網際網路已開啟向上組織內部和外部通訊的新方法。員工、 廠商和客戶之間的較佳通訊可讓組織削減成本、 帶來更快,上市的產品並建置更強的顧客關係。此改良的通訊需要透過網際網路和內部網路--有些時候--傳輸機密資訊。它會因此變成命令式能夠舉行與已知的合作對象的私用、 防篡改通訊。若要將此,組織可以建置安全的基礎結構,例如安全通訊端層 (SSL) 技術與使用數位憑證基礎公開金鑰密碼編譯。本指南將逐步討論如何將資訊服務 (IIS) 電腦上設定 SSL。
需求
下列項目描述建議的硬體、 軟體、 網路基礎結構、 技能和知識及您需要的服務套件:
- Windows 2000 Server、 進階伺服器或網際網路資訊服務 (IIS) 5.0 版與 Microsoft 認證伺服器安裝和設定的 2.0 版的專業。
- Windows Server 2003 標準版、 Windows Server 2003 企業版、 Windows Server 2003 DataCenter 版或 Windows Server 2003 Web 版架構的電腦與網際網路資訊服務 (IIS) 6.0 和憑證服務安裝和設定。
如果裝載 「 憑證伺服器的電腦不具有 IIS 在同一部電腦,您會需要有效的網路或裝載的認證伺服器與伺服器的網際網路連線。
建立憑證要求
第一次,Web 伺服器必須提出憑證要求。要這麼做,請您執行下列步驟:
- 啟動 [網際網路服務管理員 (ISM),而載入 「 網際網路資訊伺服器 」 嵌入式管理單元的 Microsoft 管理主控台 (MMC)。要如此、 按一下 [開始]、 指向 [程式集]、 指向 [系統管理工具,然後按一下 [Internet 服務管理員] 或 [網際網路資訊服務 (IIS) 管理員。
- 按兩下伺服器名稱,讓您看到所有的網站。在 IIS 6.0 中展開 [網站]。
- 您想要安裝之憑證的網站上按一下滑鼠右鍵,再按 [內容。
- 按一下 [目錄安全性] 索引標籤,然後按一下 [安全通訊],以啟動 Web 伺服器憑證精靈] 下的 [伺服器憑證。
- 在 IIS 6.0 中按一下 [下一步]。如果您執行 IIS 5.0,前往步驟 6。
- 選取 [建立新的憑證,然後按一下 [下一步]。
- 選取 [準備要求現在,但它稍後傳送],按一下 [下一步]。
- 輸入憑證的名稱。若要符合憑證名稱的 Web 站台名稱。現在,選取位元長度 ; 位元長度、 較強,憑證加密。如果您的使用者可能來自加密受限制的國家,請選取 伺服器控制出入的密碼編譯。
- 請輸入您的組織名稱及組織單位 (比方說 MyWeb 及開發部門)。按一下 [下一步]。
- 輸入做為一般名稱的 [完整格式的網域名稱 (FQDN)] 或 [伺服器名稱]。如果您正在建立將透過網際網路使用的憑證,最好使用 FQDN (比方說 www.MyWeb.com)。按一下 [下一步]。
- 輸入您的所在地資訊,然後按一下 [下一步]。
- 輸入儲存憑證資訊的路徑及檔案的名稱,然後按一下 [下一步] 以繼續。
附註如果您輸入的任何項目以外預設位置及檔案名稱,請務必注意您選擇的名稱和位置,因為您將需要存取這個檔案在稍後步驟中。 - 請確認您輸入的資訊,然後按一下 [下一步] 以完成程序,並建立憑證要求。
提交憑證要求
憑證要求您剛建立所要提交至憑證授權單位 (CA) 的需求。這可能是您自己的伺服器與它或如 VeriSign 是線上 CA 上安裝的憑證伺服器 2.0。請連絡您所選擇的憑證提供者,並且決定適合您需求的憑證的最佳的層級。有不同的方法送出您的要求。請連絡您所選擇的憑證授權要求及接收您的憑證。您可以建立您自己的憑證與憑證伺服器 2.0,但是您的用戶端] 就必須隱含會信任您為憑證授權單位。下列步驟假設您使用憑證伺服器 2.0 作為憑證提供者。
附註「 IIS 憑證精靈 」 只會辨識預設 Web 伺服器範本。當您選取 [線上企業 CA 除非 CA 使用預設的 Web 伺服器範本將不會列 「 授權。
- 開啟瀏覽器並瀏覽至 http:// YourWebServerName/CertSrv /。
- 在 IIS 5.0 中選取 [要求憑證],然後按一下 [下一步]。在 IIS 6.0 中按一下 [要求憑證]。
- 在 IIS 5.0 中選取 [進階要求],然後按一下 [下一步]。在 IIS 6.0 中按一下 [進階的憑證要求]。
- 在 IIS 5.0 中選取 憑證,要求使用一個 Base64 送出],然後按一下 [下一步]。 在 IIS 6.0 中按一下 [的提交憑證要求使用基底 64 編碼 CMC 或 PKCS # 10 檔案,或提交更新要求使用 一個基底 64 編碼 PKCS # 7 檔案。
- 在 Microsoft [記事本] 中開啟您在 < 建立憑證要求 > 一節中所建立的要求文件。在 IIS 6.0 中您也可以按一下 [瀏覽檔以插入。
- 複製文件的內容。內容應該如下所示:
-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-------
附註請務必如所示的只需複製的所有內容。
- 文件的內容貼到 Web 表單 Base64 編碼憑證要求] 文字方塊。
- 在 [憑證範本,選取 Web 伺服器 或 使用者,然後按一下 [送出]。
- 如果 認證伺服器 設定為 [永遠問題 [憑證,您可以立即存取憑證。要這麼做,請您執行下列步驟:
- 按一下 [下載 CA 憑證 (千萬不要按 [下載 CA 憑證路徑 或 下載憑證鏈結)。
- 當系統提示您選取 [儲存這個檔案到磁碟,並將憑證儲存到您的桌面或其他您會記得的位置。 您可能現在直接移至 [安裝憑證和設定 SSL 的網站 > 一節。
議題及下載憑證
要發出的認證伺服器中的憑證,請依照下列步驟執行:
- 開啟 CA MMC 嵌入式管理單元。要執行這項操作、 按一下 [開始]、 指向 [程式集]、 指向 [系統管理工具,然後按一下 憑證授權單位。
- 在 IIS 5.0 展開 [憑證授權單位],然後按一下 [擱置要求] 資料夾。擱置的憑證要求會出現在右窗格中。 在 IIS 6.0 中展開 [伺服器名稱]。
- 您剛提交的擱置的憑證要求上按一下滑鼠右鍵,選取 [所有工作],然後再按一下 [議題。
附註選取 發行 之後憑證便不再顯示此視窗和資料夾中。它現在位於 [發行憑證] 資料夾中。 - 在發行 (並授權) 憑證後,您可以回到憑證伺服器 Web 介面,以選取和下載憑證。要這麼做,請您執行下列步驟:
- 瀏覽至 http:// YourWebServerName/CertSrv /。
- 在 [預設] 頁面上選取 [檢查擱置的憑證,然後按一下 [下一步]。 在 IIS 6.0 中按一下 [檢視擱置的憑證要求狀態]。
- 選取您的擱置憑證然後按一下 [下一步],請移至下載頁面。
- 在 [下載] 頁面中,按一下 [下載 CA 憑證 (千萬不要按 [下載 CA 憑證路徑 或 下載憑證鏈結)。
- 當系統提示您選取 [儲存這個檔案到磁碟,並將憑證儲存到您的桌面或其他您會記得的位置。
安裝憑證,並設定 SSL 網站
若要安裝憑證,請依照下列步驟執行:
- 開啟 [網際網路服務管理員],然後展開伺服器名稱,讓您可以檢視的網站。
- 您建立憑證要求的網站上按一下滑鼠右鍵,然後按一下 [內容]。
- 按一下 [目錄安全性] 索引標籤。在 [安全通訊],底下按一下 [伺服器憑證]。這會啟動 [憑證] 安裝精靈]。按 [下一步] 以繼續。
- 選取 [處理擱置要求及安裝憑證,然後按一下 [下一步]。
- 輸入您在發行和下載憑證 >] 一節中下載的憑證的位置,然後按一下 [下一步]。 [精靈] 會顯示憑證摘要。請確認該資訊是正確的然後按 [下一步] 以繼續。
- 按一下 [完成] 以完成此程序。
設定及測試憑證
設定及測試憑證,請依照下列步驟執行:
- 在 [目錄安全性] 索引標籤的下 安全通訊,請注意有現在會顯示三個可用的選項。若要設定網站加到需要安全連線,按一下 [編輯]。[安全通訊] 對話方塊隨即出現。
- 選取 [需要安全通道 (SSL),然後按一下 [確定]。
- 按一下 [套用],,再按 [[確定] 以關閉屬性工作表。
- 瀏覽至站台,並驗證它運作。要這麼做,請您執行下列步驟:
- 透過在瀏覽器中輸入 http://localhost/Postinfo.html,透過 HTTP 存取網站。您收到類似下列的錯誤訊息:
- 嘗試瀏覽至相同的 Web 網頁在瀏覽器中輸入 https://localhost/postinfo.html 以使用安全的連接 (HTTPS)。您可能會收到安全性警示,指出憑證不從信任的根 CA 按一下 [是] 以繼續 Web 網頁。如果頁面便會出現已順利安裝您的憑證。
疑難排解
- 使用 SSL 會減慢 HTTP 伺服器和瀏覽器之間的效能。如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
150031?
(http://support.microsoft.com/kb/150031/
)
使用 SSL 會建立瀏覽器的效能負荷
- Microsoft Visual InterDev 給作者網站 6.0 版使用 SSL 有數個問題及要考慮的限制。 如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
238662?
(http://support.microsoft.com/kb/238662/
)
使用 Visual InterDev] 和 [安全通訊端層
- 本文將告訴您,只有伺服器憑證。伺服器憑證可讓使用者驗證您的伺服器、 檢查 Web 內容的有效性,以及建立安全連線。如果您還想要驗證瀏覽至您網站的使用者,您可以考慮使用用戶端憑證。典型的用戶端憑證包含的資訊的幾個項目: 使用者的憑證授權單位用來建立安全通訊] 及 [等到期日及序號 [驗證] 資訊的公開金鑰識別身分的識別。
參考
如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中 「 文件]:
228991?
(http://support.microsoft.com/kb/228991/
)
如何建立和網際網路資訊伺服器 4.0 中安裝 SSL 憑證
257591?
(http://support.microsoft.com/kb/257591/
)
安全通訊端層 (SSL) 信號交換的描述
299525?
(http://support.microsoft.com/kb/299525/
)
如何設定 SSL 使用 IIS 5.0 及憑證伺服器 2.0
298805?
(http://support.microsoft.com/kb/298805/
)
如何啟用 SSL 的網際網路資訊服務中的網站進行互動的所有客戶
如需詳細資訊請參閱下列 Microsoft 開發 o 人 h 員 ? 工 u 具 ? 網路 (MSDN) 網站]:
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
機器翻譯
回此頁最上方
