安全套接字層 (SSL) 是一套提供身份驗證、保密性和數據完整性的加密技術。SSL 最常用來在 Web 瀏覽器和 Web 服務器之間建立安全通信通道。它也可以在客戶端應用程序和 Web 服務之間使用。
為支持 SSL 通信,必須為 Web 服務器配置 SSL 證書。本章介紹如何獲取 SSL 證書,以及如何配置 Microsoft® Internet 信息服務 (IIS),以便支持 Web 瀏覽器和其他客戶端應用程序之間使用 SSL 安全地進行通信。
生成證書申請
此過程創建一個新的證書申請,此申請可發送到證書頒發機構 (CA) 進行處理。如果成功,CA 將給您發回一個包含有效證書的文件。
|
生成證書申請
|
1. |
啟動 IIS Microsoft 管理控制臺 (MMC) 管理單元。 |
|
2. |
展開 Web 服務器名,選擇要安裝證書的 Web 站點。 |
|
3. |
右鍵單擊該 Web 站點,然后單擊“屬性”。 |
|
4. |
單擊“目錄安全性”選項卡。 |
|
5. |
單擊“安全通信”中的“服務器證書”按鈕,啟動 Web 服務器證書向導。
注意:如果“服務器證書”不可用,可能是因為您選擇了虛擬目錄、目錄或文件。返回第 2 步,選擇 Web 站點。 |
|
6. |
單擊“下一步”跳過歡迎對話框。 |
|
7. |
單擊“創建一個新證書”,然后單擊“下一步”。 |
|
8. |
該對話框有以下兩個選項:
| • |
“現在準備申請,但稍后發送”
該選項總是可用的。 |
| • |
“立即將申請發送到在線證書頒發機構”
僅當 Web 服務器可以在配置為頒發 Web 服務器證書的 Windows 2000 域中訪問一個或多個 Microsoft 證書服務器時,該選項才可用。在后面的申請過程中,您有機會從列表中選擇將申請發送到的頒發機構。 |
單擊“現在準備申請,但稍后發送”,然后單擊“下一步”。 |
|
9. |
在“名稱”字段中鍵入證書的描述性名稱,在“位長”字段中鍵入密鑰的位長,然后單擊“下一步”。
向導使用當前 Web 站點名稱作為默認名稱。它不在證書中使用,但作為友好名稱以助于管理員識別。 |
|
10. |
在“組織”字段中鍵入組織名稱(例如 Contoso),在“組織單位”字段中鍵入組織單位(例如“銷售部”),然后單擊“下一步”。
注意:這些信息將放在證書申請中,因此應確保它的正確性。CA 將驗證這些信息并將其放在證書中。瀏覽您的 Web 站點的用戶需要查看這些信息,以便決定他們是否接受證書。 |
|
11. |
在“公用名”字段中,鍵入您的站點的公用名,然后單擊“下一步”。
重要說明:公用名是證書最后的最重要信息之一。它是 Web 站點的 DNS 名稱(即用戶在瀏覽您的站點時鍵入的名稱)。如果證書名稱與站點名稱不匹配,當用戶瀏覽到您的站點時,將報告證書問題。
如果您的站點在 Web 上并且被命名為 www.contoso.com,這就是您應當指定的公用名。
如果您的站點是內部站點,并且用戶是通過計算機名稱瀏覽的,請輸入計算機的 NetBIOS 或 DNS 名稱。 |
|
12. |
在“國家/地區”、“州/省”和“城市/縣市”等字段中輸入正確的信息,然后單擊“下一步”。 |
|
13. |
輸入證書申請的文件名。
該文件包含類似下面這樣的信息。 -----BEGIN NEW CERTIFICATE REQUEST-----
MIIDZjCCAs8CAQAwgYoxNjA0BgNVBAMTLW1penJvY2tsYXB0b3Aubm9ydGhhbWVy...
-----END NEW CERTIFICATE REQUEST-----
這是您的證書申請的 Base 64 編碼表示形式。申請中包含輸入到向導中的信息,還包括您的公鑰和用您的私鑰簽名的信息。
將此申請文件發送到 CA。然后 CA 會使用證書申請中的公鑰信息驗證用您的私鑰簽名的信息。CA 也驗證申請中提供的信息。
當您將申請提交到 CA 后,CA 將在一個文件中發回證書。然后您應當重新啟動 Web 服務器證書向導。 |
|
14. |
單擊“下一步”。該向導顯示證書申請中包含的信息概要。 |
|
15. |
單擊“下一步”,然后單擊“完成”完成申請過程。
證書申請現在可以發送到 CA 進行驗證和處理。當您從 CA 收到證書響應以后,可以再次使用 IIS 證書向導,在 Web 服務器上繼續安裝證書。 | |
提交證書申請
此過程使用 Microsoft 證書服務提交在前面的過程中生成的證書申請。
| • |
提交證書申請
|
1. |
使用“記事本”打開在前面的過程中生成的證書文件,將它的整個內容復制到剪貼板。 |
|
2. |
啟動 Internet Explorer,導航到 http://hostname/CertSrv,其中 hostname 是運行 Microsoft 證書服務的計算機的名稱。 |
|
3. |
單擊“申請一個證書”,然后單擊“下一步”。 |
|
4. |
在“選擇申請類型”頁中,單擊“高級申請”,然后單擊“下一步”。 |
|
5. |
在“高級證書申請”頁中,單擊“使用 Base64 編碼的 PKCS#10 文件提交證書申請”,然后單擊“下一步”。 |
|
6. |
在“提交一個保存的申請”頁中,單擊“Base64 編碼的證書申請(PKCS #10 或 #7)”文本框,按住 CTRL+V,粘貼先前復制到剪貼板上的證書申請。 |
|
7. |
在“證書模板”組合框中,單擊“Web 服務器”。 |
|
8. |
單擊“提交”。 |
|
9. |
關閉 Internet Explorer。 | |
頒發證書
| • |
頒發證書
|
1. |
從“管理工具”程序組中啟動“證書頒發機構”工具。 |
|
2. |
展開您的證書頒發機構,然后選擇“掛起的申請”文件夾。 |
|
3. |
選擇剛才提交的證書申請。 |
|
4. |
在“操作”菜單中,指向“所有任務”,然后單擊“頒發”。 |
|
5. |
確認該證書顯示在“頒發的證書”文件夾中,然后雙擊查看它。 |
|
6. |
在“詳細信息”選項卡中,單擊“復制到文件”,將證書保存為 Base-64 編碼的 X.509 證書。 |
|
7. |
關閉證書的屬性窗口。 |
|
8. |
關閉“證書頒發機構”工具。 | |
在 Web 服務器上安裝證書
此過程在 Web 服務器上安裝在前面的過程中頒發的證書。
| • |
在 Web 服務器上安裝證書
|
1. |
如果 Internet 信息服務尚未運行,則啟動它。 |
|
2. |
展開您的服務器名稱,選擇要安裝證書的 Web 站點。 |
|
3. |
右鍵單擊該 Web 站點,然后單擊“屬性”。 |
|
4. |
單擊“目錄安全性”選項卡。 |
|
5. |
單擊“服務器證書”啟動 Web 服務器證書向導。 |
|
6. |
單擊“處理掛起的申請并安裝證書”,然后單擊“下一步”。 |
|
7. |
輸入包含 CA 響應的文件的路徑和文件名,然后單擊“下一步”。 |
|
8. |
檢查證書概述,單擊“下一步”,然后單擊“完成”。
現在,已在 Web 服務器上安裝了證書。 | |
將資源配置為要求 SSL 訪問
此過程使用 Internet 服務管理器,將虛擬目錄配置為要求 SSL 訪問。您可以為特定的文件、目錄或虛擬目錄要求使用 SSL。客戶端必須使用 HTTPS 協議訪問所有這類資源。
| • |
將資源配置為要求 SSL 訪問
|
1. |
如果 Internet 信息服務尚未運行,則啟動它。 |
|
2. |
展開您的服務器名稱和 Web 站點。(這必須是已安裝證書的 Web 站點) |
|
3. |
右鍵單擊某個虛擬目錄,然后單擊“屬性”。 |
|
4. |
單擊“目錄安全性”選項卡。 |
|
5. |
單擊“安全通信”下的“編輯”。 |
|
6. |
單擊“要求安全通道 (SSL)”。
現在客戶端必須使用 HTTPS 瀏覽到此虛擬目錄。 |
|
7. |
單擊“確定”,然后再次單擊“確定”關閉“屬性”對話框。 |
|
8. |
關閉 Internet 信息服務。 | |
