK
----
 '''česky''' | [[MicrosoftServer|english]]
----
= Internet Information Server (IIS) =
[Dotaz] Pokouším se instalovat IIS 6.0 na Windows 2003 Server. Viděl jsem předtím odkaz "Paste your CSR below..." (Vložte žádost o certifikát sem...), ale není dostupný.

[Odpověď] [[http://www2.futureware.at/svn/sourcerer/CAcert/IIS6.0HowTo.pdf|IIS6.0 s pěknými snímky oken dialogů]] (poskytl Alaric Dailey)

--([Odpověď] [[http://www.windowsitlibrary.com/Content/141/07/2.html|Přehled IIS SSL]])--

[[http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/Default.asp?url=/resources/documentation/windowsserv/2003/all/deployguide/en-us/iisdg_mea_nfmd.asp|Konfigurace serverových certifikátů pro SSL (IIS 6.0)]]

[[http://support.microsoft.com/default.aspx?scid=kb;EN-US;228991|Jak vytvořit a instalovat serverový SSL certifikát do Internet Information Serveru 4.0]]

[[http://support.microsoft.com/kb/290625/EN-US/|Jak konfigurovat SSL ve Windows 2000 IIS 5.0 testovém prostředí s použitím Certifikátového serveru 2.0]]

[[http://blog.webhosting.uk.com/2006/11/27/howto-set-up-ssl-using-iis-50-and-certificate-se/|Vytvoření SSL u IIS 5.0]]

--( http://blog.eukhost.com/2006/10/12/wildcard-ssl-importing-in-windows-iis-server - Wildcard SSL - Importing in Windows IIS Server )--

--( http://blog.eukhost.com/2006/10/12/wildcard-ssl-exporting-in-windows-iis-server - Wildcard SSL - Exporting in Windows IIS Server )--

[[http://vicryhc.wordpress.com/2012/03/13/create-certificate-iis-7-with-cerficate-free-from-cacert-org| Jak vytvořit certifikát na IIS 7.0]]
 . v současnosti:
  . Poskytovatelé kryptografických služeb:
   a. Microsoft RSA SChannel Cryptographic Provider, délka bitů: 384, 512, 1024, 2048, 4096, 8192, 16384
   a. Microsoft DH SChannel Cryptographic Provider, délka bitů: 512, 1024

[[HowTo/CertForIIS85/CZ| Jak vytvořit certifikát serveru na IIS 8.5]]

Související :[[Technology/KnowledgeBase/ClientCerts/CZ#Microsoft_Internet_Information_Server_8_na_systému_Windows_Server_2012|MS IIS8 na systému Windows Server 2012]]

Chcete-li to "dělat po svém", pak si stáhněte kopii [[http://www.stunnel.org/download/stunnel/win32/|OpenSSL binární soubory]].

== Windows 2000 IIS vyžaduje SSL i po jeho vypnutí ==
[Dotaz] Nejsem-li schopen vypnout SSL na webu IIS nebo virtuální složce:

Například: Výchozí web IIS je nastaven, aby vyžadoval https, a já odstraním zaškrtnutí u "Vyžadovat zabezpečený kanál (SSL) pro podsložku/virtuální složku a pak restartuji služby IIS; pak se pokusím připojit se k složce odkazem http://... a dostávám chybové hlášení:

{{{
HTTP 403.4 - Forbidden: SSL required (zakázáno: nutná SSL)
}}}
což znamená, že SSL je stále vyžadováno.

[Odpověď] Vypínejte SSL správným způsobem!

Při vypínání možnosti "Require secure channel (SSL)" (Vyžadovat zabezpečený kanál SSL), '''''je-li vystínováno "Require 128-bit encryption" (Vyžadovat šifrování 128 bity), vyberte "Require secure channel (SSL)", klikem zrušte "Require 128-bit encryption" a pak znovu vyčistěte možnost "Require secure channel (SSL)".'''''

== Poznámka k IIS wildcard certifikátu ==
IIS (s jistotou IIS 6.0) není schopen generovat žádost o wildcard certifikát, které by automatický systém CAcertu rozuměl. Při pokusu podat takovou žádost o certifikát nastane chyba přibližně s takovým textem:

{{{
Následující názvy počítačů byly odmítnuty, protože je systém nedokáže spojit s Vaším účtem; jsou-li platné, prosím ověřte domény podle Vašeho účtu. Zamítnuto:
\x00*\x00.\x00y\x00o\x00u\x00r\x00d\x00o\x00m\x00a\x00i\x00n\x00.\x00o\x00r\x00g
}}}
(*.yourdomain.org)

Řešením je použít jeden z alternativních způsobů generování žádosti (funguje například openVPN).

=== Chci použít zprostředkující certifikát třídy 3 se starším systémem Windows ===

 . Máte-li problémy s použitím nového zprostředkujícího certifikátu třídy 3 a s vytvářením klientských certifikátů třídy 3, pravděpodobně Váš starší systém Windows (Windows XP, Windows 2003) nemá instalovánu opravu '''[[http://www.microsoft.com/en-US/download/details.aspx?id=4670|Základní kryptografický poskytovatel Microsoft Smart Card (KB909520)]]'''.

 . KB909520 instaluje podporu SHA256 a další kryptografické poskytovatele: AES128, AES192, AES256 a další
 . Další informace o kryptografických poskytovatelích ve Windows - čtěte [[http://msdn.microsoft.com/en-us/library/windows/desktop/bb931357%28v=vs.85%29.aspx|Článek knihovny MSDN: CryptoAPI - Poskytovatelé kryptografických služeb]]

=== Doporučení MS pro starší systémy serverů a stanic Windows pro práci se SHA2 ===

Z materiálu [[http://blogs.technet.com/b/pki/archive/2010/09/30/sha2-and-windows.aspx|Windows a SHA2]]

Organizacím, které chtějí nasadit SHA2 a organizacím spolupracujím s 3. stranami, které začnou brzy používat SHA2, doporučujeme:
 * Používají-li ještě systémy XP, potřebují instalovat Service Pack 3. Má funkčnost SHA2 a je ještě jako jediný podporován (září 2010). 
 * Potřebují-li systémy Windows XP získat certifikáty od certifikační autority SHA2, pak je třeba instalovat KB 968730. 
 * Používají-li Windows Server 2003, pak je třeba instalovat Service Pack (1 nebo 2) a KB 938397. 
 * Potřebuje-li Windows Server 2003 získat certifikáty od certifikační autority SHA2, pak je třeba instalovat Service Pack 2 a KB 968730. Plánujete-li instalovat KB 968730, pak instalace KB 938397 není potřebná. 
 * Je-li třeba používat S/MIME se SHA2 pro podepisování těl e-mailových zpráv, měl by být na pracovní stanice instalován alespoň systém Windows Vista s Office 2003. 

----

 . CategorySoftware
 . CategoryCommunity
 . CategoryGuide
 . CategorySupport
 . CategoryConfiguration