IIS SSL的设置（转自MS）

xinjiang

如何在 Web 服务器上建立 SSLMicrosoft Corporation目标本模块用于： •获得一个 SSL 证书。 •将 SSL 证书安装到一个 IIS 服务器上。 •将一个虚拟目录配置为需要 SSL。 适用于本模块适用于下列产品和技术： •Microsoft® Windows® XP 或 Windows 2000 Server（带 Service Pack 3）以及更高版本的操作系统 •Microsoft Internet 信息服务 5.0 •Microsoft 证书服务（如果您需要生成自己的证书） 本模块的使用方法要最大程度地利用本模块： •必须有配置 IIS 的经验。 •必须能够访问某个证书颁发机构 (CA)，如 Microsoft 证书服务（如果您需要生成自己的证书）。 •如果您不想生成自己的证书，则必须决定要从哪个商业 CA 申请 SSL 证书。大多数 CA 都对这项服务收费。 •请阅读模块“Secure Communication”。此模块介绍了 SSL，并描述了最常用到它的情形。 本页内容小结生成一个证书申请提交一个证书申请颁发证书在 Web 服务器上安装证书将资源配置为需要 SSL 访问小结安全套接字层 (SSL) 是一组提供身份验证、保密性和数据完整性的加密技术。SSL 最常用于在 Web 浏览器和 Web 服务器之间创建一个安全通讯信道。它也可以用于保证客户端应用程序和 Web 服务之间的通讯安全。要支持 SSL 通讯，必须用一个 SSL 证书对 Web 服务器进行配置。本模块描述了如何获得 SSL 证书，以及如何配置 Microsoft Internet 信息服务 (IIS) 来支持与 Web 浏览器和使用 SSL 的其他类型客户端应用程序之间的安全通讯。返回页首生成一个证书申请此过程将创建一个新的证书申请，这个申请可以发送到一个证书颁发机构 (CA) 来进行处理。如果成功，CA 会向您发送回一个文件，其中含有一个已经过验证的证书。要生成一个证书申请，请执行下列操作：1.启动 IIS Microsoft 管理控制台 (MMC) 管理单元。 2.展开您的 Web 服务器名称，然后选择要安装证书的 Web 站点。 3.右击此 Web 站点，然后单击 Properties。 4.单击 Directory Security 选项卡。 5.单击 Securecommunications 内的 Server Certificate 按钮启动 Web 服务器证书向导。 注 如果 ServerCertificate 不可用，则可能是选择了一个虚拟目录、目录或文件。返回到步骤 2 并选择一个 Web 站点。6.单击 Next 跳过欢迎对话框。 7.单击 Createa New Certificate，然后单击 Next。 8.此对话框具有以下两个选项： •“现在准备申请，但稍后发送” 此选项始终可用。 •“立即将申请发送到在线证书颁发机构” 仅当 Web 服务器可以访问在一个 Windows 2000 域中已被配置为颁发 Web 服务器证书的一个或多个 Microsoft 证书服务器时，此选项才可用。在申请过程的稍后部分，可以从列表中选择要将此申请发送到的颁发机构。 9.单击现在准备申请，但稍后发送，然后单击 Next。 10.在 Name 字段中为证书输入一个描述性名称，在 Bitlength 字段中为密钥输入一个位长，然后单击 Next。 向导将当前 Web 站点的名称用作默认名。它不会用在此证书中，但可以作为一个友好的名称来帮助管理员。 11.在 Organization 字段中输入一个公司名称（例如，Contoso），然后在 Organizationalunit 字段中输入一个公司部门名称（例如，销售部），然后单击 Next。 注 此信息将被放到证书申请中，因此应确保其准确性。CA 将验证此信息并将其放到证书中。浏览您 Web 站点的用户将需要查看此信息，以便决定是否应接受此证书。12.在 Common name 字段中，为您的站点输入一个公用名，然后单击 Next。 重要说明 公用名称是最终获得证书的最重要信息之一。它是 Web 站点的 DNS 名称（即用户在浏览您的站点时输入的名称）。如果证书名称与站点名称不匹配，则在用户浏览到此站点时系统会报告一个证书问题。如果您的站点在 Web 上，并且被命名为 www.contoso.com，这就是您应该指定的公用名。如果您的站点是内部站点，并且用户按计算机名称来浏览，则应该输入计算机的 NetBIOS 或 DNS 名称。13.在 Country/Region、State/province和 City/locality 字段中输入适当信息，然后单击 Next。 14.为证书申请输入一个文件名称。 此文件中包含类似下面这样的信息。 -----BEGIN NEW CERTIFICATE REQUEST-----MIIDZjCCAs8CAQAwgYoxNjA0BgNVBAMTLW1penJvY2tsYXB0b3Aubm9ydGhhbWVy??-----END NEW CERTIFICATE REQUEST-----这是您的证书申请的一种 Base 64 编码表示形式。此申请中包含输入到向导中的信息，还包含您的公钥和用您的私钥签名的信息。 这个申请文件将被发送到 CA。然后 CA 会使用证书申请中的公钥信息来验证用您的私钥签名的信息。CA 还验证申请中提供的信息。 在向 CA 提交申请之后，CA 会发送回一个包含在文件中的证书。然后需要重新启动 Web 服务器证书向导。 15.单击 Next。向导将显示证书申请中所含信息的摘要。 16.单击 Next，然后单击 Finish 来完成申请过程。 现在可以将证书申请发送到某个 CA 来进行验证和处理了。当您从 CA 收到证书响应之后，就可以再次使用 IIS 证书向导，在 Web 服务器上继续安装证书。 返回页首提交一个证书申请此过程使用 Microsoft 证书服务来提交前一过程中生成的证书申请。要提交一个证书申请，请执行下列操作：1.使用记事本打开前一过程中生成的证书文件，并将其全部内容复制到剪贴板。 2.启动 Internet Explorer 并导航到 http:// hostname/CertSrv，其中 hostname 是运行 Microsoft 证书服务的计算机的名称。 3.单击 Request a Certificate，然后单击 Next。 4.在 Choose Request Type 页上，单击 Advancedrequest，然后单击 Next。 5.在 Advanced Certificate Requests 页上，单击 Submit a certificate request using a base64 encoded PKCS#10 file，然后单击 Next。 6.在 Submit a Saved Request 页上，在 Base64 Encoded Certificate Request (PKCS #10 or #7) 文本框中单击，然后按 CTRL+V 粘贴此前复制到剪贴板上的证书申请。 7.在 Certificate Template 组合框中，单击 WebServer。 8.单击 Submit。 9.关闭 Internet Explorer。 返回页首颁发证书要颁发证书，请执行下列操作：1.从 AdministrativeTools 程序组启动 Certification Authority 工具。 2.展开证书颁发机构，然后选择 Pending Requests 文件夹。 3.选择刚提交的证书申请。 4.在 Action 菜单上，指向 All Tasks，然后单击 Issue。 5.确认证书显示在 Issued Certificates 文件夹中，然后双击它来查看其内容。 6.在 Details 选项卡上，单击 Copy to File，然后将证书保存为一个 Base-64 编码 X.509 证书。 7.关闭证书的属性窗口。 8.关闭“证书颁发机构”工具。 返回页首在 Web 服务器上安装证书此过程在 Web 服务器上安装在前一过程中颁发的证书。要在 Web 服务器上安装证书，请执行下列操作：1.启动 Internet 信息服务（如果它尚未运行）。 2.展开您的服务器名称，然后选择要安装证书的 Web 站点。 3.右击此 Web 站点，然后单击 Properties。 4.单击 Directory Security 选项卡。 5.单击 Server Certificate 来启动 Web 服务器证书向导。 6.单击 Process the pending request and install the certificate，然后单击 Next。 7.输入包含 CA 响应的文件的路径和文件名，然后单击 Next。 8.检查证书概述，单击 Next，然后单击 Finish。 现在，已在 Web 服务器上安装了证书。 返回页首将资源配置为需要 SSL 访问此过程使用 Internet 服务管理器将一个虚拟目录配置为需要 SSL 访问。您可以要求对特定文件、目录或虚拟目录使用 SSL。客户端必须使用 HTTPS 协议来访问任何此类资源。要将资源配置为需要 SSL 访问，请执行下列操作：1.启动 Internet 信息服务（如果它尚未运行）。 2.扩展您的服务器名称和 Web 站点。（此站点必须是一个已安装有证书的 Web 站点。） 3.右击某个虚拟目录，然后单击 Properties。 4.单击 Directory Security 选项卡。 5.在 Secure communications 下，单击 Edit。 6.单击 Require secure channel (SSL)。 现在，客户端要浏览到此虚拟目录，就必须使用 HTTPS。 7.单击 OK，然后再次单击 OK 关闭 Properties 对话框。 8.关闭 Internet 信息服务。 －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－原先Certificate Template 未选择 WebServer 导致出错//Tips:DC中的权限问题对此也有一定影响