Windows 下 IIS 的 SSL 配置说明

lmwtzw6u5l0

一 服务器上安装证书服务
　　1.先在服务器上安装CA
　　Win2000中带有CA的安装程序。单击开始菜单，控制面板 添加/删除程序并单击添加/删除Windows组件，当Windows 组件向导出现时，选择证书服务。
　　2.下一步中，安装需要指出服务器授权的类型，一般作为一个独立的Web服务器，选择独立根CA。
　　3.然后，需要指定共享文件夹，这作为证书服务的配置数据存储位置，单击Next，安装完毕。
　　注意：自己建立CA 机构时，所给CA机构起的名是自己定义的，在客户端的IE中，在一开始并不属于客户端信任的根证书颁发机构，如果，客户端没有把该CA机构加为自己所信任的根证书颁发机构，那么在客户端访问该服务器上的网站时，会出现安全警告信息。
　　二 建立并安装一个站点证书
　　步骤如下：
　　1.打开IIS，选定要安装证书的站点，单击右键，选择弹出菜单中的属性
　　2.在弹出的对话框中，单击目录安全性属性页，单击证书服务器按钮，出现IIS 证书 Wizard对话框
　　下一步
　　按提示输入信息后
　　3.这一步的操作，所完成的功能是生成一个向CA申请数字证书的密钥文件，文件以.txt的格式存于本机目录下。
　　4.在安装了证书服务的机器上，可以从位于http://localhost/certsrv 的Web页面可以访问该注册控件。
　　选择申请证书选项，在下一页面中选择高级申请，这里需要注意的是，如果是给网站申请数字证书时必须选择该项，因为赋予网站的数字证书需要使用特定的密钥文件，这样才能生成属于该网站的唯一的数字证书。而一般用户证书申请是针对需要访问该网站的客户设计的，分别有web浏览器证书和E-Mail保护证书 两种方式。客户采用web浏览器证书方式申请对有SSL保护的网站的访问，而E-Mail保护证书是保护客户收发email时的信息传送。
　　5.接下去页面的高级证书申请 中我们选择“使用base64编码的….文件更新证书申请”
　　6. 然后，可以通过浏览器把存在本机上的.txt密钥文件上载至网页上，递出申请：
　　在最后的界面中，会被告知请求已经被接到并正在等待证书授权机构的批准。
　　7. 微软的证书服务可以使用MMC来管理：
　　服务器提出的要求数字验证的请求传递到CA机构中，打开开始/程序/管理工具/证书颁发机构
　　可以看到“待定申请”文件夹，这个文件夹包含了所有等待授权机构批准的证书请求。
　　如果CA认证机构觉得该网站的申请可行，则单击右键选择颁发，这样，该文件就被移到了颁发的证书，表示申请成功，这个节点包含了所有被证书服务的管理员批准并被发布的证书。
　　8. 提交数字验证的网站在等待一定时间后，依然可以通过http://localhost/certsrv来查看自己所申请的数字验证的进行情况。
　　9. 选择“检查刮起的证书”选项并单击Next 按钮继续。从选项框中选择候选的请求，单击Next按钮继续。为下载该文件选择Base64 编码并单击“下载CA证书”接以开始下载过程。这样就从证书授权机构接到了服务器证书文件。
　　打开IIS，选定已经得到数字验证的网站，单击右键后选择属性，在属性页“目录安全性”中，单击“服务器证书” 按钮以启动Web服务证书向导
　　10. 选择“处理挂起的请求并安装证书”选项。
　　11.选择第8步骤中下载的数字证书（即.cer文件）的存放路径，开始安装。安装成功后，“目录安全性”属性页中的查看证书和编辑按钮由disable变为enable。整个网站的数字验证过程完毕。
　　三 关于证书的属性设置
　　1.点击目录安全性属性页的编辑按钮，可以进行网站数字验证属性的设置。
　　2. 如果选择了申请安全通道(SSL)复选框，则http的形式将无法访问该站点，只有采用https的方式进行访问。如果不选择该项的话，则http和https两种方式并存，都可以进行对此网站的访问。
　　如果选择了该项，则又有三种方式可供选择，分别是ignore client certificate，accept client certificate 以及require client certificate。Ignore client certificate表示不接受客户证书（默认）：如果客户浏览器安装了客户证书，会返回一个Access Denied消息。Accept client certificate表示接受证书：不管客户是否安装了客户证书对服务器没有区别，访问在两种情况下都是允许的。Ignore client certificate表示需要客户证书：除非客户有一个被root CA（这里是证书服务器）授予的合法证书，否则访问被拒绝。客户要访问网站，必须得先从服务器得到数字验证，也即，客户端必须首先向要访问的网站提出要求数字验证的申请，在得到服务器端发回的用于两者间信息交互的数字证书后，才可以对该网站进行访问，否则，网站将拒绝该客户的访问。
　　不同的网站可以针对这三个属性进行不同的设置。
　　四 客户端SSL的验证
　　1. 客户通过俄访问https://localhost来验证