Az alábbi műveletek végrehajtásához rendszergazdai jogosultságra van szükség.
Nyissuk meg a Felügyeleti eszközök > Internet szolgáltatáskezelő (Administrative Tools > Internet Services Manager) konzolt és lépjünk arra a webhelyre, amelyikhez bizonyítványt igényeltünk. Kattintsunk rá a jobboldali egérgombbal és válasszuk a "Tulajdonságok" ("Properties") menüt. A megjelenő ablakban lépjünk a "Könyvtárbiztonság" ("Directory Security") oldalra, majd a "Biztonságos kommunikáció" ("Secure communications") csoportban a "Szerkesztés" ("Edit") gombra. Itt állítható be a kiszolgáló viselkedése SSL kapcsolat esetén. Rögtön az oldal tetején "Biztonságos csatorna megkövetelése (SSL)" ("Require secure channel (SSL)") felirattal találunk egy jelölőnégyzetet, ha bekapcsoljuk, akkor a hagyományos titkosítás nélküli forgalmat nem engedélyezi az adott webhellyel.
Próbáljuk ki, az egyik kliens gépről kíséreljük meg az Internet Explorer-el elérni a webhelyet úgy, hogy HTTP:// módon kezdjük a cím beírását. Egy ilyen vagy ehhez hasonló hibaüzenetben lesz részünk:
A lapot biztonságos csatornán keresztül lehet megtekinteni
Most próbáljuk meg a HTTPS:// előtaggal meghívni ugyanezt.
Alapértelmezésben a böngésző megjelenít egy figyelmeztetést, mely arra utal, hogy át fog váltani biztonsági üzemmódba. Ezt jelenti még az oldal letöltődése után megjelenő zárt lakatot ábrázoló ikon az Explorer alsó státuszsorában. Ha rávisszük és rajta hagyjuk az egeret, megtudhatjuk, hogy hány bites titkosítással zajlik az adatforgalom.
Megjelenhet továbbá egy másik ablak is közölve, hogy a kiszolgáló bizonyítványa egy olyan szervezettől származik, amit mi nem minősítettünk megbízhatónak. Ez azért van, mert az operációs rendszer tárol egy listát a megbízható szervezetekről. A listát a rendszerrel együtt kapjuk, de később mi is vehetünk fel új tagokat. Ennek ellenére folytathatjuk az SSL kommunikációt. Ha olyan publikus elérésű webhelyet üzemeltetünk, amely bárhonnan fogadhat látogatókat, akkor nem a legszerencsésebb megoldás a saját hitelesítő szervezettől igényelt bizonyítvány használata, mert az ügyfélnél a saját rendszerbeállításaitól függően mindig megjelenhet ez az ablak. Ilyenkor a bizonyítványt egy külső mindkét fél által megbízhatónak titulált szervezettől igényeljük.
Visszatérve az IIS-hez az előbbi jelölőnégyzet alatt találunk egy továbbit "128 bites titkosítás" ("Require 128 bit encryption") néven. Ha bekapcsoljuk csak 128 bites kommunikáció engedélyezett a webhellyel, ami régebbi típusú böngészők esetén gond lehet - mert számukra túl magas az érték.
"Ügyfélbizonyítványok" ("Client certificates"): Az ügyfeleknek is lehet bizonyítványuk egy SSL kapcsolatban. Alapértelmezésben a kiszolgáló ezzel nem foglalkozik. Érkezik számára egy kérés, ő azt megfelelő titkosítással megválaszolja és innen kezdve mindegy, hogy az ügyfél kicsoda. Ha aktivizáljuk az "Ügyfélbizonyítványok megkövetelése" ("Require client certificates") rádiógombot, akkor viszont csak azon kliensek számára biztosít elérést, melyek olyan bizonyítvánnyal rendelkeznek, amit a kiszolgáló is elfogad. Itt áll elő a fenti helyzet fordítottja, azzal a különbséggel, hogy míg a felhasználó rákattint egy gombra és elfogadja az általa nem biztonságosnak minősített kiszolgáló bizonyítványát, addig a kiszolgáló nem kattint sehová, hanem egyszerűen elutasítja a kérést. Ha az "Ügyfélbizonyítvány elfogadása" ("Accept client certificates") lehetőséget választjuk, akkor minden bizonyítvánnyal rendelkező kliens kérése megválaszolásra kerül (és csak ezeké), függetlenül bizonyítványuk kiállítójától.
A következő jelölőnégyzet aktivizálásával elérhető, hogy az ügyfélbizonyítvánnyal rendelkező felhasználók azonosítása is megtörténjék.
A "Hitelességi bizonyítványok megbízhatósági listájának engedélyezése" ("Enable certificate trust list") jelölőnégyzet bekapcsolása után a webhely által elfogadott hitelesítő szervezetek listája válik szerkeszthetővé.
Portbeállítások
A HTTP kommunikáció alapértelmezésben a 80-as porton keresztül zajlik, az SSL-el felszerelt HTTPS viszont a 443-ason. A tulajdonságablak "Webhely" ("Web Site") oldalán kattintsunk a "Speciális" ("Advanced") nyomógombra. A kiszolgáló oldali bizonyítvány igénylése előtt "A webhely SSL identitásai" ("Multilpe SSL identities for this Web Site") szekció nem volt elérhető, de most már az. Több IP címmel rendelkező gépeken itt lehet konkrétan hozzárendelni a címet az SSL kommunikációhoz. Ehhez kattintsunk a "Hozzáadás" ("Add") gombra és adjuk meg a címet és a portszámot. Ha csak egy IP címünk van, akkor hagyjunk mindent alapbeállításon.
Emlékeztető
Ha egy SSL webhelyen egy másik SSL webhelyre vagy oldalra linkelünk, a HTML fájlokban ne felejtsük el a HTTP tagot átállítani HTTPS-re:
<A HREF="https://www.xyz.com"....