目標
本章的目標是:
•
獲取 SSL 證書����。
•
在 IIS 服務器上安裝 SSL 證書。
•
配置虛擬目錄以要求 SSL��。
目標
本章的目標是:
•
獲取 SSL 證書���。
•
在 IIS 服務器上安裝 SSL 證書。
•
配置虛擬目錄以要求 SSL���。
適用范圍
本章適用于以下產(chǎn)品和技術:
•
Microsoft Windows® XP 或 Windows 2000 Server (Service Pack 3) 以及更高版本的操作系統(tǒng)
•
Microsoft Internet 信息服務 5.0
•
Microsoft 證書服務(如果您需要生成自己的證書)
如何使用本章內(nèi)容
若要學好本章內(nèi)容:
•
您必須有配置 IIS 的經(jīng)驗���。
•
如果您想生成自己的證書���,則必須能夠訪問某個證書頒發(fā)機構 (CA),如 Microsoft 證書服務���。
•
如果您不希望生成自己的證書�,則必須決定將向哪個商業(yè)證書頒發(fā)機構申請 SSL 證書�。大多數(shù)證書頒發(fā)機構 (CA) 會就此服務收費。
•
閱讀第 4 章安全通信�����。其中介紹了 SSL 及其最常見的用途���。
摘要
安全套接字層 (SSL) 是一套提供身份驗證��、保密性和數(shù)據(jù)完整性的加密技術�����。SSL 最常用來在 Web 瀏覽器和 Web 服務器之間建立安全通信通道����。它也可以在客戶端應用程序和 Web 服務之間使用。
為支持 SSL 通信��,必須為 Web 服務器配置 SSL 證書����。本章介紹如何獲取 SSL 證書,以及如何配置 Microsoft® Internet 信息服務 (IIS)���,以便支持 Web 瀏覽器和其他客戶端應用程序之間使用 SSL 安全地進行通信��。
生成證書申請
此過程創(chuàng)建一個新的證書申請����,此申請可發(fā)送到證書頒發(fā)機構 (CA) 進行處理�。如果成功,CA 將給您發(fā)回一個包含有效證書的文件�。
•
生成證書申請
1.
啟動 IIS Microsoft 管理控制臺 (MMC) 管理單元。
2.
展開 Web 服務器名���,選擇要安裝證書的 Web 站點��。
3.
右鍵單擊該 Web 站點����,然后單擊“屬性”����。
4.
單擊“目錄安全性”選項卡。
5.
單擊“安全通信”中的“服務器證書”按鈕�����,啟動 Web 服務器證書向?qū)А?
注意:如果“服務器證書”不可用��,可能是因為您選擇了虛擬目錄��、目錄或文件���。返回第 2 步��,選擇 Web 站點�����。
6.
單擊“下一步”跳過歡迎對話框�����。
7.
單擊“創(chuàng)建一個新證書”����,然后單擊“下一步”。
8.
該對話框有以下兩個選項:
•
“現(xiàn)在準備申請��,但稍后發(fā)送”該選項總是可用的��。
•
“立即將申請發(fā)送到在線證書頒發(fā)機構”僅當 Web 服務器可以在配置為頒發(fā) Web 服務器證書的 Windows 2000 域中訪問一個或多個 Microsoft 證書服務器時����,該選項才可用。在后面的申請過程中�����,您有機會從列表中選擇將申請發(fā)送到的頒發(fā)機構�。
單擊“現(xiàn)在準備申請,但稍后發(fā)送”��,然后單擊“下一步”���。
9.
在“名稱”字段中鍵入證書的描述性名稱��,在“位長”字段中鍵入密鑰的位長�����,然后單擊“下一步”�����。向?qū)褂卯斍?Web 站點名稱作為默認名稱���。它不在證書中使用,但作為友好名稱以助于管理員識別�����。
10.
在“組織”字段中鍵入組織名稱(例如 Contoso)�,在“組織單位”字段中鍵入組織單位(例如“銷售部”),然后單擊“下一步”�。
注意:這些信息將放在證書申請中,因此應確保它的正確性��。CA 將驗證這些信息并將其放在證書中�。瀏覽您的 Web 站點的用戶需要查看這些信息,以便決定他們是否接受證書�。
11.
在“公用名”字段中,鍵入您的站點的公用名,然后單擊“下一步”�����。
重要說明:公用名是證書最后的最重要信息之一�。它是 Web 站點的 DNS 名稱(即用戶在瀏覽您的站點時鍵入的名稱)。如果證書名稱與站點名稱不匹配��,當用戶瀏覽到您的站點時�����,將報告證書問題���。
如果您的站點在 Web 上并且被命名為 www.contoso.com�,這就是您應當指定的公用名����。
如果您的站點是內(nèi)部站點,并且用戶是通過計算機名稱瀏覽的��,請輸入計算機的 NetBIOS 或 DNS 名稱��。
12.
在“國家/地區(qū)”����、“州/省”和“城市/縣市”等字段中輸入正確的信息���,然后單擊“下一步”。
13.
輸入證書申請的文件名�。
該文件包含類似下面這樣的信息。
-----BEGIN NEW CERTIFICATE REQUEST-----
MIIDZjCCAs8CAQAwgYoxNjA0BgNVBAMTLW1penJvY2tsYXB0b3Aubm9ydGhhbWVy...
-----END NEW CERTIFICATE REQUEST-----
這是您的證書申請的 Base 64 編碼表示形式����。申請中包含輸入到向?qū)е械男畔ⅲ€包括您的公鑰和用您的私鑰簽名的信息�����。
將此申請文件發(fā)送到 CA���。然后 CA 會使用證書申請中的公鑰信息驗證用您的私鑰簽名的信息。CA 也驗證申請中提供的信息�����。
當您將申請?zhí)峤坏?CA 后��,CA 將在一個文件中發(fā)回證書�����。然后您應當重新啟動 Web 服務器證書向?qū)А?
14. 單擊“下一步”。該向?qū)э@示證書申請中包含的信息概要����。
適用范圍
本章適用于以下產(chǎn)品和技術:
•
Microsoft Windows® XP 或 Windows 2000 Server (Service Pack 3) 以及更高版本的操作系統(tǒng)
•
Microsoft Internet 信息服務 5.0
•
Microsoft 證書服務(如果您需要生成自己的證書)
如何使用本章內(nèi)容
若要學好本章內(nèi)容:
•
您必須有配置 IIS 的經(jīng)驗。
•
如果您想生成自己的證書��,則必須能夠訪問某個證書頒發(fā)機構 (CA)��,如 Microsoft 證書服務�����。
•
如果您不希望生成自己的證書��,則必須決定將向哪個商業(yè)證書頒發(fā)機構申請 SSL 證書��。大多數(shù)證書頒發(fā)機構 (CA) 會就此服務收費�。
•
閱讀第 4 章安全通信。其中介紹了 SSL 及其最常見的用途�����。
摘要
安全套接字層 (SSL) 是一套提供身份驗證�����、保密性和數(shù)據(jù)完整性的加密技術。SSL 最常用來在 Web 瀏覽器和 Web 服務器之間建立安全通信通道����。它也可以在客戶端應用程序和 Web 服務之間使用。
為支持 SSL 通信����,必須為 Web 服務器配置 SSL 證書。本章介紹如何獲取 SSL 證書�,以及如何配置 Microsoft® Internet 信息服務 (IIS),以便支持 Web 瀏覽器和其他客戶端應用程序之間使用 SSL 安全地進行通信�。
生成證書申請
此過程創(chuàng)建一個新的證書申請,此申請可發(fā)送到證書頒發(fā)機構 (CA) 進行處理�����。如果成功�,CA 將給您發(fā)回一個包含有效證書的文件�。
•
生成證書申請
1.
啟動 IIS Microsoft 管理控制臺 (MMC) 管理單元。
2.
展開 Web 服務器名���,選擇要安裝證書的 Web 站點��。
3.
右鍵單擊該 Web 站點��,然后單擊“屬性”���。
4.
單擊“目錄安全性”選項卡�。
5.
單擊“安全通信”中的“服務器證書”按鈕�,啟動 Web 服務器證書向?qū)А?
注意:如果“服務器證書”不可用,可能是因為您選擇了虛擬目錄�����、目錄或文件����。返回第 2 步,選擇 Web 站點���。
6.
單擊“下一步”跳過歡迎對話框�����。
7.
單擊“創(chuàng)建一個新證書”�����,然后單擊“下一步”�。
8.
該對話框有以下兩個選項:
•
“現(xiàn)在準備申請,但稍后發(fā)送”該選項總是可用的��。
•
“立即將申請發(fā)送到在線證書頒發(fā)機構”僅當 Web 服務器可以在配置為頒發(fā) Web 服務器證書的 Windows 2000 域中訪問一個或多個 Microsoft 證書服務器時���,該選項才可用�。在后面的申請過程中�����,您有機會從列表中選擇將申請發(fā)送到的頒發(fā)機構�。
單擊“現(xiàn)在準備申請,但稍后發(fā)送”��,然后單擊“下一步”���。
9.
在“名稱”字段中鍵入證書的描述性名稱,在“位長”字段中鍵入密鑰的位長�����,然后單擊“下一步”��。向?qū)褂卯斍?nbsp;Web 站點名稱作為默認名稱。它不在證書中使用�,但作為友好名稱以助于管理員識別。
10.
在“組織”字段中鍵入組織名稱(例如 Contoso)��,在“組織單位”字段中鍵入組織單位(例如“銷售部”)���,然后單擊“下一步”�。
注意:這些信息將放在證書申請中����,因此應確保它的正確性。CA 將驗證這些信息并將其放在證書中���。瀏覽您的 Web 站點的用戶需要查看這些信息����,以便決定他們是否接受證書�����。
11.
在“公用名”字段中�����,鍵入您的站點的公用名,然后單擊“下一步”���。
重要說明:公用名是證書最后的最重要信息之一�。它是 Web 站點的 DNS 名稱(即用戶在瀏覽您的站點時鍵入的名稱)�����。如果證書名稱與站點名稱不匹配����,當用戶瀏覽到您的站點時,將報告證書問題�����。
如果您的站點在 Web 上并且被命名為 www.contoso.com���,這就是您應當指定的公用名����。
如果您的站點是內(nèi)部站點�,并且用戶是通過計算機名稱瀏覽的,請輸入計算機的 NetBIOS 或 DNS 名稱���。
12.
在“國家/地區(qū)”����、“州/省”和“城市/縣市”等字段中輸入正確的信息�����,然后單擊“下一步”���。
13.
輸入證書申請的文件名�。
該文件包含類似下面這樣的信息��。
-----BEGIN NEW CERTIFICATE REQUEST-----
MIIDZjCCAs8CAQAwgYoxNjA0BgNVBAMTLW1penJvY2tsYXB0b3Aubm9ydGhhbWVy...
-----END NEW CERTIFICATE REQUEST-----
這是您的證書申請的 Base 64 編碼表示形式����。申請中包含輸入到向?qū)е械男畔ⅲ€包括您的公鑰和用您的私鑰簽名的信息�����。
將此申請文件發(fā)送到 CA�����。然后 CA 會使用證書申請中的公鑰信息驗證用您的私鑰簽名的信息。CA 也驗證申請中提供的信息�。
當您將申請?zhí)峤坏?nbsp;CA 后,CA 將在一個文件中發(fā)回證書���。然后您應當重新啟動 Web 服務器證書向?qū)А?
14. 單擊“下一步”�����。該向?qū)э@示證書申請中包含的信息概要���。
|
