循序漸進——圖解配置IIS5的SSL安全訪問（轉）

做者：mikespook

版本：1.0

最後更新：2004-12-22 16:04

循序漸進——圖解配置IIS5的SSL安全訪問... 1

寫在前面的... 1

第一步：       準備工做... 1

第二步：       IIS建立證書... 3

第三步：       向「證書頒發機構」申請證書... 8

第四步：       頒發證書... 10

第五步：       安裝證書，配置SSL. 12

第六步：       完成... 14

 

寫在前面的

這幾天本身的商城寫完了，準備搞搞IIS5的SSL訪問。查了一圈資料，發現多數文章都一模一樣。雖然寫得很詳細，可是東一榔頭，西一棒槌，讓我摸不着頭腦。罷！罷！罷！直接看幫助，學着配吧。沒想到順利得很，一遍搞掂。就此寫文一篇，以幫助跟我有同樣困惑的朋友。

在看本文以前我先和讀者作一個約定。我假設你會使用鼠標和鍵盤，而且可以對Windows 2000 Server進行基本的操做（我只想在本文裏說明如何配置IIS5的SSL安全訪問，對於如何雙擊圖標我不想涉及。）。同時你的計算機上也正確安裝有 IIS和瀏覽器（這個是Windows 2000 Server的標準配置，若是你使用的是Windows 2000 Professional版本就不用閱讀本文了，由於這個版本不支持IIS的SSL訪問。）。

第一步：    準備工做

首先你應該有一臺你本身的計算機，並且須要有鼠標、鍵盤或者你可以從其餘具備鼠標鍵盤的計算機訪問它。不要拿東西扔我，多數服務器是沒有 鼠標和鍵盤的^_^。這臺計算機應該安裝有Windows 2000 Server或者Windows 2000 Advance Server。其餘版本的Windows要麼不支持IIS的SSL訪問，要麼就是跟本文討論的配置方法有出入，好比Windows 2003的IIS6。

而後就是須要檢查你的計算機有沒有安裝「證書服務」，若是已經安裝了該組件，你能夠跳過本步驟。

在「控制面板」à「添加/刪除程序」中點擊「添加/刪除Windows組件」，找到「證書服務」，在其前面打鉤。如圖1。

圖1

注意，這個服務有兩個子選項「證書服務Web註冊支持」和「證書服務頒發機構(CA)」。爲了方便期間，這兩個功能都須要安裝。

圖2。

 

點擊下一步，「Windows組件嚮導」會引導你完成該服務的安裝。在安裝過程當中會出現「證書頒發機構類型」的選擇，這裏務必要選擇獨立根（圖3）。固然，若是你是在域中的話，請不要繼續閱讀。由於那須要建立的是企業根或者企業從屬根。

圖3

當完成了「證書服務」 的安裝後，你的「控制面板」à「管理工具」中就會多出一個「證書頒發機構」這樣一個圖標。

圖4

準備工做到此結束。

第二步：    IIS建立證書

完成了上面的準備，如今就可讓IIS來申請證書了。在「控制面板」à「管理工具」中進入「Internet 服務管理器」。鼠標右鍵點擊你須要配置的站點，在彈出的菜單中選擇「屬性」（若是你跟我同樣是左手使用鼠標，那就點擊鼠標左鍵。）。這時就會打開如圖5的 「屬性」對話框。在「目錄安全性」中點擊「服務器證書」按鈕（圖6）。

圖5

圖6

這時就會有「IIS證書嚮導」來一步一步提示你完成證書的申請（圖7）。

圖7

點擊「下一步」選擇「建立一個新證書」並繼續（圖8）。須要說名的是另外兩種方式「分配一個已存在的證書」和「從密鑰管理器備份文件導入一個證書」也能夠正確的配置IIS的SSL訪問，可是和本問所講順序有所不一樣，這裏再也不贅述。

圖8

繼續建立證書，「選擇如今準備請求，但稍後發送」。實際上你也只能選擇這個選項，另一個選項「當即發送請求到一個在線證書頒發機構」多 數狀況下不可用（圖9）。我也沒有查到在何時可用，何時不可用的資料。我的猜想大概是在安裝「證書服務」的時候若是選擇了 XXXXXXXXXXXXX或XXXXXXXXXX，這裏可能就能夠直接申請。若是真是我猜想的這樣，那後面那些麻煩的過程均可以略過不談了。^_^

圖9

繼續「下一步」，會要求你輸入一個容易記憶的名稱來標識你的證書。同時會要求你選擇「位長」，實際上就是加密強度。「位長」越大，越安全。固然這是以犧牲性能爲代價的（圖10）。

圖10

接下來是輸入組織和部門，這個將會出如今你的證書中，而且當他人查看你的證書的時候會顯示出來（圖11）。最好仍是使用合法的名稱，別僞 造別人的證書哦。好比我輸入的組織是「mikespook & swill」，部門由於是爲個人商城申請的，因此我輸入「XYShop」。

圖11

在輸入站點公用名稱時要注意，最好是使用你將綁定的域名。不然在別人訪問你的站點，彈出證書確認對話框時，會有一個名稱不匹配的提示（圖12）。

圖12

接着是輸入地理信息（圖13）。

圖13

最後一步就是將生成的證書保存下來，以備後用（圖1四、圖1五、圖16）。

圖14

圖15

圖16

這時在C盤根目錄下就保存了一個由BASE64編碼的證書文件certreq.txt。固然，若是你在保存證書（圖14）的時候選擇了其餘路徑，則有所不一樣了。

第三步：    向「證書頒發機構」申請證書

看到「證書頒發機構」不用緊張，咱們不是要跟什麼權威部門打交道，更不須要準備什麼申請公文之類的煩瑣文檔。由於在第一步安裝的「證書服務」就是咱們的「證書頒發機構」。

在瀏覽器中輸入地址 http://localhost/CertSrv/會打開「Microsoft 證書服務」頁面（圖17）。選擇申請證書，點擊按鈕「下一步」。

圖17

在「選擇申請類型」的時候應該選擇「高級申請」，以便導入在第二步時生成的IIS證書（圖18）。

圖18

由於在第二步保存的那個證書文件是BASE64編碼的，因此咱們應該選擇「使用BASE64編碼的PKCS #10文件提交一個證書申請，或使用BASE64編碼的PKCS #7文件更新證書申請」（圖19）。

圖19

「CTRL+A」、「CTRL+C」、「CTRL+V」這是每一個使用MS操做系統的人都該熟記於心的「寶典」。用此「寶典」將第二步中生成的那個文件的內容複製於圖20所示文本框中。

圖20

這時你就會收到「證書掛起」的通知，這就意味着你的證書已經被提交了（圖21）。

圖21

第四步：    頒發證書

完成了申請證書，證書就被提交到了「證書頒發機構」。呵呵，趕忙本身給本身辦法一個證書吧。

進入「控制面板」à「管理工具」打開圖3所示的「證書頒發機構」，打開左邊的「證書頒發機構（本地）」那棵樹，並找到「待定申請」（圖22）。

圖22
查看右邊的列表，剛纔提交的證書申請赫然在目（圖23）。還等什麼？還不趕忙經過？

圖23

在待申請的證書上單擊鼠標右鍵，彈出菜單中有「全部任務」一項，選擇子項「頒發」。這時這個「待定申請」就會轉移到「頒發的證書」下面。

在「頒發的證書」下找到剛纔那個證書，雙擊打開。並在「證書」à「詳細信息」中選擇「複製到文件」（圖24）。

圖24

在「證書導出嚮導」中，任意選擇一種CER格式導出，好比「DER 編碼二進制」（圖25）。並保存成文件。

圖25

OK，到此，咱們又完成一個里程碑。^_^

第五步：    安裝證書，配置SSL

如今回到IIS屬性下面的那個「IIS證書嚮導」那裏（忘了？看看圖7）。這時的「下一步」已經變成了「掛起的證書請求」（圖26）。天然是選擇「處理掛起的請求，並安裝證書」了。

圖26

選擇剛纔在圖22中導出的CER文件（圖27）。

圖27
一路「下一步」完成證書的安裝。這時證書就安裝好了。

安裝好證書以後原先不可使用的「編輯」按鈕被激活（圖28），點擊「編輯」按鈕打開「安全通訊」對話框。

圖28

在「安全通訊」對話框中將「申請安全通訊（SSL）」前面的勾選中（圖29）並肯定。

圖29

在IIS的屬性對話框的「Web站點」下找到「SSL端口」，你會發現原先不可以使用的文本框如今能夠錄入了。將文本框內容設置爲433後「肯定」（圖30）。

圖30

第六步：    完成

如今你分別用http（圖30）和https（圖31）方式去訪問你剛纔配置過的站點，看看有什麼不一樣。

圖30

圖31

恩，OK，完成了。只要你循序漸進的如此操做，配置IIS的SSL訪問易如反掌。呵呵~^_^