如何在 Internet Information Services 中為可與網站互動的所有客戶啟用 SSL

文章翻譯 文章翻譯
文章編號: 298805 - 檢視此文章適用的產品。
本文曾發行於 CHT298805
全部展開 | 全部摺疊

在此頁中

結論

本文將告訴您:
  • 如何安裝及啟用伺服器憑證,讓您的客戶確定您的網站是有效的,以及他們傳送給您的資訊能夠保有隱私性和機密性。
  • 如何使用協力廠商憑證以啟用「安全通訊端層」(SSL),並且提供有關產生「憑證簽章要求」(Certificate Signing Request,CSR) 以取得協力廠商憑證之執行程序的一般概觀。
  • 如何啟用網站的 SSL 連線。
  • 如何強制所有連線使用 SSL,以及設定用戶端和網站之間的必要加密長度。
您可以使用 Web 伺服器的 SSL 安全性功能以進行兩種驗證。您可以使用伺服器憑證,讓使用者在傳輸個人資訊 (如信用卡卡號) 之前可以先驗證您的網站。您也可以使用用戶端憑證驗證在網站上要求資訊的使用者。

本文假設您將使用協力廠商憑證授權單位 (CA) 為您的 Web 伺服器提供驗證。

如果要啟用 SSL 伺服器憑證驗證,並提供客戶所需的安全性層級,您應該向協力廠商 CA 取得憑證。由協力廠商 CA 發給貴組織的憑證一般會連結到 Web 伺服器,更具體地說是指您要繫結 SSL 的網站。您可以利用 Internet Information Services (IIS) 伺服器建立自己的憑證,但是如果這麼做,您的用戶端必須以隱含方式將您當做憑證授權單位來信任。

本文假設下列幾點:
  • 您已安裝 IIS。
  • 您已經建立並發行想要以 SSL 保護安全性的網站。

取得憑證

如果要開始取得憑證的程序,您必須產生 CSR。您可以透過 IIS 管理主控台執行這項操作;因此,您必須先安裝 IIS 才能產生 CSR。CSR 基本上屬於您在伺服器上產生的憑證,當您向協力廠商 CA 要求憑證時,CSR 會驗證有關伺服器的電腦特定資訊。CSR 純粹是透過公開/私密金鑰組加密的加密文字訊息。

您產生的 CSR 通常包含有關電腦的下列資訊:
  • 公司
  • 單位
  • 國家
  • 位置
  • 公用名稱注意:公用名稱通常是由主機電腦名稱和所屬的網域所組成,以 xyz.com 為例,表示電腦屬於 .com 網域,而且名稱為 XYZ。這可能是您公司網域的根伺服器,也可能只是一個網站而已。

產生 CSR

  1. 存取 IIS Microsoft Management Console (MMC)。如果要執行這項操作,請用滑鼠右鍵按一下 [我的電腦],然後按一下 [管理]。這會開啟 [電腦管理] 主控台。展開 [服務及應用程式] 部分。找出 [Internet Information Services],然後展開 IIS 主控台。
  2. 選取您要安裝伺服器憑證的特定網站。用滑鼠右鍵按一下網站,然後按一下 [內容]
  3. 按一下 [目錄安全設定] 索引標籤。在 [安全通訊] 區域中,按一下 [伺服器憑證]。這會啟動 [Web 伺服器憑證精靈]。按一下 [下一步]
  4. 選取 [建立新憑證],然後按一下 [下一步]
  5. 選取 [準備要求,但於稍後傳送],再按一下 [下一步]
  6. [名稱] 欄位中,輸入您記得住的名稱。此欄位會預設為您要產生 CSR 之網站的名稱。注意:當您產生 CSR 時,必須指定位元長度。加密金鑰的位元長度決定您傳送給協力廠商 CA 的加密憑證的強度。位元長度越長,加密能力就越強。大部分的協力廠商 CA 偏好至少 1024 個位元。

  7. [公司資訊] 區域中,輸入公司和單位資訊。這項資訊必須正確無誤,因為您將提供這些憑證給協力廠商 CA,並且您必須符合憑證的授權。按一下 [下一步] 以存取 [您站台的公用名稱] 區域。
  8. [您站台的公用名稱] 區域負責將憑證繫結到您的網站。若是 SSL 憑證,請輸入主機電腦名稱加上網域名稱。如果是內部網路伺服器,您可以使用主控此站台之電腦的 NetBIOS 名稱。按一下 [下一步] 以存取地理資訊。
  9. 輸入國家、州或省以及地區等資訊。請填入完整的地名,不要使用縮寫。按一下 [下一步]
  10. 將檔案另存為 .txt 檔。當您真的要傳送要求給 CA 時,必須將這個檔案的內容貼入要求。這個檔案會經過加密,並且包含內容的頁首和頁尾。當您要求憑證時,必須同時加入頁首和頁尾。CSR 應該會類似下列:
    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIIDATCCAmoCAQAwbDEOMAwGA1UEAxMFcGxhbjgxDDAKBgNVBAsTA1BTUzESMBAG
    A1UEChMJTWljcm9zb2Z0MRIwEAYDVQQHEwlDaGFybG90dGUxFzAVBgNVBAgTDk5v
    cnRoIENhcm9saW5hMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEFAAOBjQAw
    gYkCgYEAtW1koGfdt+EoJbKdxUZ+5vE7TF1ZuT+xaK9jEWHESfw11zoRKrHzHN0f
    IASnwg3vZ0ACteQy5SiWmFaJeJ4k7YaKUb6chZXG3GqL4YiSKFaLpJX+YRiKMtmI
    JzFzict5GVVGHsa1lY0BDYDO2XOAlstGlHCtENHOKpzdYdANRg0CAwEAAaCCAVMw
    GgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMDUGCisGAQQBgjcCAQ4xJzAlMA4G
    A1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEFBQcDATCB/QYKKwYBBAGCNw0C
    AjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0ACAAUgBTAEEAIABTAEMAaABh
    AG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBwAGgAaQBjACAAUAByAG8AdgBp
    AGQAZQByA4GJAGKa0jzBn8fkxScrWsdnU2eUJOMUK5Ms87Q+fjP1/pWN3PJnH7x8
    MBc5isFCjww6YnIjD8c3OfYfjkmWc048ZuGoH7ZoD6YNfv/SfAvQmr90eGmKOFFi
    TD+hl1hM08gu2oxFU7mCvfTQ/2IbXP7KYFGEqaJ6wn0Z5yLOByPqblQZAAAAAAAA
    AAAwDQYJKoZIhvcNAQEFBQADgYEAhpzNy+aMNHAmGUXQT6PKxWpaxDSjf4nBmo7o
    MhfC7CIvR0McCQ+CBwuLzD+UJxl+kjgb+qwcOUkGX2PCZ7tOWzcXWNmn/4YHQl0M
    GEXu0w67sVc2R9DlsHDNzeXLIOmjUl935qy1uoIR4V5C48YNsF4ejlgjeCFsbCoj
    Jb9/2RM=
    -----END NEW CERTIFICATE REQUEST-----
    					
  11. 確認您的要求細節。按一下 [下一步] 完成,然後結束 [Web 伺服器憑證精靈]。

要求憑證

您可以使用不同方法提交要求。請與您選擇的憑證提供者連絡以要求及接收憑證,並判斷最符合您需求的憑證等級。

安裝憑證

協力廠商 CA 完成您的伺服器憑證要求之後,您將會透過電子郵件或從網站下載的方式接收憑證。憑證必須安裝在您想提供安全通訊的網站上。

如果要安裝憑證,請依照下列步驟執行:
  1. 金鑰只能利用您先前產生的私密金鑰來解密。請將憑證金鑰的文字 (看起來應該會很類似您先前產生的金鑰) 複製並貼到 .txt 文件。請務必加入憑證的頁首和頁尾。將檔案另存為 Cert.txt。
  2. 依照<產生 CSR>一節所述的步驟開啟 IIS MMC。
  3. 存取您要安裝憑證的網站的 [內容] 對話方塊。
  4. 按一下 [目錄安全設定] 索引標籤,然後按一下 [伺服器憑證]。這會啟動 [Web 伺服器憑證精靈]。按一下 [下一步]
  5. 選取 [處理擱置要求及安裝憑證],然後按一下 [下一步]
  6. 瀏覽至您在步驟 1 中儲存的文字檔。按兩次 [下一步],然後按一下 [完成]

強制執行 SSL 連線

現在,伺服器憑證已安裝完成,您可以強制與 Web 伺服器的用戶端進行 SSL 安全通道通訊。首先,您必須啟用與網站進行安全通訊所要使用的連接埠 443。如果要執行這項操作,請依照下列步驟執行:
  1. 在 [電腦管理] 主控台中,用滑鼠右鍵按一下要強制執行 SSL 的網站,然後按一下 [內容]
  2. 按一下 [網站] 索引標籤。在 [網站識別] 區域中,確認 [SSL 連接埠] 欄位已填入數值 443
  3. 按一下 [進階]。您應該會看到兩個欄位。[在這個網站使用多重識別碼] 欄位應該會列出網站的 IP 位址和連接埠。如果沒有列出連接埠 443,請按一下 [在這個網站使用多重 SSL 識別碼] 欄位下方的 [新增]。選取伺服器的 IP 位址,並在 [SSL 連接埠] 欄位中輸入數值 443。按一下 [確定]
現在連接埠 443 已啟用,您可以強制執行 SSL 連線。如果要執行這項操作,請依照下列步驟執行:
  1. 按一下 [目錄安全設定] 索引標籤。請注意,[安全通訊] 區域中的 [編輯] 現在已經可以使用。按一下 [編輯]
  2. 選取 [必須使用安全通道 (SSL)]注意:如果您指定 128 位元加密,使用 40 或 56 位元強度瀏覽器的用戶端將無法與您的網站通訊,除非用戶端提高加密強度。
  3. 開啟您的瀏覽器,並嘗試使用標準的 http:// 通訊協定與您的 Web 伺服器連線。如果已強制執行 SSL,您會收到下列錯誤訊息:
    The page must be viewed over a secure channel
    The page you are trying to view requires the use of "https" in the address. (這個網頁必須透過安全通道才能檢視。所要檢視網頁的位址中需有 https)

    Please try the following:Try again by typing https:// at the beginning of the address you are attempting to reach.HTTP 403.4 - Forbidden:SSL required Internet Information Services
    Technical Information (for support personnel) Background:This error indicates that the page you are trying to access is secured with Secure Sockets Layer (SSL). (請嘗試下列步驟:在嘗試存取的位址開頭鍵入 https:// 後,再試一次。HTTP 403.4 - 禁止:SSL 需要 Internet Information Services 技術資訊 (供支援人員使用) 背景:這個錯誤指出您嘗試存取的網頁使用 Secure Sockets Layer (SSL) 保護)
    現在,您可以只使用 https:// 通訊協定連線到網站。

屬性

文章編號: 298805 - 上次校閱: 2007年12月4日 - 版次: 2.4
這篇文章中的資訊適用於:
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 6.0
關鍵字:?
kbhowtomaster KB298805
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com