在IIS7.5上配置Https,SSL

ssplyh

　　本博文目的：在非服务器、而且没有证书颁发机构(Certificate Authority简称CA)的开发环境中，配置HTTPS,SSL用于测试或学习
　　一、建造测试网站
　　1.在桌面上建立个文件夹，然后再在文件夹里新建个html文件
　　2.打开IIS，添加网站，如图：

　　3.访问网站http://localhost:8090，如图：

　　二、创建证书
　　IIS里的Server Certificates提供了5种创建证书的方法，见下图：

　　1.其中Create a Self-Signed Server Certificate选项，创建自签名服务器证书，目的在于：
　　a)解决第三方证书问题。
　　b)远程管理 IIS。
　　c)在服务器与一组有限的已知用户之间创建安全的私有通道，例如软件测试环境中的私有通道。
　　d)测试依赖 SSL 设置的功能。
　　使用该功能，证书的Common Name(CN)默认是电脑名+域名，即Computer Name+ Domain，见下图：

　　2.Create Certificate Request选项则提供了可自定义创建证书的方式，见下图：

　　点击"Next"：

　　这里提供了2种加密方式：RSA和DH SChannel。点击"Next"：

　　选择一个文件名，如图：

　　最后点击"Finish"。
　　打开刚才的文件MyCert.txt，里面内容如下：

　　这个文件是用于导入到CA里生成证书用的，但关键是我的电脑里没有CA，windows组件里也没有CA的安装选项，也就是说我现在无法制作这个证书了。这时，一个给力的工具就要闪亮登场了——SelfSSL。
　　三、使用SelfSSL.exe生成证书
　　下载并安装IIS 6.0 Resource Kit Tools： http://www.microsoft.com/en-us/download/details.aspx?id=17275
　　安装好之后，点击“开始”-“所有程序”-“IIS Resources”-“SelfSSL”，打开SelfSSL,界面如下：

　　其中/S:site>

　　还有/P:port指https的port，而非http的port。在本例中，指https的默认端口443(当然你也可以指定其他端口)，而不是localhost:8090里的8090。
　　接下来，在SelfSSL里输入命令：selfssl.exe /N:CN=localhost /K:1024 /V:365 /S:2 /P:443，回车之后，见下图：

　　选择Y并回车，如图：

　　回到IIS，打开Server Certificates，发现证书已创建成功，如图：

　　四、绑定证书到网站上
　　回到IIS，选中站点，右键，选择Edit Bindings，如图：

　　点击Add按钮

　　选择Type为https的，并Edit，在弹出的界面里的SSL Certificate下，选择我们刚才创建的证书，如图：

　　再次回到IIS，选中站点，选择SSL Settings，如图：

　　打开SSL Settings之后，做出如下选择：

　　再一次打开我们的网站，发现提示该网站不安全，见下图：

　　当然，你如果设置SSL Settings如下，则打开网站的时候是这样的：

　　我们创建的证书，Issued To,Issued By都是同一个，这种叫做根证书，该证书需要存放在Trusted Root Certification Authorities目录下，网站才会被信任，这可以通过certmgr.msc查看。那么如何让SSL验证通过呢，即如何让锁形安全标志出来呢，有两种方法：
　　1.点击图中红色框处：

　　出现下面的小弹出框：

　　点击上图中的“View certificates”:

　　点击上图中的“Install Certificate”：

　　点击“Next”:

　　点击上图中的“Browse”：

　　选择上图中的“Show physical stores”，并选择“Trusted Root Certification Authorities”:

　　然后一路点击ok和完成，直到出现“The import was successful”。
　　这时，我们打开Certmgr.msc，发现证书已成功导入。
　　此时，打开网站链接https://localhost，发现锁形安全标志已出现：

　　2.回到IIS，打开Server Certificates，选中我们创建的证书，右键，导出证书，见图：

　　点击OK之后，会在C盘目录下看到MySSLTest.pfx文件。

　　在 开始-运行 里输入certmgr.msc，打开Certificate Manager，找到Trusted Root Certification Authorities目录，
　　并右键，选择All Tasks，然后选择Import:

　　选择我们刚刚保存的文件MySSLTest.pfx：

　　点击Next，输入密码：

　　点击Next：

　　一路点击Next和Finish，直到出现“The import was successful”:

　　此时，打开网站链接https://localhost，发现锁形安全标志已出现：

　　全文完