如何在 Internet 信息服务中为所有与您的网站交互的用户启用 SSL

文章翻译 文章翻译
文章编号: 298805 - 查看本文应用于的产品
本文的发布号曾为 CHS298805
展开全部 | 关闭全部

本文内容

概要

本文介绍了如下内容:
  • 如何设置和启用服务器证书,以使您的用户确信您的网站是合法的,并且他们发送给您的信息不会被泄露。
  • 如何使用第三方证书启用安全套接层 (SSL);另外还概括介绍了生成用于获得第三方证书的证书签名请求 (CSR) 的过程。
  • 如何为您的网站启用 SSL 连接。
  • 如何为所有连接实施 SSL,并在您的客户和网站之间设置所需的加密长度。
您可以使用 Web 服务器的 SSL 安全功能进行两种类型的身份验证。可以使用服务器证书 让用户在发送个人信息(如信用卡号码)之前对您的网站进行验证。也可以使用客户端证书 对请求您网站上的信息的用户进行身份验证。

本文假定您使用第三方证书颁发机构 (CA) 为您的 Web 服务器提供身份验证。

要启用 SSL 服务器证书验证,并为您的用户提供他们希望的安全级别,您应该从第三方证书颁发机构获得证书。由第三方证书颁发机构颁发给您的组织的证书通常是与 Web 服务器密切关联的,更具体地说,是与您要绑定 SSL 的网站关联的。您可以用 Internet 信息服务 (IIS) 服务器创建自己的证书,但如果您这样做,您的客户必须将您默许为证书颁发机构。

本文假定:
  • 您已经安装 IIS。
  • 您已经创建并发布了网站,并希望用 SSL 保障其安全。

获得证书

要开始进行获得证书的过程,必须生成一个 CSR。您需要通过 IIS 管理控制台生成 CSR,所以必须首先安装 IIS。从本质上说,CSR 就是一个在您的服务器上生成的证书,当您向第三方证书颁发机构申请证书时,它可以验证有关您的服务器的计算机特定信息。CSR 就是一条用公钥/私钥对加密的文本消息。

通常在生成的 CSR 中将包含下列有关您计算机的信息:
  • 单位
  • 部门
  • 国家/地区
  • 县市
  • 公用名称注意:公用名称通常由您的主机名称和它所属的域组成,如 xyz.com。这里,计算机是 .com 域的一部分,其名称为 XYZ。这可以是您公司域的根服务器,或仅为一个网站。

生成 CSR

  1. 访问 IIS Microsoft 管理控制台 (MMC)。为此,请右键单击我的电脑,单击管理。这将打开计算机管理控制台。展开服务和应用程序部分。找到 Internet 信息服务,展开 IIS 控制台。
  2. 选择您希望安装服务器证书的特定网站。右键单击站点,然后单击属性
  3. 单击目录安全性选项卡。在安全通信部分,单击服务器证书。这将启动 Web 服务器证书向导。单击下一步
  4. 选择创建一个新证书,单击下一步
  5. 选择现在准备请求,但稍侯发送,然后单击下一步
  6. 名称字段输入一个您可以记住的名称。该名称将默认为您为其生成 CSR 的网站的名称。注意:生成 CSR 时,您需要指定位长。加密密钥的位长决定了您发送给第三方证书颁发机构的加密证书的加密效果。位长越长,加密效果越好。大多数第三方证书颁发机构希望位长至少为 1024 位。

  7. 单位信息部分,输入您的单位和单位部门信息。该信息必须准确无误,因为您将把这些凭证提供给第三方证书颁发机构,而您必须符合他们的证书授权。单击下一步进入站点的公用名称部分。
  8. 站点的公用名称部分负责将证书绑定到您的网站。对于 SSL 证书,输入主机名称和域名称。对于 Intranet 服务器,可以使用寄存站点的计算机的 NetBIOS 名称。单击下一步进入地理信息。
  9. 输入您的国家/地区、州或省及国家或地区信息。完全拼出您的州或省和国家或地区,不要使用缩写。单击下一步
  10. 将文件保存为 .txt 文件。当您实际向证书颁发机构发送请求时,必须将该文件的内容粘贴到请求中。该文件将被加密,并包含内容的标题和脚注。请求证书时必须同时包含标题和脚注。CSR 应该类似于下面内容:
    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIIDATCCAmoCAQAwbDEOMAwGA1UEAxMFcGxhbjgxDDAKBgNVBAsTA1BTUzESMBAG
    A1UEChMJTWljcm9zb2Z0MRIwEAYDVQQHEwlDaGFybG90dGUxFzAVBgNVBAgTDk5v
    cnRoIENhcm9saW5hMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEFAAOBjQAw
    gYkCgYEAtW1koGfdt+EoJbKdxUZ+5vE7TF1ZuT+xaK9jEWHESfw11zoRKrHzHN0f
    IASnwg3vZ0ACteQy5SiWmFaJeJ4k7YaKUb6chZXG3GqL4YiSKFaLpJX+YRiKMtmI
    JzFzict5GVVGHsa1lY0BDYDO2XOAlstGlHCtENHOKpzdYdANRg0CAwEAAaCCAVMw
    GgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMDUGCisGAQQBgjcCAQ4xJzAlMA4G
    A1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEFBQcDATCB/QYKKwYBBAGCNw0C
    AjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0ACAAUgBTAEEAIABTAEMAaABh
    AG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBwAGgAaQBjACAAUAByAG8AdgBp
    AGQAZQByA4GJAGKa0jzBn8fkxScrWsdnU2eUJOMUK5Ms87Q+fjP1/pWN3PJnH7x8
    MBc5isFCjww6YnIjD8c3OfYfjkmWc048ZuGoH7ZoD6YNfv/SfAvQmr90eGmKOFFi
    TD+hl1hM08gu2oxFU7mCvfTQ/2IbXP7KYFGEqaJ6wn0Z5yLOByPqblQZAAAAAAAA
    AAAwDQYJKoZIhvcNAQEFBQADgYEAhpzNy+aMNHAmGUXQT6PKxWpaxDSjf4nBmo7o
    MhfC7CIvR0McCQ+CBwuLzD+UJxl+kjgb+qwcOUkGX2PCZ7tOWzcXWNmn/4YHQl0M
    GEXu0w67sVc2R9DlsHDNzeXLIOmjUl935qy1uoIR4V5C48YNsF4ejlgjeCFsbCoj
    Jb9/2RM=
    -----END NEW CERTIFICATE REQUEST-----
    					
  11. 确认您的请求的细节。单击下一步完成,并退出 Web 服务器证书向导。

申请证书

提交申请有多种方法。与您选择的证书提供者联系,申请并接收证书,同时确定符合您要求的最佳证书等级。

安装证书

一旦第三方证书颁发机构完成了您的服务器证书请求,您将通过电子邮件或下载站点接收到您的证书。证书必须安装在您希望提供安全通信的网站上。

要安装证书,请执行下列步骤:
  1. 密钥只能用您早些时候生成的私钥加密。复制证书密钥的文本(它应该与您早些时候生成的密钥十分相似),并将其粘贴到一个 .txt 文档中。确保包含证书的标题和脚注。将文件保存为 Cert.txt。
  2. 按“生成 CSR”一节中所描述的步骤打开 IIS MMC。
  3. 进入要在上面安装证书的网站的属性对话框。
  4. 单击目录安全性选项卡,然后单击服务器证书。这将启动 Web 服务器证书向导。单击下一步
  5. 选择处理挂起的请求并安装证书,然后单击下一步
  6. 浏览到您在第 1 步保存的文本文件。单击两次下一步,然后单击完成

实施 SSL 连接

安装了服务器证书后,您便可以对 Web 服务器的客户实施 SSL 安全通道通讯。首先,您需要启用端口 443,以便在网站上进行安全通信。为此,请按照下列步骤操作:
  1. 从计算机管理控制台中,右键单击您希望实施 SSL 的网站,然后单击属性
  2. 单击 Web 站点选项卡。在 Web 站点标识部分,验证 SSL 端口字段是否填充着数值 443
  3. 单击高级。您应该看到两个字段。IP 地址和网站的端口应该已经在此 Web 站点有多个标识字段中列出。如果没有列出端口 443,则在此 Web 站点有多个 SSL 标识字段下,单击添加。选择服务器的 IP 地址,在 SSL 端口字段中键入数值 443。单击确定
启用了端口 443 后,您便可以实施 SSL 连接了。为此,请按照下列步骤操作:
  1. 单击目录安全性选项卡。在安全通信部分,请注意编辑现在已可用。单击编辑
  2. 选择需要安全通道(SSL)注意:如果您指定 128 位加密,则使用 40 位或 56 位强度浏览器的客户端将无法与您的站点通信,除非他们升级加密强度。
  3. 打开浏览器,试着用标准 http:// 协议连接您的 Web 服务器。如果实施了 SSL,您将收到如下错误消息:
    The page must be viewed over a secure channel
    The page you are trying to view requires the use of "https" in the address.

    Please try the following:Try again by typing https:// at the beginning of the address you are attempting to reach.HTTP 403.4 - Forbidden:SSL required Internet Information Services
    Technical Information (for support personnel) Background:This error indicates that the page you are trying to access is secured with Secure Sockets Layer (SSL).
    现在您只能使用 https:// 协议连接网站。

属性

文章编号: 298805 - 最后修改: 2007年12月4日 - 修订: 2.4
这篇文章中的信息适用于:
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 6.0
关键字:?
kbhowtomaster KB298805
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com