如何配置 Windows 2000 IIS 5.0 测试环境中的 SSL 使用证书服务器 2.0

文章编号: 290625 - 查看本文应用于的产品
机器翻译查看机器翻译免责声明
展开全部 | 关闭全部

本页

概要

本分步指南介绍了如何在 Windows 2000 Internet Information Services (IIS) 5.0 开发实验室环境中设置了安全套接字层 (SSL)。Microsoft 证书服务器 2.0 可以创建许多不同的证书 ; 这篇文章仅介绍了创建标准的 Web 证书。

创建证书申请

若要进行的 Web 服务器证书,请按照下列步骤操作:
  1. 打开 Internet 服务管理器 Microsoft 管理控制台 (MMC)。若要执行此操作,单击 开始,指向 程序、 指向 管理工具,然后单击 Internet 服务管理器
  2. 以便您查看所有网站,请双击服务器名称。
  3. 用鼠标右键单击您要在其上安装了的证书的网站,然后单击 属性
  4. 单击 目录安全性 选项卡。

    您将看到三个安全方法。用于将创建证书请求是 安全通信
  5. 单击 服务器证书。证书向导将启动。单击 下一步 继续。
  6. 选择 创建一个新证书,然后单击 下一步
  7. 选择 现在,准备请求,但稍后发送,然后单击 下一步
  8. 键入您的证书的名称,然后选择位长。除非需要为您的实验室,否则不要选择 SGC 证书 复选框。(有关 SGC 证书的详细信息,请参阅本节末尾注释。单击 下一步 继续。
  9. 键入您的组织名称和组织单位 (例如对于公司名称和开发部门)。单击 下一步
  10. 对于 公用名称 框中,键入完全合格的域名称 (FQDN) 或服务器名称。如果创建的证书将在 Internet 上使用的是更好地用于 FQDN。单击 下一步
  11. 键入您的位置信息,然后单击 下一步
  12. 键入要保存证书的信息的位置的路径和文件名称,然后单击 下一步

    注:如果您键入的任何内容而不是默认位置和文件名称,请务必注意选择,名称和位置,因为您必须访问该文件在后续步骤中。
  13. 验证您键入的信息,然后单击 下一步 完成该过程并创建证书申请。
  14. 完成 Web 服务器证书向导 对话框中单击 完成
  15. 单击 确定 以关闭网站属性。
说明:服务器网关加密 (SGC) 证书使用最频繁使用国际用户或 $ 仅限于 40 位加密的浏览器连接时,甚至需要高加密连接的金融机构。当连接到一个国际的浏览器 (40 位),一个 SGC 证书创建 128-位隧道允许 128 位加密强度。安全的连接或会话结束时, 已关闭中间证书隧道。

此外,SGC 证书是严格的域特定的。通常,如果证书的域名与 Web 站点的域不匹配您收到一条警告,指出此事实,您可以选择继续。为 SGC 证书不会为您提供一个警告或提供选择。连接不成功,但您不会收到说明。

提交证书申请

若要将证书申请提交,请按照下列步骤操作:
  1. 打开一个的浏览器,然后打开 http:// YourWebServerName YourWebServerName/certsrv /。
  2. 选择 申请一个证书,然后单击 下一步
  3. 选择 高级申请,然后单击 下一步
  4. 选择中心选项的 提交证书申请使用一个 Base64,然后单击 下一步
  5. 在记事本,中打开第一个过程节"创建证书请求"中创建的请求文档。
  6. 复制文档中的内容。

    内容看起来类似于以下内容: 
    -----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-------
    注: 如果您使用默认名称和位置保存该文档,则位于 C:\Certreq.txt。

    注:请确保您只需如下所示复制的所有内容。
  7. 在 Web 窗体的 Base64 编码证书申请 文本框中粘贴文档的内容。单击 提交
  8. 如果证书服务器设置为 始终期证书,您立即定向到 证书已发布 页。在地址栏显示如下:
    http:// YourWebServerName /certsrv/certfnsh.asp
    在此页上,您可以立即下载 Web 服务器证书。这样做请在 证书已颁发 页上按照下列步骤操作:

    1. 单击页首的链接 下载证书颁发机构证书 (不要单击 下载证书颁发机构证书路径)。
    2. 在提示时选择 将此文件保存到磁盘,然后将证书保存到您的桌面或另一台您记起的位置。
    3. 现在,请转到"安装证书"一节的直线。
  9. 如果设为 将该证书申请状态设成未决 的证书服务器,您将收到下面的"证书挂起"消息: 
    Certificate Pending.
Your certificate request has been received. However, you must wait for an administrator to issue the certificate you requested. 
Please return to this web site in a day or two to retrieve your certificate.
Note: You must return with this web browser within 10 days to retrieve your certificate.
    继续,移动到"颁发了证书"一节。
注:有关配置证书颁发策略的详细信息请参见附录 a。

颁发证书

问题 (也就是授权) 证书服务器中的证书,请按照下列步骤:
  1. 打开证书颁发机构 Microsoft 管理控制台 (MMC) 管理单元。若要执行此操作、 单击 开始,指向 程序,指向 管理工具,然后单击 证书颁发机构
  2. 展开 证书颁发机构
  3. 单击 待定的请求 文件夹。在右窗格中显示您的挂起证书请求。
  4. 用鼠标右键单击挂起的证书请求 (也就是您在第三个过程中本文中提交的请求),选择 所有任务,然后单击 颁发

    : 选择 问题 之后,该证书不会显示此窗口和文件夹中。它现在位于 注: 有关配置证书颁发策略的详细信息请参阅附录 a。 颁发证书文件夹。

下载证书

在颁发并授权证书后,您可以返回证书服务器 Web 界面,以选择并下载证书:
  1. 打开 http:// YourWebServerName YourWebServerName/certsrv / : 当您键入 certsrv 时,您必须使用小写字母。如果您没有您无法查看待定的请求。

  2. 在默认页上选择 检查挂起的证书,然后单击 下一步: 如果从默认的欢迎页选择 检索证书颁发机构证书或证书吊销列表 将下载的根证书颁发机构证书和 $ 不在 Web 服务器证书。如果试图安装到 Web 站点的根证书颁发机构证书,您将收到以下错误消息:
    选定的证书已安装到另一台服务器。 请另一个响应文件。
  3. 选择您挂起的证书,然后单击 下一步 打开下载页面。
  4. 在下载页上单击上的超链接,下载证书颁发机构证书 (不要单击 下载证书颁发机构证书路径)
  5. 在提示时选择 将此文件保存到磁盘,然后将证书保存到您的桌面或另一台您记起的位置。
您已颁发并下载您的证书。

下一步是安装的证书并设置一个 SSL 加密的网站。

安装证书

有几种方法来安装和设置 SSL 证书: 例如对于您可以双击该证书和用来预安装了的证书的证书安装向导然后将其绑定到该站点。本文介绍如何使用 Web 服务器证书向导通过 Internet 服务管理器 MMC 中安装证书。

在证书服务器中安装证书,请按照下列步骤操作:
  1. 打开 Internet 服务管理器中,然后展开服务器名称,以便您可以查看 Web 站点。
  2. 用鼠标右键单击您创建证书请求的网站,然后单击 属性
  3. 单击 目录安全性 选项卡。在 安全通信,下单击 服务器证书

    这将打开证书安装向导。单击 下一步 继续。
  4. 选择 处理挂起的请求并安装证书,然后单击 下一步
  5. 键入"下载证书"中下载的证书的位置,然后单击 下一步
  6. 当向导会显示证书摘要时,验证信息正确,然后单击 下一步 继续。
  7. 单击 完成 结束进程。

配置和测试证书

配置和测试证书,请按照下列步骤操作:
  1. 注意 目录安全性 选项卡的 安全通信,下的现在有三个可用选项命令。单击将为需要安全连接的网站的 编辑。在 安全通信 对话框。
  2. 选择 要求安全通道 (SSL),然后单击 确定
  3. 单击 应用 然后单击 确定 以关闭属性窗口。
  4. 找到该网站并确认它可以工作:
    1. 通过 http 访问该站点,通过在浏览器中键入 http://localhost/Postinfo.html。 您收到类似于以下内容的错误消息:
      HTTP 403.4-禁止访问: SSL 要求。
    2. 尝试访问相同的 Web 页,使用一个安全连接 (https),通过键入 https://localhost/postinfo.html注: 的 Postinfo.html 网页是一个标准的 HTML 网页,默认的 Web 站点的根目录中发现的。 浏览器中。

    3. 如果您收到一条安全消息,指出该证书不是来自受信任的根证书颁发机构,单击 继续到 Web 页。

      注意: 要学习将您的根证书颁发机构添加到您的浏览器中的 受信任的根证书颁发机构 列表,请参阅附录 b。
如果您可以查看该页,您已成功安装了您的证书。

附录 a: 如何更改证书颁发策略

您可以选择是否要在请求 (没有授权) 时颁发证书,或您是否要提交的 pre-authorization 通过证书颁发机构 MMC 管理单元中的所有请求。若要这样做,请按照下列步骤操作:
  1. 打开证书颁发机构工具。若要执行此操作、 单击 开始,指向 程序,指向 管理工具,然后单击 证书颁发机构
  2. 用鼠标右键单击您的证书颁发机构名称,然后单击 属性
  3. 在属性窗口中单击 策略模块 选项卡,然后单击 配置
  4. 默认操作 选项卡上选择以下之一:
    • 设置为挂起证书申请状态: 管理员必须明确地颁发证书。
    • 总是颁发证书: 这立即,颁发证书,使用没有所需的授权 : 如果在网络上识别某个证书,选择第二个选项。

附录 b: 安装的根证书颁发机构证书在 Internet Explorer 5 中的受信任的根证书颁发机构列表 x

您可以为几种方法中的网站用户提供的根证书颁发机构证书。一种方法是电子邮件发送,并让用户从电子邮件安装它。另一种方法是包含一个链接到该证书对网站上的下载网页。一个公司范围内的解决方案是将使用根证书颁发机构证书已经安装到 受信任的根证书颁发机构 列表推送客户 Internet Explorer 浏览器使用 Internet 浏览器管理工具包 (IEAK)。但是,使证书可用,一件事情保持一致: 如本附录演示在 Internet Explorer 中的 受信任的根证书颁发机构 列表中安装该证书的方法。

注:对于 Internet Explorer 信任您网站的证书不是您刚创建而根证书颁发机构证书,安装证书服务器时创建该证书,必须安装该证书。

本文档的用于通过使用位于 http:// <YourServerName> /certsrv /。您已到达欢迎页面后,选择 检索证书颁发机构证书或证书吊销列表,然后单击 下一步

您现在有两种选择:
  • 安装此证书颁发机构证书路径。如果您正在安装到您当前连接使用的浏览器的根证书颁发机构证书,单击 安装此证书颁发机构证书路径 链接和根证书颁发机构证书将自动安装 Internet Explorer 浏览器中的 受信任的根证书颁发机构 列表中。

    安装完成后您将收到一个确认页。 -或者-

  • 下载证书颁发机构证书。如果在根证书颁发机构列表在任何其他 Internet Explorer 浏览器中,您必须安装根证书颁发机构证书,您可以将其下载并安装它,如下所示:
    1. 单击 下载证书颁发机构证书
    2. 选择 将该文件保存到磁盘
    3. 访问根证书颁发机构证书的保存的位置,然后双击要打开属性窗口,该证书的证书。
    4. 单击 安装证书 以启动证书导入向导。单击 下一步 继续。
    5. 选择 将所有证书都放入下列存储区
    6. 单击 浏览,选择 受信任的根证书颁发机构,然后单击 下一步
    7. 验证该的设置,然后单击 完成

      您会收到以下消息:
      导入成功。
    8. 单击 确定 以关闭此消息,然后单击 确定 以关闭属性窗口。
    若要查看是否您将收到受信任的根证书颁发机构警告再次,关闭并重新打开您的浏览器并再打开下面的网站,请执行以下操作:
    https:// <MySecureWebsite> /Postinfo.html
    : 的 Postinfo.html 网页是一个标准的 HTML 网页,默认的 Web 站点的根目录中发现的。

    如果可以打开此网站,已成功添加您的根证书颁发机构到 受信任的根证书颁发机构 列表中在 Internet Explorer 浏览器中。

回到顶端 | 提供反馈

参考

有关使用证书与 IIS 5.0 的其他信息请单击下面文章编号,以查看 Microsoft 知识库中相应的文章:
232136
(http://support.microsoft.com/kb/232136/EN-US/ )
如何备份在 Internet Information Services 5.0 中的一个服务器证书
摘要:您在使用 IIS 5.0 时您可能希望备份服务器证书。Windows 2000 简化此过程与新证书管理单元。

232137
(http://support.microsoft.com/kb/232137/EN-US/ )
如何导入以用于 Internet Information Services 5.0 的服务器证书
摘要:您在使用 IIS 5.0 版时可能想要还原一个服务器证书 (例如对于如果一个网站迁移到 Web 场中的另一台服务器)。此任务是非常易于与 Web 站点证书向导和 Windows 2000 和 IIS 5.0 中包含证书管理器导入向导。
248107
(http://support.microsoft.com/kb/248107/EN-US/ )
创建使用证书服务 Web 窗体的服务器证书
摘要:当启用了安全的通信,如 SSL 和传输层安全性 (TLS) 在 IIS 5.0 的计算机上必须首先获取服务器证书。集成的 Windows 2000 中的证书和该新添加到 IIS 5.0 提供了几种方法可以获取服务器证书。
227888
(http://support.microsoft.com/kb/227888/EN-US/ )
要使用 Internet Information Services 5.0 中导入密钥备份文件
摘要:在安装 IIS 5.0 后,可能想要导入密钥的备份文件从旧版本的 Internet 信息服务器 (IIS)。执行此操作时您可以在新服务器上使用 SSL 功能 (和替换旧)。
295298
(http://support.microsoft.com/kb/295298/EN-US/ )
信息: 在 IIS 5: 什么会检查挂起的请求?
摘要:本文简要介绍了一个证书申请提交到证书服务 2.0 证书服务 Web 通过时发生页和查看证书服务网页上的挂起的请求时所发生的情况。
323470
(http://support.microsoft.com/kb/323470/EN-US/ )
如何创建一个安全的 WebDAV 发布目录
摘要:本分步指南介绍了如何创建一个 Web 分布式创作安全和版本控制 (WebDAV) 发布目录。
313071
(http://support.microsoft.com/kb/313071/EN-US/ )
如何配置 Internet Information Services 5.0 中的证书信任列表
摘要:本分步指南介绍了如何创建和配置证书信任列表 (ctl) 通过使用 IIS 版本 5.0 中的证书信任列表向导。
回到顶端 | 提供反馈

属性

文章编号: 290625 - 最后修改: 2006年11月21日 - 修订: 2.3
这篇文章中的信息适用于:
  • Microsoft Internet Information Services 5.0
  • Microsoft Certificate Services 2.0
关键字:?
kbmt kbhowto kbhowtomaster KB290625 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 290625
(http://support.microsoft.com/kb/290625/en-us/ )
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。
不再更新的 KB 内容免责声明
本文介绍那些 Microsoft 不再提供支持的产品。因此本文按“原样”提供,并且不再更新。
回到顶端 | 提供反馈

提供反馈

 
回到顶端回到顶端