如何在 IIS 中實作 SSL

文章翻譯 文章翻譯
文章編號: 299875 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

網際網路已開啟向上組織內部和外部通訊的新方法。員工、 廠商和客戶之間的較佳通訊可讓組織削減成本、 帶來更快,上市的產品並建置更強的顧客關係。此改良的通訊需要透過網際網路和內部網路--有些時候--傳輸機密資訊。它會因此變成命令式能夠舉行與已知的合作對象的私用、 防篡改通訊。若要將此,組織可以建置安全的基礎結構,例如安全通訊端層 (SSL) 技術與使用數位憑證基礎公開金鑰密碼編譯。本指南將逐步討論如何將資訊服務 (IIS) 電腦上設定 SSL。


需求

下列項目描述建議的硬體、 軟體、 網路基礎結構、 技能和知識及您需要的服務套件:
  • Windows 2000 Server、 進階伺服器或網際網路資訊服務 (IIS) 5.0 版與 Microsoft 認證伺服器安裝和設定的 2.0 版的專業。
  • Windows Server 2003 標準版、 Windows Server 2003 企業版、 Windows Server 2003 DataCenter 版或 Windows Server 2003 Web 版架構的電腦與網際網路資訊服務 (IIS) 6.0 和憑證服務安裝和設定。
如果裝載 「 憑證伺服器的電腦不具有 IIS 在同一部電腦,您會需要有效的網路或裝載的認證伺服器與伺服器的網際網路連線。


建立憑證要求

第一次,Web 伺服器必須提出憑證要求。要這麼做,請您執行下列步驟:
  1. 啟動 [網際網路服務管理員 (ISM),而載入 「 網際網路資訊伺服器 」 嵌入式管理單元的 Microsoft 管理主控台 (MMC)。要如此、 按一下 [開始]、 指向 [程式集]、 指向 [系統管理工具,然後按一下 [Internet 服務管理員] 或 [網際網路資訊服務 (IIS) 管理員
  2. 按兩下伺服器名稱,讓您看到所有的網站。在 IIS 6.0 中展開 [網站]。
  3. 您想要安裝之憑證的網站上按一下滑鼠右鍵,再按 [內容
  4. 按一下 [目錄安全性] 索引標籤,然後按一下 [安全通訊],以啟動 Web 伺服器憑證精靈] 下的 [伺服器憑證
  5. 在 IIS 6.0 中按一下 [下一步]。如果您執行 IIS 5.0,前往步驟 6。
  6. 選取 [建立新的憑證,然後按一下 [下一步]。
  7. 選取 [準備要求現在,但它稍後傳送],按一下 [下一步]。
  8. 輸入憑證的名稱。若要符合憑證名稱的 Web 站台名稱。現在,選取位元長度 ; 位元長度、 較強,憑證加密。如果您的使用者可能來自加密受限制的國家,請選取 伺服器控制出入的密碼編譯
  9. 請輸入您的組織名稱及組織單位 (比方說 MyWeb 及開發部門)。按一下 [下一步]。
  10. 輸入做為一般名稱的 [完整格式的網域名稱 (FQDN)] 或 [伺服器名稱]。如果您正在建立將透過網際網路使用的憑證,最好使用 FQDN (比方說 www.MyWeb.com)。按一下 [下一步]。
  11. 輸入您的所在地資訊,然後按一下 [下一步]
  12. 輸入儲存憑證資訊的路徑及檔案的名稱,然後按一下 [下一步] 以繼續。

    附註如果您輸入的任何項目以外預設位置及檔案名稱,請務必注意您選擇的名稱和位置,因為您將需要存取這個檔案在稍後步驟中。
  13. 請確認您輸入的資訊,然後按一下 [下一步] 以完成程序,並建立憑證要求。

提交憑證要求

憑證要求您剛建立所要提交至憑證授權單位 (CA) 的需求。這可能是您自己的伺服器與它或如 VeriSign 是線上 CA 上安裝的憑證伺服器 2.0。請連絡您所選擇的憑證提供者,並且決定適合您需求的憑證的最佳的層級。有不同的方法送出您的要求。請連絡您所選擇的憑證授權要求及接收您的憑證。您可以建立您自己的憑證與憑證伺服器 2.0,但是您的用戶端] 就必須隱含會信任您為憑證授權單位。下列步驟假設您使用憑證伺服器 2.0 作為憑證提供者。

附註「 IIS 憑證精靈 」 只會辨識預設 Web 伺服器範本。當您選取 [線上企業 CA 除非 CA 使用預設的 Web 伺服器範本將不會列 「 授權。
  1. 開啟瀏覽器並瀏覽至 http:// YourWebServerName/CertSrv /。
  2. 在 IIS 5.0 中選取 [要求憑證],然後按一下 [下一步]。在 IIS 6.0 中按一下 [要求憑證]。
  3. 在 IIS 5.0 中選取 [進階要求],然後按一下 [下一步]。在 IIS 6.0 中按一下 [進階的憑證要求]。
  4. 在 IIS 5.0 中選取 憑證,要求使用一個 Base64 送出],然後按一下 [下一步]。 在 IIS 6.0 中按一下 [的提交憑證要求使用基底 64 編碼 CMC 或 PKCS # 10 檔案,或提交更新要求使用 一個基底 64 編碼 PKCS # 7 檔案。
  5. 在 Microsoft [記事本] 中開啟您在 < 建立憑證要求 > 一節中所建立的要求文件。在 IIS 6.0 中您也可以按一下 [瀏覽檔以插入
  6. 複製文件的內容。內容應該如下所示:
    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIICcjCCAhwCAQAwYjETMBEGA1UEAxMKcm9ic3NlcnZlcjELMAkGA1UECxMCTVMx
    CzAJBgNVBAoTAk1TMREwDwYDVQQHEwhCZWxsZXZ1ZTERMA8GA1UECBMIV2FzaGl0
    b24xCzAJBgNVBAYTAlVTMFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBALYK4sYDNQ7h
    LmSfL0qpIvUfY7Ddw7fNCvDp3rM7z4QqoLhA2c8TkyamqWTBsV0WRHIidf/J6mU4
    wN4wrUzJTLUCAwEAAaCCAVMwGgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMDUG
    CisGAQQBgjcCAQ4xJzAlMA4GA1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEF
    BQcDATCB/QYKKwYBBAGCNw0CAjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0
    ACAAUgBTAEEAIABTAEMAaABhAG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBw
    AGgAaQBjACAAUAByAG8AdgBpAGQAZQByA4GJAGKa0jzBn8fkxScrWsdnU2eUJOMU
    K5Ms87Q+fjP1/pWN3PJnH7x8MBc5isFCjww6YnIjD8c3OfYfjkmWc048ZuGoH7Zo
    D6YNfv/SfAvQmr90eGmKOFFiTD+hl1hM08gu2oxFU7mCvfTQ/2IbXP7KYFGEqaJ6
    wn0Z5yLOByPqblQZAAAAAAAAAAAwDQYJKoZIhvcNAQEFBQADQQCgRCWkaXlY2nVa
    tbn6p5miPwWfrbViYo0B62wkuH0f7J0nSGcxMnn/6Q/iLEIsgHqFhox5PWCzIV0J
    tXKPWrBL
    -----END NEW CERTIFICATE REQUEST-------
    					
    它是位於 C:\Certreq.txt 附註 如果您儲存文件具有預設名稱和位置。

    附註請務必如所示的只需複製的所有內容。

  7. 文件的內容貼到 Web 表單 Base64 編碼憑證要求] 文字方塊。
  8. 在 [憑證範本,選取 Web 伺服器使用者,然後按一下 [送出]。
  9. 如果 認證伺服器 設定為 [永遠問題 [憑證,您可以立即存取憑證。要這麼做,請您執行下列步驟:
    1. 按一下 [下載 CA 憑證 (千萬不要按 [下載 CA 憑證路徑下載憑證鏈結)。
    2. 當系統提示您選取 [儲存這個檔案到磁碟,並將憑證儲存到您的桌面或其他您會記得的位置。 您可能現在直接移至 [安裝憑證和設定 SSL 的網站 > 一節。

議題及下載憑證

要發出的認證伺服器中的憑證,請依照下列步驟執行:
  1. 開啟 CA MMC 嵌入式管理單元。要執行這項操作、 按一下 [開始]、 指向 [程式集]、 指向 [系統管理工具,然後按一下 憑證授權單位
  2. 在 IIS 5.0 展開 [憑證授權單位],然後按一下 [擱置要求] 資料夾。擱置的憑證要求會出現在右窗格中。 在 IIS 6.0 中展開 [伺服器名稱]。
  3. 您剛提交的擱置的憑證要求上按一下滑鼠右鍵,選取 [所有工作],然後再按一下 [議題

    附註選取 發行 之後憑證便不再顯示此視窗和資料夾中。它現在位於 [發行憑證] 資料夾中。
  4. 在發行 (並授權) 憑證後,您可以回到憑證伺服器 Web 介面,以選取和下載憑證。要這麼做,請您執行下列步驟:
    1. 瀏覽至 http:// YourWebServerName/CertSrv /。
    2. 在 [預設] 頁面上選取 [檢查擱置的憑證,然後按一下 [下一步]。 在 IIS 6.0 中按一下 [檢視擱置的憑證要求狀態]。
    3. 選取您的擱置憑證然後按一下 [下一步],請移至下載頁面。
    4. 在 [下載] 頁面中,按一下 [下載 CA 憑證 (千萬不要按 [下載 CA 憑證路徑下載憑證鏈結)。
    5. 當系統提示您選取 [儲存這個檔案到磁碟,並將憑證儲存到您的桌面或其他您會記得的位置。

安裝憑證,並設定 SSL 網站

若要安裝憑證,請依照下列步驟執行:
  1. 開啟 [網際網路服務管理員],然後展開伺服器名稱,讓您可以檢視的網站。
  2. 您建立憑證要求的網站上按一下滑鼠右鍵,然後按一下 [內容]。
  3. 按一下 [目錄安全性] 索引標籤。在 [安全通訊],底下按一下 [伺服器憑證]。這會啟動 [憑證] 安裝精靈]。按 [下一步] 以繼續。
  4. 選取 [處理擱置要求及安裝憑證,然後按一下 [下一步]。
  5. 輸入您在發行和下載憑證 >] 一節中下載的憑證的位置,然後按一下 [下一步]。 [精靈] 會顯示憑證摘要。請確認該資訊是正確的然後按 [下一步] 以繼續。
  6. 按一下 [完成] 以完成此程序。

設定及測試憑證

設定及測試憑證,請依照下列步驟執行:
  1. 在 [目錄安全性] 索引標籤的下 安全通訊,請注意有現在會顯示三個可用的選項。若要設定網站加到需要安全連線,按一下 [編輯]。[安全通訊] 對話方塊隨即出現。
  2. 選取 [需要安全通道 (SSL),然後按一下 [確定]
  3. 按一下 [套用],,再按 [[確定] 以關閉屬性工作表。
  4. 瀏覽至站台,並驗證它運作。要這麼做,請您執行下列步驟:
    1. 透過在瀏覽器中輸入 http://localhost/Postinfo.html,透過 HTTP 存取網站。您收到類似下列的錯誤訊息:
      HTTP 403.4-禁止: 所需的 SSL。
    2. 嘗試瀏覽至相同的 Web 網頁在瀏覽器中輸入 https://localhost/postinfo.html 以使用安全的連接 (HTTPS)。您可能會收到安全性警示,指出憑證不從信任的根 CA 按一下 [是] 以繼續 Web 網頁。如果頁面便會出現已順利安裝您的憑證。

疑難排解

  • 使用 SSL 會減慢 HTTP 伺服器和瀏覽器之間的效能。如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
    150031使用 SSL 會建立瀏覽器的效能負荷
  • Microsoft Visual InterDev 給作者網站 6.0 版使用 SSL 有數個問題及要考慮的限制。 如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
    238662使用 Visual InterDev] 和 [安全通訊端層
  • 本文將告訴您,只有伺服器憑證。伺服器憑證可讓使用者驗證您的伺服器、 檢查 Web 內容的有效性,以及建立安全連線。如果您還想要驗證瀏覽至您網站的使用者,您可以考慮使用用戶端憑證。典型的用戶端憑證包含的資訊的幾個項目: 使用者的憑證授權單位用來建立安全通訊] 及 [等到期日及序號 [驗證] 資訊的公開金鑰識別身分的識別。

參考

如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中 「 文件]:
228991如何建立和網際網路資訊伺服器 4.0 中安裝 SSL 憑證
257591安全通訊端層 (SSL) 信號交換的描述
299525如何設定 SSL 使用 IIS 5.0 及憑證伺服器 2.0
298805如何啟用 SSL 的網際網路資訊服務中的網站進行互動的所有客戶
如需詳細資訊請參閱下列 Microsoft 開發 o 人 h 員 ? 工 u 具 ? 網路 (MSDN) 網站]:
http://msdn2.microsoft.com/en-us/library/aa302412.aspx

屬性

文章編號: 299875 - 上次校閱: 2007年12月3日 - 版次: 3.6
這篇文章中的資訊適用於:
  • Microsoft Internet Information Services 5.0?應用於:
    • the operating system: Microsoft Windows 2000
  • Microsoft Internet Information Services 6.0?應用於:
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
關鍵字:?
kbmt kbhowto KB299875 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:299875
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com