按部就班——圖解配置IIS5的SSL安全訪問

作者：mikespook 版本：1.0 最后更新：2004-12-22 16:04 按部就班——圖解配置IIS5的SSL安全訪問... 1 寫在前面的... 1 第一步：?????? 準備工作... 1 第二步：?????? IIS創建證書... 3 第三步：?????? 向“證書頒發機構”申請證書... 8 第四步：?????? 頒發證書... 10 第五步：?????? 安裝證書，配置SSL. 12 第六步：?????? 完成... 14

寫在前面的

這幾天自己的商城寫完了，準備搞搞IIS5的SSL訪問。查了一圈資料，發現多數文章都如出一轍。雖然寫得很詳細，但是東一榔頭，西一棒槌，讓我摸不著頭腦。罷！罷！罷！直接看幫助，學著配吧。沒想到順利得很，一遍搞掂。就此寫文一篇，以幫助跟我有一樣困惑的朋友。 在看本文之前我先和讀者做一個約定。我假設你會使用鼠標和鍵盤，并且能夠對Windows 2000 Server進行基本的操作（我只想在本文里說明如何配置IIS5的SSL安全訪問，對于如何雙擊圖標我不想涉及。）。同時你的計算機上也正確安裝有IIS和瀏覽器（這個是Windows 2000 Server的標準配置，如果你使用的是Windows 2000 Professional版本就不用閱讀本文了，因為這個版本不支持IIS的SSL訪問。）。

第一步：??? 準備工作

首先你應該有一臺你自己的計算機，而且需要有鼠標、鍵盤或者你能夠從其他具有鼠標鍵盤的計算機訪問它。不要拿東西扔我，多數服務器是沒有鼠標和鍵盤的^_^。這臺計算機應該安裝有Windows 2000 Server或者Windows 2000 Advance Server。其他版本的Windows要么不支持IIS的SSL訪問，要么就是跟本文討論的配置方法有出入，比如Windows 2003的IIS6。 然后就是需要檢查你的計算機有沒有安裝“證書服務”，如果已經安裝了該組件，你可以跳過本步驟。 在“控制面板”à“添加/刪除程序”中點擊“添加/刪除Windows組件”，找到“證書服務”，在其前面打鉤。如圖1。 圖1 注意，這個服務有兩個子選項“證書服務Web注冊支持”和“證書服務頒發機構(CA)”。為了方便期間，這兩個功能都需要安裝。 圖2。 點擊下一步，“Windows組件向導”會引導你完成該服務的安裝。在安裝過程中會出現“證書頒發機構類型”的選擇，這里務必要選擇獨立根（圖3）。當然，如果你是在域中的話，請不要繼續閱讀。因為那需要創建的是企業根或者企業從屬根。 圖3 當完成了“證書服務” 的安裝后，你的“控制面板”à“管理工具”中就會多出一個“證書頒發機構”這樣一個圖標。 圖4 準備工作到此結束。

第二步：??? IIS創建證書

完成了上面的準備，現在就可以讓IIS來申請證書了。在“控制面板”à“管理工具”中進入“Internet 服務管理器”。鼠標右鍵點擊你需要配置的站點，在彈出的菜單中選擇“屬性”（如果你跟我一樣是左手使用鼠標，那就點擊鼠標左鍵。）。這時就會打開如圖5的“屬性”對話框。在“目錄安全性”中點擊“服務器證書”按鈕（圖6）。 圖5 圖6 這時就會有“IIS證書向導”來一步一步提示你完成證書的申請（圖7）。 圖7 點擊“下一步”選擇“創建一個新證書”并繼續（圖8）。需要說名的是另外兩種方式“分配一個已存在的證書”和“從密鑰管理器備份文件導入一個證書”也可以正確的配置IIS的SSL訪問，但是和本問所講順序有所不同，這里不再贅述。 圖8 繼續創建證書，“選擇現在準備請求，但稍后發送”。實際上你也只能選擇這個選項，另外一個選項“立即發送請求到一個在線證書頒發機構”多數情況下不可用（圖9）。我也沒有查到在什么時候可用，什么時候不可用的資料。個人猜測大概是在安裝“證書服務”的時候如果選擇了XXXXXXXXXXXXX或XXXXXXXXXX，這里可能就可以直接申請。如果真是我猜測的這樣，那后面那些麻煩的過程都可以略過不談了。^_^ 圖9 繼續“下一步”，會要求你輸入一個容易記憶的名稱來標識你的證書。同時會要求你選擇“位長”，實際上就是加密強度。“位長”越大，越安全。當然這是以犧牲性能為代價的（圖10）。 圖10 接下來是輸入組織和部門，這個將會出現在你的證書中，并且當他人查看你的證書的時候會顯示出來（圖11）。最好還是使用合法的名稱，別偽造別人的證書哦。比如我輸入的組織是“mikespook & swill”，部門因為是為我的商城申請的，所以我輸入“XYShop”。 圖11 在輸入站點公用名稱時要注意，最好是使用你將綁定的域名。否則在別人訪問你的站點，彈出證書確認對話框時，會有一個名稱不匹配的提示（圖12）。 圖12 接著是輸入地理信息（圖13）。 圖13 最后一步就是將生成的證書保存下來，以備后用（圖14、圖15、圖16）。 圖14 圖15 圖16 這時在C盤根目錄下就保存了一個由BASE64編碼的證書文件certreq.txt。當然，如果你在保存證書（圖14）的時候選擇了其他路徑，則有所不同了。

第三步：??? 向“證書頒發機構”申請證書

看到“證書頒發機構”不用緊張，我們不是要跟什么權威部門打交道，更不需要準備什么申請公文之類的煩瑣文檔。因為在第一步安裝的“證書服務”就是我們的“證書頒發機構”。 在瀏覽器中輸入地址http://localhost/CertSrv/會打開“Microsoft 證書服務”頁面（圖17）。選擇申請證書，點擊按鈕“下一步”。 圖17 在“選擇申請類型”的時候應該選擇“高級申請”，以便導入在第二步時生成的IIS證書（圖18）。 圖18 因為在第二步保存的那個證書文件是BASE64編碼的，所以我們應該選擇“使用BASE64編碼的PKCS #10文件提交一個證書申請，或使用BASE64編碼的PKCS #7文件更新證書申請”（圖19）。 圖19 “CTRL+A”、“CTRL+C”、“CTRL+V”這是每個使用MS操作系統的人都該熟記于心的“寶典”。用此“寶典”將第二步中生成的那個文件的內容復制于圖20所示文本框中。 圖20 這時你就會收到“證書掛起”的通知，這就意味著你的證書已經被提交了（圖21）。 圖21

第四步：??? 頒發證書

完成了申請證書，證書就被提交到了“證書頒發機構”。呵呵，趕緊自己給自己辦法一個證書吧。 進入“控制面板”à“管理工具”打開圖3所示的“證書頒發機構”，打開左邊的“證書頒發機構（本地）”那棵樹，并找到“待定申請”（圖22）。 圖22
查看右邊的列表，剛才提交的證書申請赫然在目（圖23）。還等什么？還不趕緊通過？ 圖23 在待申請的證書上單擊鼠標右鍵，彈出菜單中有“所有任務”一項，選擇子項“頒發”。這時這個“待定申請”就會轉移到“頒發的證書”下面。 在“頒發的證書”下找到剛才那個證書，雙擊打開。并在“證書”à“詳細信息”中選擇“復制到文件”（圖24）。 圖24 在“證書導出向導”中，任意選擇一種CER格式導出，比如“DER 編碼二進制”（圖25）。并保存成文件。 圖25 OK，到此，我們又完成一個里程碑。^_^

第五步：??? 安裝證書，配置SSL

現在回到IIS屬性下面的那個“IIS證書向導”那里（忘了？看看圖7）。這時的“下一步”已經變成了“掛起的證書請求”（圖26）。自然是選擇“處理掛起的請求，并安裝證書”了。 圖26 選擇剛才在圖22中導出的CER文件（圖27）。 圖27
一路“下一步”完成證書的安裝。這時證書就安裝好了。 安裝好證書之后原先不可以使用的“編輯”按鈕被激活（圖28），點擊“編輯”按鈕打開“安全通信”對話框。 圖28 在“安全通信”對話框中將“申請安全通信（SSL）”前面的勾選中（圖29）并確定。 圖29 在IIS的屬性對話框的“Web站點”下找到“SSL端口”，你會發現原先不可使用的文本框現在可以錄入了。將文本框內容設置為433后“確定”（圖30）。 圖30

第六步：??? 完成

現在你分別用http（圖30）和https（圖31）方式去訪問你剛才配置過的站點，看看有什么不同。 圖30 圖31 恩，OK，完成了。只要你按部就班的如此操作，配置IIS的SSL訪問易如反掌。呵呵~^_^

轉載于:https://www.cnblogs.com/mikespook/archive/2004/12/22/80591.html

總結

以上是生活随笔為你收集整理的按部就班——图解配置IIS5的SSL安全访问的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。