如何在 IIS 中实现 SSL

文章翻译 文章翻译
文章编号: 299875 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

Internet 已经打开最新的组织可以同时在内部及外部通信的方式。更好员工、 供应商和客户之间的通信使组织可以降低成本、 将产品上市速度更快,和构建更强大的客户关系。此改进的通信需要通过 Internet 和企业内部网--有时--传输的敏感信息。它将因此成为强制性能够执行与已知的各方的专用的、 篡改的通信。登录就将这带组织可以构建安全的基础结构基于公钥加密通过使用如安全套接字层 (SSL) 技术的数字证书。本逐步式指南讨论如何将信息服务 (IIS) 的计算机上设置 SSL。


要求

建议的硬件、 软件、 网络基础结构、 技能和知识和所需的服务包,介绍了以下各项:
  • Windows 2000 Server、 高级服务器,或 Internet Information Services (IIS) 5.0 版和 Microsoft 证书服务器安装并配置的 2.0 版的专业版。
  • Windows Server 2003 标准版、 Windows Server 2003 企业版、 Windows Server 2003 数据中心版或 Internet Information Services (IIS) 6.0 的基于 Windows Server 2003 Web 版的计算机和证书服务安装并配置中。
如果主持证书服务器的计算机不是在同一台计算机具有 IIS,则需要一个有效的网络或 Internet 连接到服务器承载证书服务器。


创建证书请求

第一次,Web 服务器必须创建证书申请。若要这样做,请按照下列步骤操作:
  1. 启动 Internet 服务管理器 (ISM),它加载 Internet 信息服务器的管理单元的 Microsoft 管理控制台 (MMC)。若要执行此操作,单击 开始,指向 程序、 指向 管理工具,然后单击 Internet 服务管理器 或 $ Internet Information Services (IIS) 管理器
  2. 双击服务器名称,以便您查看所有的 Web 站点。在 IIS 6.0 中展开 网站
  3. 用鼠标右键单击您要在其安装了的证书的网站,然后单击 属性
  4. 单击 目录安全性 选项卡,然后单击启动 Web 服务器证书向导的 安全通信 下的 服务器证书
  5. 在 IIS 6.0 中单击 下一步。如果运行的 IIS 5.0,请转到步骤 6。
  6. 选择 创建一个新证书,然后单击 下一步
  7. 选择 现在,准备请求,但稍后发送,单击 下一步
  8. 键入证书的名称。您可能希望与 Web 站点的名称的证书名称相匹配。现在,选择位长 ; 位长越大,越强证书加密。如果您的用户可能来自具有加密限制的国家/地区,请选择 服务器网关加密
  9. 键入您的组织名称和组织单位 (例如对于 MyWeb 和开发部门)。单击 下一步
  10. 键入完全合格的域名称 (FQDN) 或服务器名称作为公用名。如果创建的将使用在 Internet 上的证书最好使用一个的 FQDN (例如对于 www.MyWeb.com)。单击 下一步
  11. 输入您的位置信息,然后单击 下一步
  12. 键入路径和文件名称保存证书中的信息,然后单击 下一步 继续。

    注意如果您键入任何内容而不是默认位置和文件名称,一定要记下您选择,该名称和位置,因为您需要访问该文件在后续步骤中。
  13. 验证您键入的信息,然后单击 下一步 完成该过程并创建证书申请。

提交证书申请

证书请求您刚刚创建的提交到证书颁发机构 (CA) 的需求。这可能是您自己的服务器上它或联机如 verisign) 颁发 CA 上安装的证书服务器 2.0。请与您选择的证书提供商联系,并确定最佳级别的证书为您的需要。有不同的方法提交申请。请与您选择的证书颁发机构申请和接收您的证书。您可以创建您自己的证书与证书服务器 2.0,但您的客户端必须隐式信任您为证书颁发机构。以下步骤假定您使用的证书服务器 2.0 作为证书提供商。

注意IIS 证书向导将仅识别在默认 Web 服务器模板。当选择了联机企业 CA 颁发机构不会列出除非 CA 使用默认的 Web 服务器模板。
  1. 打开一个浏览器并浏览到 http:// YourWebServerName/CertSrv /。
  2. 在 IIS 5.0 中选择 申请一个证书,然后单击 下一步。在 IIS 6.0 中单击 申请一个证书
  3. 在 IIS 5.0 中选择 高级申请,然后单击 下一步。在 IIS 6.0 中单击 高级的证书申请
  4. 在 IIS 5.0 中选择 提交证书申请使用一个 Base64,然后单击 下一步。 在 IIS 6.0 中单击 提交证书申请通过基本 64 编码 CMC 或 PKCS # 10 文件,或提交续订申请通过 基本 64 编码 PKCS # 7 文件。
  5. 在微软记事本中打开您在"创建证书申请"一节中创建的请求文档。在 IIS 6.0 中,您还可以单击 浏览一个要插入的文件
  6. 复制文档中的内容。内容应该类似于以下:
    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIICcjCCAhwCAQAwYjETMBEGA1UEAxMKcm9ic3NlcnZlcjELMAkGA1UECxMCTVMx
    CzAJBgNVBAoTAk1TMREwDwYDVQQHEwhCZWxsZXZ1ZTERMA8GA1UECBMIV2FzaGl0
    b24xCzAJBgNVBAYTAlVTMFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBALYK4sYDNQ7h
    LmSfL0qpIvUfY7Ddw7fNCvDp3rM7z4QqoLhA2c8TkyamqWTBsV0WRHIidf/J6mU4
    wN4wrUzJTLUCAwEAAaCCAVMwGgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMDUG
    CisGAQQBgjcCAQ4xJzAlMA4GA1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEF
    BQcDATCB/QYKKwYBBAGCNw0CAjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0
    ACAAUgBTAEEAIABTAEMAaABhAG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBw
    AGgAaQBjACAAUAByAG8AdgBpAGQAZQByA4GJAGKa0jzBn8fkxScrWsdnU2eUJOMU
    K5Ms87Q+fjP1/pWN3PJnH7x8MBc5isFCjww6YnIjD8c3OfYfjkmWc048ZuGoH7Zo
    D6YNfv/SfAvQmr90eGmKOFFiTD+hl1hM08gu2oxFU7mCvfTQ/2IbXP7KYFGEqaJ6
    wn0Z5yLOByPqblQZAAAAAAAAAAAwDQYJKoZIhvcNAQEFBQADQQCgRCWkaXlY2nVa
    tbn6p5miPwWfrbViYo0B62wkuH0f7J0nSGcxMnn/6Q/iLEIsgHqFhox5PWCzIV0J
    tXKPWrBL
    -----END NEW CERTIFICATE REQUEST-------
    					
    注释 如果您使用默认名称和位置保存该文档,它位于 C:\Certreq.txt。

    注意请务必如下所示的只是复制的所有内容。

  7. 将文档的内容粘贴到 Web 窗体的 Base64 编码证书申请 文本框。
  8. 证书模板 下,选择 Web 服务器用户,然后单击 提交
  9. 如果 证书服务器 设置为 始终期证书,您可以立即访问证书。若要这样做,请按照下列步骤操作:
    1. 单击 下载 CA 证书 (不要单击 下载 CA 证书路径 或 $ 下载证书链)。
    2. 在提示时选择 将此文件保存到磁盘,然后将证书保存到您的桌面或另一台您记起的位置。 您可现在直接转到"安装该证书并将一个 SSL 网站设置"部分。

颁发和下载证书

若要颁发证书服务器中的证书,请按照下列步骤操作:
  1. 打开 CA MMC 管理单元。若要执行此操作,单击 开始,指向 程序、 指向 管理工具,然后单击 证书颁发机构
  2. 在 IIS 5.0 中展开 证书颁发机构,然后单击 待定的请求 文件夹。在右窗格中显示您的挂起证书请求。 在 IIS 6.0 中展开服务器名称。
  3. 用鼠标右键单击您刚才提交的挂起证书申请,选择 所有任务,然后单击 颁发

    注意您选择 问题 之后,该证书将不再显示此窗口和文件夹中。它现在位于颁发的证书文件夹。
  4. 在已颁发 (并授权) 证书后可以返回证书服务器 Web 界面,以选择并下载证书。若要这样做,请按照下列步骤操作:
    1. 浏览到 http:// YourWebServerName/CertSrv /。
    2. 在默认页上选择 检查挂起的证书,然后单击 下一步。 在 IIS 6.0 中单击 查看挂起的证书申请的状态
    3. 选择您挂起的证书,然后单击 下一步 转到下载页面。
    4. 在下载页上单击 下载 CA 证书 (不要单击 下载 CA 证书路径 或 $ 下载证书链)。
    5. 在提示时选择 将此文件保存到磁盘,然后将证书保存到您的桌面或另一台您记起的位置。

安装证书并设置 SSL 网站

若要安装证书,请按照下列步骤操作:
  1. 打开 Internet 服务管理器并展开服务器名称,以便您可以查看 Web 站点。
  2. 右键单击您为其创建证书申请的 Web 站点,然后单击 属性
  3. 单击 目录安全性 选项卡。在 安全通信,下单击 服务器证书。这将启动证书安装向导。单击 下一步 继续。
  4. 选择 处理挂起的请求并安装证书,然后单击 下一步
  5. 键入您在问题和下载证书部分中下载的证书的位置,然后单击 下一步。 向导会显示证书摘要。验证信息正确,然后单击 下一步 继续。
  6. 单击 完成 结束进程。

配置和测试证书

配置和测试证书,请按照下列步骤操作:
  1. 目录安全 选项卡的在 安全通信,请注意现在有三种可用的选项。单击将为需要安全连接的网站的 编辑。在 安全通信 对话框。
  2. 选择 要求安全通道 (SSL),然后单击 确定
  3. 单击 应用,然后单击 确定 以关闭该属性表。
  4. 浏览到网站并确认它可以工作。若要这样做,请按照下列步骤操作:
    1. 通过在浏览器中键入 http://localhost/Postinfo.html,通过 HTTP 访问网站。您收到类似于以下内容的错误消息:
      HTTP 403.4-禁止访问: SSL 要求。
    2. 请尝试浏览到同一网页在浏览器中键入 https://localhost/postinfo.html 来使用一个安全的连接 (HTTPS)。您可能会收到安全警报,指出该证书不是来自受信任的根 CA 单击 继续到 Web 页。如果将显示页,您已成功安装您的证书。

故障排除

  • 使用 SSL 会降低性能之间的 HTTP 服务器和浏览器。有关详细的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    150031使用 SSL 将创建浏览器的性能系统的开销
  • 当您使用 Microsoft Visual InterDev 作者网站到 6.0 版使用 SSL 时, 有几个问题和要考虑的限制。 有关详细的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    238662使用 Visual InterDev 和安全套接字层
  • 本文讨论了服务器证书仅。服务器证书使用户可以验证您的服务器的身份、 检查 Web 内容的有效性以及建立安全连接。如果您还想浏览您的 Web 站点的用户进行身份验证可以考虑使用客户端证书。典型的客户端证书包含多个项目的信息: 该的用户的证书颁发机构用于建立安全的通信,如过期日期和序列号的验证信息的公共密钥标识的标识。

引用

有关详细的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
228991如何创建和在 Internet 信息服务器 4.0 中安装一个 SSL 证书
257591安全套接字层 (SSL) 握手说明
299525如何设置 SSL 使用 IIS 5.0 和证书服务器 2.0
298805如何启用 SSL 的所有客户与您的 Web 站点中 Internet Information Services 交互
有关详细的信息,请参阅下面的 Microsoft 开发人员网络 (MSDN) 的网站:
http://msdn2.microsoft.com/en-us/library/aa302412.aspx

属性

文章编号: 299875 - 最后修改: 2007年12月3日 - 修订: 3.6
这篇文章中的信息适用于:
  • Microsoft Internet Information Services 5.0?当用于
    • the operating system: Microsoft Windows 2000
  • Microsoft Internet Information Services 6.0?当用于
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Standard Edition
关键字:?
kbmt kbhowto KB299875 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 299875
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com