如何实现使用 Virtual Server 2005 中的一个独立的证书服务器的 SSL

文章翻译 文章翻译
文章编号: 887490 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

简介

为帮助提高安全性,我们建议您在 Microsoft Virtual Server 2005 中运行管理网站,通过安全套接字层 (SSL) 连接。 本文介绍了服务器证书基于独立的根目录设置了 SSL 连接的环境中的步骤。如果您使用第三方证书根颁发机构或 $ 企业证书根颁发机构,您仍然可以按照以下步骤,因为在此过程有关位置或用于为 Virtual Server 2005 设置 SSL 的每个组件的所有权中不进行任何假设。

使用此过程可以 Virtual Server 2005 基于 Microsoft Windows XP 的主机上或在基于 Microsoft Windows Server 2003 的主机上的 SSL 设置。在基于 Windows Server 2003 的主机上您设置了您使用该站点的证书。在这种情况下,这是虚拟服务器网站的不在默认 Web 站点。在 Windows XP 中,没有只能有一个站点。该站点是默认的网站。

更多信息

第 1 部分: 安装证书服务

如果没有可用于您的网络上的颁发证书的证书颁发机构执行以下步骤可能是可选的。您可以使用任何当前的 Microsoft 服务器产品安装您的证书颁发机构。请按照下列步骤以在一台基于 Windows Server 2003 的计算机上安装证书服务操作:
  1. 在 $ 控制面板,中双击 添加或删除程序,然后单击 添加/删除 Windows 组件
  2. 单击以选中 证书服务 复选框,然后单击 下一步
  3. 单击 独立根 CA,然后单击 下一步
  4. 键入您要在 此 CA 的公用名称 框中使用的名称。一般情况下,这是计算机的名称。此计算机的名称可能是从计算机上运行 Virtual Server 2005 的不同。此外,您可能需要只有一个证书服务器的多个虚拟服务器主机。
  5. 单击 下一步,接受默认设置为创建的共享和日志文件。
  6. 当系统提示您插入 Windows 安装介质。
  7. 当您收到活动服务器页面 (ASP) 条警告消息时,请单击 $
注意当您执行此过程时,将停止 Microsoft Internet Information Services (IIS),并安装 ASP 页。然后,IIS 重新启动以完成安装。您没有重新启动计算机。

请考虑当您安装证书颁发机构的内容

  • 证书颁发机构 (CA) 的问题可能导致您具有在 CA 计算机上重新安装操作系统,并发出的所有网站的新的证书。当您选择为根 CA 的安装的服务器时,请考虑一下这。这可能是与虚拟服务器主机计算机的另一台计算机。
  • 还原一个过时的系统状态可能会导致 CA 问题。
  • 从域中删除计算机中断 CA。
  • CA 被链接到您的用户名。这不是通常的问题,除了在安装过程中如果 可分辨名称 框为空。但是,如果通过使用域用户名称,即使虚拟服务器主机计算机是域中的已登录到网络,它可以是一个问题。可分辨的名称必须是可分辨的名称语法中的域名系统 (DNS) 解析名称。 例如: CN = Concours88,DN = northamerica,DN = corp,DC = Microsoft,DC = com。
  • 当您请求一个证书时,您可以手动键入在空白字段中所需的信息。

第 2 部分: 准备证书请求

为虚拟服务器站点在 Internet 信息服务 (IIS) 管理器管理单元中准备证书请求,请执行以下操作:
  1. 虚拟服务器的主机计算机上启动 Internet 信息服务 (IIS) 管理器管理单元
  2. 在导航窗格中展开 Server_Name,用鼠标右键单击 默认网站虚拟服务器,然后再单击 属性
  3. 目录安全性 选项卡上单击 安全通信 下的 服务器证书
  4. 在 IIS 证书向导中,单击 下一步
  5. 单击 创建一个新证书,然后单击 下一步
  6. 单击 现在,准备请求,但稍后发送,然后单击 下一步
  7. 键入所需的名称,或使用默认的名称。该证书的默认名称是作为在的站点名称例如对于虚拟服务器相同的。
  8. 位长度 框中单击一个密钥长度,然后单击 下一步。通常,您可以使用默认的位长度值。
  9. 一个内部证书键入您要使用 组织 框中,并在 组织单位 框中的名称。

    例如对于在 组织 框中键入您的组织的名称,然后在 组织单位 框中键入您的部门的名称。第三方证书都有特定的数据要求为这些字段。此信息是由第三方 CA 提供的。
  10. 公用名称 字段中键入 DNS 名或 NetBIOS 名称。

    注意公用名很重要,因为您必须决定您的网站的完整名称。您可以选择一个 NetBIOS 名称或 DNS 名称。选择一个,可以通过使用其中任一名称从 Microsoft Internet Explorer 中发出的连接。但是,如果您使用不同的公用名前面讨论的名称,您将收到有关名称不匹配的一条警告消息。若要避免该警告消息,在您的环境中使用最频繁使用的语法。 在一个窗口中会出现此警告消息,但该邮件不会阻止您访问该网站。它并不重要您选择的 NetBIOS 名称或 DNS 名称。
  11. 键入正确的国家/地区、 状态,和市/县。
  12. 键入您要导出的证书申请的文件名称。

申请证书第 3 部分:

  1. 在 Internet Explorer 中打开证书颁发机构 Web 页:
    http://localhost/certsrv
  2. 在选择任务,下单击 申请一个证书
  3. 申请证书,下单击 高级的证书申请,然后单击 提交一个保存的申请
  4. 安全设置可能会阻止您使用从此处的 Web 页链接。

    或者,C:\Certreq.txt 文件中复制的所有文本。然后,将文本粘贴到在 提交证书申请或续订请求 页上的 保存请求 框中。证书申请是一个文本文件,包含您在步骤 1 中输入的信息。 The certificate request is encoded the same as the following sample.
    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIIDTTCCArYCAQAwcjESMBAGA1UEAxMJZnVua3libHVlMRMwEQYDVQQLEwpEZXBh
    cnRtZW50MRkwFwYDVQQKHhAATwByAGcAXwBOAGEAbQBlMRIwEAYDVQQHEwlTdXF1
    YW1pc2gxCzAJBgNVBAgTAldhMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEF
    AAOBjQAwgYkCgYEApGI6rK3DjiUAfRYkqlw17AS1KGy15lg6X2miuEc6mz8aRLQ6
    cxnrIrXLMePT5rR5KhLw6TWO3HPfpIbqbgaN1FeAbLz0ByzX1P/nXee+zbSEn+4l
    1BTw4yfP4/0RySCqN5DwHNQD5zSpn9lGFs5UW0Tshr0/6zYRR6DbZgmfMMMCAwEA
    AaCCAZkwGgYKKwYBBAGCNw0CAzEMFgo1LjEuMjYwMC4yMHsGCisGAQQBgjcCAQ4x
    bTBrMA4GA1UdDwEB/wQEAwIE8DBEBgkqhkiG9w0BCQ8ENzA1MA4GCCqGSIb3DQMC
    AgIAgDAOBggqhkiG9w0DBAICAIAwBwYFKw4DAgcwCgYIKoZIhvcNAwcwEwYDVR0l
    BAwwCgYIKwYBBQUHAwEwgf0GCisGAQQBgjcNAgIxge4wgesCAQEeWgBNAGkAYwBy
    AG8AcwBvAGYAdAAgAFIAUwBBACAAUwBDAGgAYQBuAG4AZQBsACAAQwByAHkAcAB0
    AG8AZwByAGEAcABoAGkAYwAgAFAAcgBvAHYAaQBkAGUAcgOBiQCTSR8dKSviOwRX
    JreaBSjJpgw7jnoQI1mvgJv5aE+B7F+M47mrA4bWgM5NorJyuRzmkb4g8FCer7hy
    i1PyFYlDClz6oZvzFQROnEKiSGuE3nTv28Ver/l2weSa05PCRKpKfP3Ku5WjFh4N
    DyMjcobcdODHAW2jyhmeb4T5jiiyFQAAAAAAAAAAMA0GCSqGSIb3DQEBBQUAA4GB
    ACJ6OT9VeyKfPYFzkHATgGiJ8KVHGQuxE70r1W2wCvpWCLRfjhxzgoc3I84ddS2o
    9QQDoU4P4CIp9Lw89x0jJtI2PD+xVmRdz7Trkl0lKB17nfVcnDXXwygm6PUUy/52
    PXkXU6RggFy1m28khilKK8uXBfHLyRrK8W3zyygiJMgV
    -----END NEW CERTIFICATE REQUEST-----
  5. 单击 提交

    重要如果要使多个提交则是个好主意文档提交中的请求的准确顺序。可能没有办法区分证书从证书导出页面,当您导出该证书在此过程后面的步骤中。 这是因为该显示名称不可用在任何 IIS 证书服务 Web 页或证书颁发机构管理单元中。
  6. 使证书服务网站保持打开状态,以便第 5 部分。

第 4 部分: 颁发证书

  1. 在管理工具中启动证书颁发机构管理单元。
  2. 在左窗格中展开 CA_name,然后单击 待定的请求
  3. 在右窗格中用鼠标右键单击您的请求,指向 所有任务,然后单击 颁发

    这将批准该请求。该证书的状态将从更改挂起与颁发。

第 5 部分: 导出证书

返回到证书颁发机构 Web 页,然后将证书导出。
  1. 在选择任务,下单击 查看挂起的证书申请的状态

    注意 您只能有一个机会执行此操作。如果单击 下载 CA 证书 时,您可以选择从该计算机通常是从根 CA 上安装的证书。您不能选择从证书的批准和的请求。 此外,是否提供多个证书可能无法识别一个证书。 即使证书颁发机构管理单元可能无法显示有用的信息,让您确定属于一个请求的证书。
  2. 证书已颁发,下单击 Base 64 编码
  3. 单击 下载证书,然后保存本地的证书。

第 6 部分: 导入证书

  1. 虚拟服务器的主机计算机上启动 Internet 信息服务 (IIS) 管理器管理单元。
  2. 在导航窗格中展开 Server_Name,然后用鼠标右键单击 虚拟服务器默认网站。依次 属性
  3. 目录安全性 选项卡上单击 安全通信 下的 服务器证书
  4. 目录安全性 选项卡上单击 服务器证书
  5. 单击 处理挂起的请求并安装证书。然后,请单击 下一步
  6. 使用您进行定位,然后选择与请求匹配的证书较早的笔记。
  7. 使用 443 的默认端口值。
  8. 完成该向导。
  9. 如果您成功在 服务器证书目录安全性 选项卡上显示 查看证书 选项。

第 7 部分: 可选 post-certificate 步骤

  1. 禁用虚拟服务器站点的匿名访问,请执行以下操作:
    1. 在 Internet 信息服务 (IIS) 管理器管理单元中打开虚拟服务器的站点属性或默认网站属性。
    2. 目录安全性 选项卡上单击 匿名访问和身份验证控制 下的 编辑
    3. 单击以清除 匿名访问 复选框。
    4. 单击 确定 两个的时间,然后退出 Internet 信息服务 (IIS) 管理器管理单元。
  2. 要求 SSL 和 128 位加密:
    1. 在 Internet 信息服务 (IIS) 管理器管理单元中打开虚拟服务器的站点属性或默认网站属性。
    2. 目录安全性 选项卡上单击 安全通信 下的 编辑
    3. 单击以选中 需要 SSL 和 128 位加密
    4. 单击 确定 两个的时间,然后退出 Internet 信息服务 (IIS) 管理器管理单元。
  3. 在虚拟服务器的站点属性中或在 Internet 信息服务 (IIS) 管理器管理单元中默认网站属性 网站 选项卡上添加端口 443。

故障排除

  • 如果您不能完成这些过程,请重新启动。 打开 Internet 信息服务 (IIS) 管理器管理单元中的虚拟服务器的站点属性或默认网站属性,单击 目录安全性 选项卡并再次启动向导。 将出现两个页面中的某一个。一页状态已安装了证书。此页提供了用于删除或替换该证书的选项。在其他页中,可以从待定的请求导入证书。此页还可以取消该请求。您可以取消该请求,并重新开始。
  • 如果您收到一条错误消息,指出该证书与请求不匹配,这可能表示您忘记了从证书颁发机构网页导出证书时,请单击 Base 64 编码 选项。取消了的请求,然后重新提交请求。
  • 如果您收到一条错误消息,指出已经安装了证书,您可能单击了而不是 查看挂起的证书申请的状态下载 CA 证书

属性

文章编号: 887490 - 最后修改: 2007年11月2日 - 修订: 1.2
这篇文章中的信息适用于:
  • Microsoft Virtual Server 2005 Standard Edition
关键字:?
kbmt kbcertservices kbhowtomaster KB887490 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 887490
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com