如何實作與 Virtual Server 2005 的獨立的憑證伺服器的 SSL

文章翻譯 文章翻譯
文章編號: 887490 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

簡介

為了協助改善安全性,我們建議您執行 「 系統管理網站 Microsoft Virtual Server 2005 透過安全通訊端層 (SSL) 連線。 本文將告訴您,設定 SSL 連線的環境中的伺服器憑證根據獨立根步驟。如果使用協力廠商憑證的根授權單位或企業的憑證根授權單位仍然可以依照下列步驟執行,因為沒有假設做在這個程序中關於位置或每個元件用於設定 SSL 的 Virtual Server 2005 的擁有權。

您可以使用這個程序來設定 SSL 的 Virtual Server 2005 在 Microsoft Windows XP 的主機或 Microsoft Windows Server 2003 架構主機上。在 Windows Server 2003 架構主機上您設定為您所使用的網站憑證。在這種情況下,就是虛擬伺服器站台沒有預設的網站。在 Windows XP 中沒有只有一個站台。該網站是預設的網站。

其他相關資訊

第 1 部份: 安裝憑證服務

如果沒有可用來在網路上發出憑證的憑證授權單位,下列程序可能是選擇性的。您可以使用任何目前的 Microsoft 伺服器產品來安裝憑證授權單位。請依照下列步驟在 Windows Server 2003 電腦上安裝憑證服務:
  1. 控制台中,連按兩下 [新增或移除程式,],然後再按 [新增/移除 Windows 元件
  2. 按一下以選取 [憑證服務] 核取方塊,然後按一下 [下一步]
  3. 按一下 [獨立根 CA,然後按一下 [下一步]。
  4. 輸入您想要在 [這個憑證授權單位的一般名稱] 方塊中使用的名稱。這通常,是電腦名稱。這個電腦名稱可能從電腦上執行 Virtual Server 2005 的不同。而且,您可能需要只有一個憑證伺服器的多個虛擬伺服器主機。
  5. 按一下 [下一步] 以接受預設設定建立共用,以及記錄檔。
  6. 當您接到提示時,請插入 Windows 安裝媒體。
  7. 當您收到動態伺服器網頁 (ASP) 警告訊息,請按一下 [是]
附註當您執行此程序 Microsoft 網際網路資訊服務 (IIS) 停駐點,且安裝 ASP 網頁。然後,IIS 重新啟動以完成安裝。您沒有重新啟動電腦。

所要考慮當您安裝憑證授權單位

  • 憑證授權單位 (CA) 的問題會使有 CA 電腦上重新安裝作業系統,以及所有您網站的發行新的憑證。思考這當您選取用於根 CA 安裝的伺服器。這可能是不同的電腦比虛擬伺服器的主機電腦。
  • 還原過時的系統狀態可能會導致 CA 的問題。
  • 從網域移除電腦中斷 CA。
  • CA 會連結到您的使用者名稱。這不是通常發生問題除了在安裝期間如果 辨別名稱] 方塊是空白的。不過,它可以是問題,如果您登入到網路上使用您網域的使用者名稱,即使虛擬伺服器主機電腦已經是網域中。辨別的名稱必須是可辨別的名稱的語法中的網域名稱系統 (DNS) 解析名稱。 例如: CN = Concours88 DN = northamerica DN = 公司 DC = Microsoft,DC = com。
  • 當您要求憑證時,可以手動空白欄位中輸入必要的資訊。

第 2 部份: 準備憑證要求

虛擬伺服器站台,在 [網際網路資訊服務 (IIS) 管理員] 嵌入式管理單元中準備憑證要求:
  1. 在虛擬伺服器] 主機電腦上啟動 [網際網路資訊服務 (IIS) 管理員] 嵌入式管理單元
  2. 瀏覽] 窗格中展開 Server_Name預設的網站虛擬伺服器 上, 按一下滑鼠右鍵,然後按一下 [內容]。
  3. 在 [目錄安全性] 索引標籤上按一下 [安全通訊] 下的 [伺服器憑證]。
  4. 在 「 IIS 憑證精靈 」 中,按一下 [下一步]。
  5. 按一下 [建立新的憑證,然後按一下 [下一步]。
  6. 按一下 [準備要求現在,但傳送它稍後,然後按一下 [下一步]。
  7. 鍵入您想要使用的名稱,或使用預設名稱。憑證的預設名稱是站台名稱,例如虛擬伺服器一樣的。
  8. 位元長度] 方塊按一下金鑰的長度為],然後再按一下 [下一步]。通常,您可以使用預設的位元長度值。
  9. 內部的憑證輸入您想要在方塊中的 組織組織單位] 方塊中使用名稱。

    比方說在 組織] 方塊中輸入您的組織名稱,並在 組織單位] 方塊鍵入您的部門名稱。第三方憑證有這些欄位的特定資料需求。這項資訊是由協力廠商 CA 所提供。
  10. 在 [一般名稱] 欄位輸入 [NetBIOS 名稱或 DNS 名稱]。

    附註一般名稱很重要,因為您必須決定您的站台的完整的名稱。您可以選擇 NetBIOS 名稱或 DNS 名稱。選取一個可讓您從 Microsoft Internet Explorer 發出連線可以使用其中一個名稱。不過,如果您使用不同於先前討論的一般名稱的名稱,您會收到警告訊息有關名稱不相符。在您的環境中使用最常使用的語法,以避免警告訊息。 這個警告訊息出現在一個視窗,但訊息並不會封鎖網站的存取。它並不重要您選擇 NetBIOS 名稱] 或 [DNS 名稱。
  11. 請輸入正確的國家/地區、 狀態及城市。
  12. 鍵入您要匯出憑證要求的檔案名稱。

第 3 部份: 要求憑證

  1. 在 Internet Explorer 中開啟 [憑證授權單位網頁]:
    http://localhost/certsrv
  2. 按一下 [選取工作,底下的 [要求憑證]。
  3. 要求憑證,] 下按一下 [進階的憑證要求,然後按一下 [提交已儲存的要求
  4. 安全性設定可能會防止您從這裡使用網頁連結。

    或者,從 C:\Certreq.txt 檔案複製所有文字。然後,將文字貼到 提交憑證要求] 或 [更新索取 頁上的 [已儲存的要求] 方塊中。憑證要求是文字檔案,包含您在步驟 1 中所輸入的資訊。 The certificate request is encoded the same as the following sample.
    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIIDTTCCArYCAQAwcjESMBAGA1UEAxMJZnVua3libHVlMRMwEQYDVQQLEwpEZXBh
    cnRtZW50MRkwFwYDVQQKHhAATwByAGcAXwBOAGEAbQBlMRIwEAYDVQQHEwlTdXF1
    YW1pc2gxCzAJBgNVBAgTAldhMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEF
    AAOBjQAwgYkCgYEApGI6rK3DjiUAfRYkqlw17AS1KGy15lg6X2miuEc6mz8aRLQ6
    cxnrIrXLMePT5rR5KhLw6TWO3HPfpIbqbgaN1FeAbLz0ByzX1P/nXee+zbSEn+4l
    1BTw4yfP4/0RySCqN5DwHNQD5zSpn9lGFs5UW0Tshr0/6zYRR6DbZgmfMMMCAwEA
    AaCCAZkwGgYKKwYBBAGCNw0CAzEMFgo1LjEuMjYwMC4yMHsGCisGAQQBgjcCAQ4x
    bTBrMA4GA1UdDwEB/wQEAwIE8DBEBgkqhkiG9w0BCQ8ENzA1MA4GCCqGSIb3DQMC
    AgIAgDAOBggqhkiG9w0DBAICAIAwBwYFKw4DAgcwCgYIKoZIhvcNAwcwEwYDVR0l
    BAwwCgYIKwYBBQUHAwEwgf0GCisGAQQBgjcNAgIxge4wgesCAQEeWgBNAGkAYwBy
    AG8AcwBvAGYAdAAgAFIAUwBBACAAUwBDAGgAYQBuAG4AZQBsACAAQwByAHkAcAB0
    AG8AZwByAGEAcABoAGkAYwAgAFAAcgBvAHYAaQBkAGUAcgOBiQCTSR8dKSviOwRX
    JreaBSjJpgw7jnoQI1mvgJv5aE+B7F+M47mrA4bWgM5NorJyuRzmkb4g8FCer7hy
    i1PyFYlDClz6oZvzFQROnEKiSGuE3nTv28Ver/l2weSa05PCRKpKfP3Ku5WjFh4N
    DyMjcobcdODHAW2jyhmeb4T5jiiyFQAAAAAAAAAAMA0GCSqGSIb3DQEBBQUAA4GB
    ACJ6OT9VeyKfPYFzkHATgGiJ8KVHGQuxE70r1W2wCvpWCLRfjhxzgoc3I84ddS2o
    9QQDoU4P4CIp9Lw89x0jJtI2PD+xVmRdz7Trkl0lKB17nfVcnDXXwygm6PUUy/52
    PXkXU6RggFy1m28khilKK8uXBfHLyRrK8W3zyygiJMgV
    -----END NEW CERTIFICATE REQUEST-----
  5. 按一下 [送出]。

    重要如果想讓多個提交最好確切順序中送出中的要求的文件。可能沒有方法可以識別從憑證匯出頁憑證,當您匯出憑證,稍後在此程序。 這是因為顯示名稱不是可用於任何 IIS 憑證服務 」 網頁或在 [憑證授權單位] 嵌入式管理單元中。
  6. 將 「 憑證服務 」 網站保持開啟狀態,以進行第 5 部分。

第 4 部份: 問題憑證

  1. 在 [系統管理工具啟動 [憑證授權單位] 嵌入式管理單元。
  2. 在左窗格中展開 CA_name,] 然後按一下 [擱置要求]。
  3. 在右窗格中以滑鼠右鍵按一下您的要求,並指向 [所有工作],然後按一下 [發行

    這核准要求。憑證狀態會變更從擱置為發行者。

第 5 部分: 匯出憑證

回到 [憑證授權單位網頁] 頁面,然後再將憑證匯出。
  1. 在 [選取工作,按一下 [檢視擱置的憑證要求狀態]。

    附註 您只有一個執行這項操作的機率。如果您按一下 [下載 CA 憑證],您可以選擇要從電腦通常是從根 CA 所安裝的憑證。您不能選擇要從所核准和所要求的憑證。 而且,如果有多個憑證可用,您可能無法識別憑證。 即使 [憑證授權單位] 嵌入式管理單元可能不會顯示有用的資訊,讓您決定屬於要求的憑證。
  2. 在 [憑證已發出],按一下 [Base 64 編碼]。
  3. 按一下 [下載憑證,然後將儲存在本機的憑證。

部分 6: 匯入憑證

  1. 在虛擬伺服器] 主機電腦上啟動 [網際網路資訊服務 (IIS) 管理員] 嵌入式管理單元。
  2. 在瀏覽] 窗格中展開 Server_Name,] 然後以滑鼠右鍵按一下 虛擬伺服器預設的網站]。然後,按一下 [內容]。
  3. 在 [目錄安全性] 索引標籤上按一下 [安全通訊] 下的 [伺服器憑證]。
  4. 在 [目錄安全性] 索引標籤上按一下 [伺服器憑證]。
  5. 按一下 [處理擱置要求及安裝憑證]。然後,請按一下 [下一步]。
  6. 使用您所做先前以尋找並選取符合要求的憑證的筆記。
  7. 使用預設的連接埠值 443。
  8. 完成精靈。
  9. 如果您成功 檢視憑證] 選項會顯示在 [伺服器憑證 下在 [目錄安全 設定] 索引標籤上。

部分 7: 選擇性 post-certificate 步驟

  1. 停用虛擬伺服器網站的匿名存取:
    1. 開啟 [網際網路資訊服務 (IIS) 管理員嵌入式管理單元中的 [虛擬伺服器的站台內容或預設網站內容]。
    2. 在 [目錄安全性] 索引標籤上, 按一下 [匿名存取及驗證控制] 下的 [編輯]。
    3. 按一下以清除 [匿名存取] 核取方塊。
    4. 按一下 [確定] 兩次,然後結束 [網際網路資訊服務 (IIS) 管理員] 嵌入式管理單元。
  2. 需要 SSL 及 128 位元加密:
    1. 開啟 [網際網路資訊服務 (IIS) 管理員嵌入式管理單元中的 [虛擬伺服器的站台內容或預設網站內容]。
    2. 在 [目錄安全性] 索引標籤上, 按一下 [安全通訊] 下的 [編輯]。
    3. 按一下以選取 [需要 SSL 及 128 位元加密
    4. 按一下 [確定] 兩次,然後結束 [網際網路資訊服務 (IIS) 管理員] 嵌入式管理單元。
  3. 在 [網站] 索引標籤在虛擬伺服器的站台內容或預設網站內容,在 [網際網路資訊服務 (IIS) 管理員] 嵌入式管理單元新增連接埠 443。

疑難排解

  • 如果您無法完成這些程序,重新啟動。 在 [網際網路資訊服務 (IIS) 管理員] 嵌入式管理單元開啟虛擬伺服器的站台內容] 或 [預設網站的內容,按一下 [目錄安全性] 索引標籤,並再次啟動精靈。 其中一個兩個頁面隨即出現。一個頁面說明憑證已安裝。此頁面提供移除或取代憑證的選項。[其他] 頁面可讓您將憑證匯入從擱置的要求。這個頁面也可以讓您取消要求。可以取消要求,並重新開始。
  • 如果您收到錯誤訊息,指出憑證不符要求,這可能表示您忘記按一下 Base 64 編碼] 選項,當您從憑證授權單位網頁匯出憑證。取消此要求,然後重新提交要求。
  • 如果您收到錯誤訊息,指出已安裝憑證,可能有按代替 檢視擱置的憑證要求狀態 的 [下載 CA 憑證

屬性

文章編號: 887490 - 上次校閱: 2007年11月2日 - 版次: 1.2
這篇文章中的資訊適用於:
  • Microsoft Virtual Server 2005 Standard Edition
關鍵字:?
kbmt kbcertservices kbhowtomaster KB887490 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:887490
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com