按部就班——圖解配置IIS5的SSL安全訪問

作者：mikespook 版本：1.0 最后更新：2004-12-22 16:04 按部就班——圖解配置IIS5的SSL安全訪問... 1 寫在前面的... 1 第一步：?????? 準(zhǔn)備工作... 1 第二步：?????? IIS創(chuàng)建證書... 3 第三步：?????? 向“證書頒發(fā)機(jī)構(gòu)”申請證書... 8 第四步：?????? 頒發(fā)證書... 10 第五步：?????? 安裝證書，配置SSL. 12 第六步：?????? 完成... 14

寫在前面的

這幾天自己的商城寫完了，準(zhǔn)備搞搞IIS5的SSL訪問。查了一圈資料，發(fā)現(xiàn)多數(shù)文章都如出一轍。雖然寫得很詳細(xì)，但是東一榔頭，西一棒槌，讓我摸不著頭腦。罷！罷！罷！直接看幫助，學(xué)著配吧。沒想到順利得很，一遍搞掂。就此寫文一篇，以幫助跟我有一樣困惑的朋友。 在看本文之前我先和讀者做一個約定。我假設(shè)你會使用鼠標(biāo)和鍵盤，并且能夠?qū)indows 2000 Server進(jìn)行基本的操作（我只想在本文里說明如何配置IIS5的SSL安全訪問，對于如何雙擊圖標(biāo)我不想涉及。）。同時(shí)你的計(jì)算機(jī)上也正確安裝有IIS和瀏覽器（這個是Windows 2000 Server的標(biāo)準(zhǔn)配置，如果你使用的是Windows 2000 Professional版本就不用閱讀本文了，因?yàn)檫@個版本不支持IIS的SSL訪問。）。

第一步：??? 準(zhǔn)備工作

首先你應(yīng)該有一臺你自己的計(jì)算機(jī)，而且需要有鼠標(biāo)、鍵盤或者你能夠從其他具有鼠標(biāo)鍵盤的計(jì)算機(jī)訪問它。不要拿東西扔我，多數(shù)服務(wù)器是沒有鼠標(biāo)和鍵盤的^_^。這臺計(jì)算機(jī)應(yīng)該安裝有Windows 2000 Server或者Windows 2000 Advance Server。其他版本的Windows要么不支持IIS的SSL訪問，要么就是跟本文討論的配置方法有出入，比如Windows 2003的IIS6。 然后就是需要檢查你的計(jì)算機(jī)有沒有安裝“證書服務(wù)”，如果已經(jīng)安裝了該組件，你可以跳過本步驟。 在“控制面板”à“添加/刪除程序”中點(diǎn)擊“添加/刪除Windows組件”，找到“證書服務(wù)”，在其前面打鉤。如圖1。 圖1 注意，這個服務(wù)有兩個子選項(xiàng)“證書服務(wù)Web注冊支持”和“證書服務(wù)頒發(fā)機(jī)構(gòu)(CA)”。為了方便期間，這兩個功能都需要安裝。 圖2。 點(diǎn)擊下一步，“Windows組件向?qū)А睍龑?dǎo)你完成該服務(wù)的安裝。在安裝過程中會出現(xiàn)“證書頒發(fā)機(jī)構(gòu)類型”的選擇，這里務(wù)必要選擇獨(dú)立根（圖3）。當(dāng)然，如果你是在域中的話，請不要繼續(xù)閱讀。因?yàn)槟切枰獎?chuàng)建的是企業(yè)根或者企業(yè)從屬根。 圖3 當(dāng)完成了“證書服務(wù)” 的安裝后，你的“控制面板”à“管理工具”中就會多出一個“證書頒發(fā)機(jī)構(gòu)”這樣一個圖標(biāo)。 圖4 準(zhǔn)備工作到此結(jié)束。

第二步：??? IIS創(chuàng)建證書

完成了上面的準(zhǔn)備，現(xiàn)在就可以讓IIS來申請證書了。在“控制面板”à“管理工具”中進(jìn)入“Internet 服務(wù)管理器”。鼠標(biāo)右鍵點(diǎn)擊你需要配置的站點(diǎn)，在彈出的菜單中選擇“屬性”（如果你跟我一樣是左手使用鼠標(biāo)，那就點(diǎn)擊鼠標(biāo)左鍵。）。這時(shí)就會打開如圖5的“屬性”對話框。在“目錄安全性”中點(diǎn)擊“服務(wù)器證書”按鈕（圖6）。 圖5 圖6 這時(shí)就會有“IIS證書向?qū)А眮硪徊揭徊教崾灸阃瓿勺C書的申請（圖7）。 圖7 點(diǎn)擊“下一步”選擇“創(chuàng)建一個新證書”并繼續(xù)（圖8）。需要說名的是另外兩種方式“分配一個已存在的證書”和“從密鑰管理器備份文件導(dǎo)入一個證書”也可以正確的配置IIS的SSL訪問，但是和本問所講順序有所不同，這里不再贅述。 圖8 繼續(xù)創(chuàng)建證書，“選擇現(xiàn)在準(zhǔn)備請求，但稍后發(fā)送”。實(shí)際上你也只能選擇這個選項(xiàng)，另外一個選項(xiàng)“立即發(fā)送請求到一個在線證書頒發(fā)機(jī)構(gòu)”多數(shù)情況下不可用（圖9）。我也沒有查到在什么時(shí)候可用，什么時(shí)候不可用的資料。個人猜測大概是在安裝“證書服務(wù)”的時(shí)候如果選擇了XXXXXXXXXXXXX或XXXXXXXXXX，這里可能就可以直接申請。如果真是我猜測的這樣，那后面那些麻煩的過程都可以略過不談了。^_^ 圖9 繼續(xù)“下一步”，會要求你輸入一個容易記憶的名稱來標(biāo)識你的證書。同時(shí)會要求你選擇“位長”，實(shí)際上就是加密強(qiáng)度。“位長”越大，越安全。當(dāng)然這是以犧牲性能為代價(jià)的（圖10）。 圖10 接下來是輸入組織和部門，這個將會出現(xiàn)在你的證書中，并且當(dāng)他人查看你的證書的時(shí)候會顯示出來（圖11）。最好還是使用合法的名稱，別偽造別人的證書哦。比如我輸入的組織是“mikespook & swill”，部門因?yàn)槭菫槲业纳坛巧暾埖?#xff0c;所以我輸入“XYShop”。 圖11 在輸入站點(diǎn)公用名稱時(shí)要注意，最好是使用你將綁定的域名。否則在別人訪問你的站點(diǎn)，彈出證書確認(rèn)對話框時(shí)，會有一個名稱不匹配的提示（圖12）。 圖12 接著是輸入地理信息（圖13）。 圖13 最后一步就是將生成的證書保存下來，以備后用（圖14、圖15、圖16）。 圖14 圖15 圖16 這時(shí)在C盤根目錄下就保存了一個由BASE64編碼的證書文件certreq.txt。當(dāng)然，如果你在保存證書（圖14）的時(shí)候選擇了其他路徑，則有所不同了。

第三步：??? 向“證書頒發(fā)機(jī)構(gòu)”申請證書

看到“證書頒發(fā)機(jī)構(gòu)”不用緊張，我們不是要跟什么權(quán)威部門打交道，更不需要準(zhǔn)備什么申請公文之類的煩瑣文檔。因?yàn)樵诘谝徊桨惭b的“證書服務(wù)”就是我們的“證書頒發(fā)機(jī)構(gòu)”。 在瀏覽器中輸入地址[url]http://localhost/CertSrv/[/url]會打開“Microsoft 證書服務(wù)”頁面（圖17）。選擇申請證書，點(diǎn)擊按鈕“下一步”。 圖17 在“選擇申請類型”的時(shí)候應(yīng)該選擇“高級申請”，以便導(dǎo)入在第二步時(shí)生成的IIS證書（圖18）。 圖18 因?yàn)樵诘诙奖４娴哪莻€證書文件是BASE64編碼的，所以我們應(yīng)該選擇“使用BASE64編碼的PKCS #10文件提交一個證書申請，或使用BASE64編碼的PKCS #7文件更新證書申請”（圖19）。 圖19 “CTRL+A”、“CTRL+C”、“CTRL+V”這是每個使用MS操作系統(tǒng)的人都該熟記于心的“寶典”。用此“寶典”將第二步中生成的那個文件的內(nèi)容復(fù)制于圖20所示文本框中。 圖20 這時(shí)你就會收到“證書掛起”的通知，這就意味著你的證書已經(jīng)被提交了（圖21）。 圖21

第四步：??? 頒發(fā)證書

完成了申請證書，證書就被提交到了“證書頒發(fā)機(jī)構(gòu)”。呵呵，趕緊自己給自己辦法一個證書吧。 進(jìn)入“控制面板”à“管理工具”打開圖3所示的“證書頒發(fā)機(jī)構(gòu)”，打開左邊的“證書頒發(fā)機(jī)構(gòu)（本地）”那棵樹，并找到“待定申請”（圖22）。 圖22
查看右邊的列表，剛才提交的證書申請赫然在目（圖23）。還等什么？還不趕緊通過？ 圖23 在待申請的證書上單擊鼠標(biāo)右鍵，彈出菜單中有“所有任務(wù)”一項(xiàng)，選擇子項(xiàng)“頒發(fā)”。這時(shí)這個“待定申請”就會轉(zhuǎn)移到“頒發(fā)的證書”下面。 在“頒發(fā)的證書”下找到剛才那個證書，雙擊打開。并在“證書”à“詳細(xì)信息”中選擇“復(fù)制到文件”（圖24）。 圖24 在“證書導(dǎo)出向?qū)А敝?#xff0c;任意選擇一種CER格式導(dǎo)出，比如“DER 編碼二進(jìn)制”（圖25）。并保存成文件。 圖25 OK，到此，我們又完成一個里程碑。^_^

第五步：??? 安裝證書，配置SSL

現(xiàn)在回到IIS屬性下面的那個“IIS證書向?qū)А蹦抢?#xff08;忘了？看看圖7）。這時(shí)的“下一步”已經(jīng)變成了“掛起的證書請求”（圖26）。自然是選擇“處理掛起的請求，并安裝證書”了。 圖26 選擇剛才在圖22中導(dǎo)出的CER文件（圖27）。 圖27
一路“下一步”完成證書的安裝。這時(shí)證書就安裝好了。 安裝好證書之后原先不可以使用的“編輯”按鈕被激活（圖28），點(diǎn)擊“編輯”按鈕打開“安全通信”對話框。 圖28 在“安全通信”對話框中將“申請安全通信（SSL）”前面的勾選中（圖29）并確定。 圖29 在IIS的屬性對話框的“Web站點(diǎn)”下找到“SSL端口”，你會發(fā)現(xiàn)原先不可使用的文本框現(xiàn)在可以錄入了。將文本框內(nèi)容設(shè)置為433后“確定”（圖30）。 圖30

第六步：??? 完成

現(xiàn)在你分別用http（圖30）和https（圖31）方式去訪問你剛才配置過的站點(diǎn)，看看有什么不同。 圖30 圖31 恩，OK，完成了。只要你按部就班的如此操作，配置IIS的SSL訪問易如反掌。呵呵~^_^

轉(zhuǎn)載于:https://blog.51cto.com/wanggong/9836

總結(jié)

以上是生活随笔為你收集整理的IIS＋SSL的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。