如何在 Windows 2000 IIS 5.0 測試環境中設定 SSL 使用憑證伺服器 2.0

文章翻譯 文章翻譯
文章編號: 290625 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

本文將逐步告訴您,如何在 Windows 2000 網際網路資訊服務 (IIS) 5.0年開發實驗室環境中設定向上安全通訊端層 (SSL)。Microsoft 認證伺服器 2.0 可以建立許多不同的憑證 ; 本文僅涵蓋建立標準的 Web 憑證。

建立憑證要求

若要建立 Web 伺服器憑證,請依照下列步驟執行:
  1. 開啟網際網路服務管理員 Microsoft 管理主控台 (MMC)。要執行這項操作、 按一下 [開始]、 指向 [程式集]、 指向 [系統管理工具,然後按一下 Internet 服務管理員
  2. 按兩下伺服器名稱,讓您看到所有網站。
  3. 您要安裝之憑證的網站上按一下滑鼠右鍵,再按 [內容
  4. 按一下 [目錄安全性] 索引標籤。

    您會看到三種安全性方法。您要用來建立憑證要求是 安全通訊
  5. 按一下 [伺服器憑證]。「 憑證精靈 」 便會啟動。按 [下一步] 以繼續。
  6. 選取 [建立新的憑證,然後按一下 [下一步]。
  7. 選取 [準備要求現在,但傳送它稍後,然後按一下 [下一步]。
  8. 鍵入您的憑證的名稱,然後選取 [位元長度。除非它所需的測試環境,否則請勿選取 SGC 憑證] 核取方塊。(如需有關 SGC 憑證的詳細資訊,請參閱本節結尾處附註)。按 [下一步] 以繼續。
  9. 請輸入您的組織名稱及組織單位 (比方說公司名稱及開發部門)。按一下 [下一步]。
  10. 在 [一般名稱,輸入 [完整格式的網域名稱 (FQDN)] 或 [伺服器名稱]。如果您正在建立將透過網際網路使用的憑證,最好使用的 FQDN。按一下 [下一步]。
  11. 輸入您的所在地資訊,然後按一下 [下一步]
  12. 輸入您想要儲存憑證的資訊的路徑和檔案名稱,然後按一下 [下一步]

    注意:如果您要鍵入的任何項目以外預設位置及檔案名稱,請確定注意您選取的名稱和位置,因為您必須存取這個檔案在稍後步驟中。
  13. 請確認您輸入的資訊,然後按一下 [下一步] 以完成程序,並建立憑證要求。
  14. 在 [[正在完成網頁伺服器憑證精靈] 對話方塊按一下 [完成]。
  15. 按一下 [確定] 以關閉 [網站內容。
注意:控制出入密碼編譯 (SGC) 的伺服器憑證是由以國際使用者 (或受限於 40 位元加密的瀏覽器連線時,甚至需要高加密連線的金融機構最常使用。當連接至國際的瀏覽器 (40 位元),SGC 憑證會建立 128 位元通道,以允許 128 位元加密強度。安全的連線或工作階段結束時就會關閉中繼憑證通道。

此外,SGC 憑證是嚴格特定網域。通常,如果憑證的網域名稱不符的 Web 站台的網域,收到警告,指出這個事實,並且您可以選擇繼續或不。SGC 憑證不會為您提供警告或提供選擇。連線失敗,但不會收到說明。

提交憑證要求

如果要將憑證要求的提交請依照下列步驟執行:
  1. 開啟一個瀏覽器,然後開啟 http:// YourWebServerName YourWebServerName/certsrv /。
  2. 選取 [要求憑證,然後按一下 [下一步]。
  3. 選取 [進階要求,然後按一下 [下一步]。
  4. 選取 送出憑證,要求使用一個 Base64,[中央] 選項,然後按一下 [下一步]
  5. 在 [記事本] 中, 開啟您在第一個程序一節 < 建立憑證要求 > 中所建立的要求文件。
  6. 複製文件的內容。

    內容看起來與下列類似:
    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIICcjCCAhwCAQAwYjETMBEGA1UEAxMKcm9ic3NlcnZlcjELMAkGA1UECxMCTVMx
    CzAJBgNVBAoTAk1TMREwDwYDVQQHEwhCZWxsZXZ1ZTERMA8GA1UECBMIV2FzaGl0
    b24xCzAJBgNVBAYTAlVTMFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBALYK4sYDNQ7h
    LmSfL0qpIvUfY7Ddw7fNCvDp3rM7z4QqoLhA2c8TkyamqWTBsV0WRHIidf/J6mU4
    wN4wrUzJTLUCAwEAAaCCAVMwGgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMDUG
    CisGAQQBgjcCAQ4xJzAlMA4GA1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEF
    BQcDATCB/QYKKwYBBAGCNw0CAjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0
    ACAAUgBTAEEAIABTAEMAaABhAG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBw
    AGgAaQBjACAAUAByAG8AdgBpAGQAZQByA4GJAGKa0jzBn8fkxScrWsdnU2eUJOMU
    K5Ms87Q+fjP1/pWN3PJnH7x8MBc5isFCjww6YnIjD8c3OfYfjkmWc048ZuGoH7Zo
    D6YNfv/SfAvQmr90eGmKOFFiTD+hl1hM08gu2oxFU7mCvfTQ/2IbXP7KYFGEqaJ6
    wn0Z5yLOByPqblQZAAAAAAAAAAAwDQYJKoZIhvcNAQEFBQADQQCgRCWkaXlY2nVa
    tbn6p5miPwWfrbViYo0B62wkuH0f7J0nSGcxMnn/6Q/iLEIsgHqFhox5PWCzIV0J
    tXKPWrBL
    -----END NEW CERTIFICATE REQUEST-------
    						
    注意: 如果您儲存文件具有預設名稱和位置,是位於 C:\Certreq.txt。

    注意:請確定您只需如下所示複製所有內容。
  7. 文件的內容貼在 Web 表單的 [Base64 編碼憑證要求] 文字方塊中。按一下 [送出]。
  8. 如果認證伺服器設定為 [永遠問題 [憑證,您會立即導向至 憑證已發出] 頁面。位址列讀取為:
    http:// YourWebServerName /certsrv/certfnsh.asp
    在此頁面上,可以立即下載 Web 伺服器憑證。如果要執行這項操作,請在 [憑證已發出] 頁面上依照下列步驟執行:

    1. 按一下頂端的連結 下載憑證授權單位憑證 (不要按 下載憑證授權單位憑證路徑)。
    2. 當系統提示您選取 [儲存這個檔案到磁碟,並將憑證儲存到您的桌面或其他您會記得的位置。
    3. 現在,請直接到 < 安裝憑證 > 一節。
  9. 如果認證伺服器設定為 設定憑證要求狀態至暫止,您會收到下列的 「 憑證擱置 」 訊息:
    Certificate Pending.
    Your certificate request has been received. However, you must wait for an administrator to issue the certificate you requested. 
    Please return to this web site in a day or two to retrieve your certificate.
    Note: You must return with this web browser within 10 days to retrieve your certificate.
    						
    將若要繼續,移動至 [發行在憑證] 區段。
注意:設定憑證發行原則相關的更多資訊,請參閱 < 附錄 a >。

發行憑證

問題 (也就是授權) 憑證伺服器中的憑證,請依照下列步驟執行:
  1. 開啟 [憑證授權單位,Microsoft 管理主控台 (MMC) 嵌入式管理單元]。操作步驟、 按一下 [開始]、 指向 [程式集]、 指向 [系統管理工具,以及再按一下 [憑證授權單位
  2. 展開 [憑證授權單位]。
  3. 按一下 [擱置要求] 資料夾。擱置的憑證要求會出現在右窗格中。
  4. 擱置的憑證要求 (也就是在第三個程序在本文中提交的要求) 上按一下滑鼠右鍵,選取 [所有工作],然後再按一下 [議題

    注意: 您選取 發行 之後憑證不會顯示在這個視窗及資料夾。它現在位於 注意: 有關的設定憑證發行原則相關的詳細資訊,請參閱 < 附錄 a >。 已發出憑證資料夾。

下載憑證

在發出和授權的憑證之後,您可以回到憑證伺服器 Web 介面,以選取和下載憑證:
  1. 開啟 http:// YourWebServerName YourWebServerName/certsrv / 注意: 當您鍵入 certsrv 時必須使用小寫字母。如果您不這樣做,您無法查看擱置的要求。

  2. 在 [預設] 頁面上選取 [檢查擱置的憑證,然後按一下 [下一步注意: 如果從預設的歡迎頁面上選取 擷取憑證授權單位的憑證或憑證廢止清單,會下載根憑證授權單位的憑證,並不 Web 伺服器憑證。如果嘗試安裝根憑證授權單位的憑證到網站上您會收到下列的錯誤訊息:
    選取的憑證安裝到另一部伺服器。 請選擇另一個回應檔。
  3. 選取您擱置的憑證,然後按一下 [下一步] 以開啟 [下載] 頁面。
  4. 在 [下載] 頁面中,按一下頂端超連結 下載憑證授權單位憑證 (請勿按 下載憑證授權單位憑證路徑)
  5. 當系統提示您選取 [儲存這個檔案到磁碟,並將憑證儲存到您的桌面或其他您會記得的位置。
您有發行,並下載您的憑證。

下一步是安裝憑證並設定 SSL 加密的 Web 站台。

安裝憑證

若要安裝並設定 SSL 憑證的幾種方法:,例如您可以連按兩下憑證並使用憑證安裝精靈 」 來預先安裝 「 憑證然後將其繫結至該網站。本文將告訴您,如何使用網際網路服務管理員 MMC 透過 Web 伺服器憑證精靈 」 來安裝憑證。

如果要在憑證伺服器中安裝憑證,請依照下列步驟執行:
  1. 開啟網際網路服務管理員,然後展開伺服器名稱,,這樣您就可以檢視的網站。
  2. 建立憑證要求的的網站上按一下滑鼠右鍵,再按 [內容]。
  3. 按一下 [目錄安全性] 索引標籤。在 [安全通訊],底下按一下 [伺服器憑證]。

    這會開啟憑證安裝精靈]。按 [下一步] 以繼續。
  4. 選取 [處理擱置要求及安裝憑證,然後按一下 [下一步]。
  5. 輸入 [下載憑證]] 區段中下載的憑證位置,然後按一下 [下一步]
  6. 當 [精靈] 會顯示摘要憑證時,請確認資訊正確,、 然後按 [下一步] 以繼續。
  7. 按一下 [完成] 以完成此程序。

設定及測試憑證

設定及測試憑證,請依照下列步驟執行:
  1. 在 [目錄安全性] 索引標籤的下 安全通訊,請注意您現在有三個可用的選項。若要設定網站加到需要安全連線,按一下 [編輯]。[安全通訊] 對話方塊隨即出現。
  2. 選取 [需要安全通道 (SSL),然後按一下 [確定]
  3. 按一下 [套用],,再按 [[確定] 以關閉 [內容] 視窗。
  4. 找出站台,並確認它運作:
    1. 透過在瀏覽器中輸入 http://localhost/Postinfo.html,透過 HTTP 存取網站。 您收到類似下列的錯誤訊息:
      HTTP 403.4-禁止: 所需的 SSL。
    2. 嘗試存取安全的連線 (https) 相同的 Web 頁輸入 https://localhost/postinfo.html注意: [Postinfo.html 網頁是標準的 HTML 網頁的預設 Web 站台的根目錄中找到的。 瀏覽器。

    3. 如果您收到安全性訊息,指出該憑證並非來自信任的根憑證授權單位,按一下 [是] 繼續網頁]。

      注意: 若要學習如何加入在您的瀏覽器中的 「 受信任的根憑證授權單位] 清單中的根憑證授權單位,請參閱 < 附錄 B。
如果您可以檢視網頁,您已順利安裝您的憑證。

附錄 a: 如何變更憑證發行原則

您可以選取是否要發出依據要求 (未授權) 憑證是否想要針對透過憑證授權單位 MMC 嵌入式管理單元 pre-authorization 送出的所有要求。要這麼做,請您執行下列步驟:
  1. 開啟 [憑證授權] 工具。操作步驟、 按一下 [開始]、 指向 [程式集]、 指向 [系統管理工具,以及再按一下 [憑證授權單位
  2. 您的憑證授權單位名稱上按一下滑鼠右鍵,然後按一下 [內容]
  3. 在 [屬性] 視窗中按一下 [原則模組] 索引標籤,然後按一下 [設定]。
  4. 在 [預設動作] 索引標籤,選取下列其中一項:
    • 設定憑證要求狀態至暫止: 系統管理員必須明確地發出憑證。
    • 永遠發行憑證: 這發出憑證立即,含有所需的授權 注意: 如果憑證在網路上辨識,選取第二個選項。

附錄 b: 安裝在 Internet Explorer 5 中受信任的根憑證授權單位清單] 中的根憑證授權單位認證 x

您可以將根憑證授權單位的憑證傳遞至網站使用者以數種方法。方法之一是電子郵件傳送它,並讓使用者從電子郵件安裝。另一個方法,是包含憑證的連結在網站上的下載頁面。全企業的解決方案是使用網際網路總管管理套件 (IEAK) 來發送客戶 Internet Explorer 瀏覽器與根憑證授權單位憑證已經安裝到 受信任的根憑證授權單位 清單。不過您讓使用憑證,一件事保持不變: 如本附錄所示,在 Internet Explorer 中的 [受信任的根憑證授權單位] 清單中安裝憑證的方式。

注意:憑證必須安裝到信任網站憑證不是您剛建立而根憑證授權單位憑證,當您安裝 「 憑證伺服器時,就會被建立憑證的 Internet Explorer 的。

這份文件的目的,使用 憑證伺服器 Web 介面也就是位於 http:// <YourServerName> /certsrv /。您已到達 [歡迎使用] 頁面後選取 擷取憑證授權單位的憑證或憑證廢止清單,然後按一下 [下一步]

您現在有兩種選擇:
  • [安裝這個憑證授權單位憑證路徑]。如果您正在安裝根憑證授權單位的憑證到目前連接的瀏覽器,按一下 [安裝這個憑證授權單位憑證路徑] 連結,並在 [受信任的根憑證授權單位] 清單中您的 Internet Explorer 瀏覽器會自動安裝根憑證授權單位的憑證。

    安裝作業完成之後您便會收到確認網頁。 -或者-

  • 下載憑證授權單位的憑證。如果您必須安裝根憑證授權單位的憑證根憑證授權單位清單中任何其他的 Internet Explorer 瀏覽器中,您可以下載它,並安裝它,如下所示:
    1. 按一下 [下載憑證授權單位的憑證]。
    2. 選取 [儲存檔案到磁碟]。
    3. 存取儲存根憑證授權單位憑證位置,然後連按兩下要開啟 [屬性] 視窗,該憑證的憑證。
    4. 按一下 [安裝憑證] 以啟動 「 憑證匯入精靈 」。按 [下一步] 以繼續。
    5. 選取 將在以下的存放區中的所有憑證都放
    6. 按一下 [瀏覽],選取 受信任的根憑證授權單位,然後再按一下 [下一步]
    7. 確認所設定,然後按一下 [完成]

      您會收到下列訊息:
      匯入成功。
    8. 按一下 [確定] 關閉這個訊息,然後按一下 [確定] 關閉 [屬性] 視窗。
    若要查看是否您收到受信任的根憑證授權單位警告再次,關閉並重新開啟您的瀏覽器,然後開啟下列網站:
    https:// <MySecureWebsite> /postinfo.html
    注意: [Postinfo.html 網頁是標準的 HTML 網頁的預設 Web 站台的根目錄中找到的。

    如果您可以開啟這個站台,您已成功加入根憑證授權單位 受信任的根憑證授權單位 清單在 Internet Explorer 瀏覽器中。

?考

如需有關 IIS 5.0 與使用憑證的詳細資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中 「 文件:
232136如何備份網際網路資訊服務 5.0 中的伺服器憑證
摘要:當您使用 [IIS 5.0 時您可能要備份伺服器憑證。Windows 2000 輕鬆這個處理程序以將新憑證嵌入式管理單元。

232137如何匯入以用於網際網路資訊服務 5.0 伺服器憑證
摘要:當您使用 [IIS 5.0 版可能會想要還原伺服器憑證 (比方說如果您正在遷移一個網站至 Web 伺服陣列中的另一部伺服器)。此工作是很容易使用網站憑證精靈 」 和隨附於 Windows 2000 和 IIS 5.0 「 証照管理員匯入精靈 」 執行。
248107建立使用憑證服務 Web Form 的伺服器憑證
摘要:啟用 [例如 SSL 和傳輸層安全性 (TLS) 在 IIS 5.0 的電腦上的安全通訊時您必須先取得伺服器憑證。整合的 Windows 2000 中的憑證及新增到 IIS 5.0 提供幾種方式可以取得伺服器憑證。
227888匯入金鑰的備份檔案在網際網路資訊服務 5.0 中使用
摘要:安裝 IIS 5.0 之後可能會想要匯入備份的金鑰檔來自較舊版本的網際網路資訊伺服器 (IIS)。當您執行這項操作時您可以在新伺服器上使用 SSL 能力 (和取代舊的一個)。
295298資訊: IIS 5: 什麼並擱置的要求進行檢查?
摘要:本文簡短地說明時發生憑證要求提交到憑證服務 2.0 透過憑證服務 Web 網頁和當您在憑證服務網頁上檢視您尚待回覆的要求。
323470如何建立安全的 WebDAV 發佈目錄
摘要:本文將逐步告訴您,如何建立安全 Web 分散式撰寫及版本處理 (WebDAV) 發行的目錄。
313071如何設定網際網路資訊服務 5.0 中的憑證信任清單
摘要:本文將逐步告訴您如何建立及設定憑證信任清單 (CTL),藉由在 IIS 5.0 版中使用憑證信任清單精靈 」。

屬性

文章編號: 290625 - 上次校閱: 2006年11月21日 - 版次: 2.3
這篇文章中的資訊適用於:
  • Microsoft Internet Information Services 5.0
  • Microsoft Certificate Services 2.0
關鍵字:?
kbmt kbhowto kbhowtomaster KB290625 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:290625
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。
依現狀不再更新的知識庫內容免責聲明
本文旨在說明 Microsoft 不再提供支援的產品。因此,本文係依「現狀」提供,不會再更新。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com