Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Làm thế nào để lập trình cài đặt giấy chứng nhận SSL cho Internet Information Server (IIS)

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:313624
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
Quan trọng Bài viết này chứa thông tin về chỉnh sửa metabase. Trước khi bạn chỉnh sửa metabase, kiểm chứng rằng bạn có một sao lưu mà bạn có thể Khôi phục lại nếu một vấn đề xảy ra. Để có thông tin về làm thế nào để làm điều này, xem các Chủ điểm trợ giúp "Cấu hình sao lưu/khôi phục lại" trong Microsoft Management Console (MMC).
TÓM TẮT

Bài từng bước này mô tả làm thế nào để lập trình tạo và sau đó cài đặt Secure Sockets Layer (SSL) giấy chứng nhận cho Internet Information Server (IIS). Trong khi IIS Phiên bản 4.0 và IIS Phiên bản 5.0 mỗi cung cấp một giao diện người dùng (UI) để bạn có thể tạo và sau đó đến cài đặt máy chủ SSL giấy chứng nhận, bạn cũng có thể hoàn tất tác vụ lập trình.

Quay lại các đầu trang

Các bước để tạo ra và sau đó cài đặt giấy chứng nhận SSL

Để lập trình tạo ra và sau đó cài đặt giấy chứng nhận SSL IIS máy chủ, hãy theo các bước sau:
 1. Bạn phải gửi một yêu cầu cho các cơ quan cấp giấy chứng nhận để vấn đề một chứng chỉ máy chủ. Nếu bạn đã có chứng chỉ, và sau đó bạn lưu nó trong tập tin trên máy chủ IIS, Đừng gửi yêu cầu.
 2. Chuyển nhập chứng chỉ để chứng chỉ thích hợp cửa hàng.
 3. Cấu hình IIS để sử dụng chứng chỉ mà bạn nhận được vào Bước 1.

Quay lại các đầu trang

Cấu hình IIS để tạo ra, và sau đó cài đặt SSL chứng nhận

Cảnh báo Nếu bạn chỉnh sửa metabase không chính xác, bạn có thể gây ra nghiêm trọng vấn đề mà có thể yêu cầu bạn phải cài đặt lại bất kỳ sản phẩm có sử dụng metabase. Microsoft không thể đảm bảo rằng những vấn đề gây ra nếu bạn không chính xác söûa metabase có thể được giải quyết. Chỉnh sửa metabase nguy cơ của riêng bạn.

Chú ý Luôn luôn sao lưu metabase trước khi bạn chỉnh sửa nó. Làm theo các bước sau để cấu hình IIS để tạo ra và sau đó đến cài đặt giấy chứng nhận SSL:
 1. Sử dụng Microsoft Windows Crypto API để có được các Candybất động sản của chứng chỉ.
 2. Bạn phải thiết lập các tài sản IIS metabase, SSLCertHash, với giá trị của các Candy.
 3. Bạn phải thiết lập các tài sản IIS metabase, SSLStoreName, cửa hàng mà bạn muốn sử dụng.
Xem các đoạn bài viết cho mẫu mã để có được một Candy chứng chỉ, và sau đó để có được các SSLCertHash bất động sản:
C mã để có được Candy của một Chứng chỉ máy chủ xác thực
C mã để tham gia bất động sản SSLCertHash vào việc Metabase

Quay lại các đầu trang

Các bước để cho phép SSL trên một trang Web cụ thể

Sau khi bạn thực hiện các bước trong các "cấu hình IIS để tạo và Sau đó, để cài đặt giấy chứng nhận SSL"phần, sau đó bạn có thể bật SSL trên một Trang web cụ thể hoặc trong một thư mục cụ thể. Để làm điều này, bạn phải cho phép SSL tùy chọn trong thư mục mà bạn muốn sử dụng. Các bước sau đây tương ứng với mỗi bước được vạch ra trong phần "Cấu hình IIS để tạo ra và sau đó để cài đặt SSL Certificates":
 1. Khi bạn gọi các CEnroll::createPKCS10() phương pháp, yêu cầu chứng chỉ được tạo ra. Thiết lập cách sử dụng giá trị được xác định trước sau đây: szOID_PKIX_KP_SERVER_AUTH:
  #define szOID_PKIX_KP_SERVER_AUTH    "1.3.6.1.5.5.7.3.1"		
 2. Khi bạn gọi các ICertRequest::Submit) phương pháp, một yêu cầu chứng chỉ được gửi đến các chứng nhận authority.
 3. Chứng chỉ được lấy từ các chứng nhận thẩm quyền, và sau đó nó được cài đặt trong các cửa hàng thích hợp. IIS Server Giấy chứng nhận thuật sĩ sẽ chỉ cho giấy chứng nhận rằng nó có thể sử dụng cho máy chủ xác thực trong kho chứng chỉ máy tính cục bộ.


Quay lại các đầu trang

Các bước để cấu hình IIS

Sau khi bạn tiết kiệm giấy chứng nhận cho các cửa hàng, bạn phải cấu hình IIS như sau:
 1. Sử dụng các CertGetCertificateContextProperty()phương pháp để có được các giá trị của các Candy bất động sản và các CERT_HASH_PROP_ID bất động sản. Các CertGetCertificateContextProperty() chức năng sử dụng các CryptHashCertificate() phương pháp để tính toán giá trị cho các CERT_HASH_PROP_ID bất động sản. Nếu giá trị BĂM không tồn tại, CertGetCertificateContextProperty() trả về các SHA1 thuật toán.
 2. Bạn cần phải tạo một tài sản mới metabase nhị phân, SSLCertHash, mà tương ứng với các trang Web. Thiết lập SSLCertHash để chứng chỉ Candy rằng bạn có được trong bước 1 của phần này. Khi vấn đề này xảy ra, các giản đồ không chính xác xác định các SSLCertHash bất động sản như là một mở rộng null ngắt chuỗi, thay vì dữ liệu nhị phân, và sau đó bạn không thể sử dụng các đối tượng Admin IIS để chuyển nhập SSLCertHash. Bạn có thể sử dụng chỉ IIS Admin cơ sở đối tượng nhập giá trị này. Để sử dụng SSLCertHash với các đối tượng cơ sở Admin IIS, bạn phải sử dụng giá trị thập phân, 5506.
 3. Bạn cần phải tạo một chuỗi mới metabase tài sản, SSLStoreName, cho các trang Web tương ứng. Thiết lập SSLStoreName để các chuỗi CỦA TÔI giá trị. Bạn có thể thiết lập một trong hai SSLStoreName thông qua các đối tượng Admin IIS (ví dụ, trong kịch bản ADSI) hoặc thông qua IIS Admin Base các đối tượng. Để sử dụng SSLStoreName với các đối tượng cơ bản IIS Admin, sử dụng giá trị thập phân, 5511.


Quay lại các đầu trang

C mã để có được Candy một chứng chỉ xác thực

Sau mẫu Microsoft C Mã mô tả làm thế nào để có được các Candy tài sản của một chứng chỉ máy chủ xác thực:
#include <stdio.h>#include <windows.h>#include <wincrypt.h>#define MY_TYPE (PKCS_7_ASN_ENCODING | X509_ASN_ENCODING)//--------------------------------------------------------------------//  Define the name of the store where the needed certificate//  can be found. #define CERT_STORE_NAME L"MY"//--------------------------------------------------------------------//  Declare local functions.//  Local function definitions follow main.void HandleError(char *s);void main(void){//--------------------------------------------------------------------// Declare and initialize local variables. // This includes initializing a pointer to the message. // Usually, the message will exist somewhere and a pointer will// be passed to the application.//--------------------------------------------------------------------// System store handleHCERTSTORE hStoreHandle;  //--------------------------------------------------------------------// Pointer to a certificatePCCERT_CONTEXT pCert;PCCERT_CONTEXT pPrevCert; LPBYTE pEncodedBytes = NULL;LPBYTE pHash;DWORD cbData, i;//--------------------------------------------------------------------// Open a certificate store.if ( !( hStoreHandle = CertOpenStore(  CERT_STORE_PROV_SYSTEM,  0,  NULL,  CERT_SYSTEM_STORE_LOCAL_MACHINE,  CERT_STORE_NAME))){   HandleError("The MY store could not be opened.");}pPrevCert = NULL;for (; ((pCert = CertEnumCertificatesInStore(hStoreHandle, pPrevCert)) 	                     != NULL);  pPrevCert = pCert){  CERT_ENHKEY_USAGE *pKeyUsage;  DWORD j, nLen;  BOOL bFound = FALSE;  char certName[1024];  nLen = sizeof(certName);  certName[0] = 0;  if (CertNameToStr(MY_TYPE, &(pCert->pCertInfo->Subject),    CERT_X500_NAME_STR,    certName,    sizeof(certName)))  {    printf("Checking %s certificate\n", certName);  }  cbData = 0;  if (!CertGetEnhancedKeyUsage(pCert,    0,    NULL,    &cbData) || cbData == 0)  {    if (GetLastError() == CRYPT_E_NOT_FOUND)    {      printf("%s certificate is for all key usages\n", certName);      break;    }    else      printf("CertGetEnhancedKeyUsage failed with error code : %08X\n",        GetLastError());  }  pKeyUsage = (CERT_ENHKEY_USAGE *)    HeapAlloc(GetProcessHeap(), 0, cbData);  if (pKeyUsage == NULL)  {    printf("HeapAlloc failed with error code : %08X\n",      GetLastError());    HandleError("Certificate not found.");  }  if (!CertGetEnhancedKeyUsage(pCert,    0,    pKeyUsage,    &cbData))  {    if (GetLastError() == CRYPT_E_NOT_FOUND)    {      printf("%s certificate is for all key usages\n", certName);      HeapFree(GetProcessHeap(), 0, pKeyUsage);      break;    }    else    {      printf("CertGetEnhancedKeyUsage failed with error code : %08X\n",        GetLastError());      HeapFree(GetProcessHeap(), 0, pKeyUsage);      continue;    }  }  if (pKeyUsage->cUsageIdentifier == 0)  {    printf("%s certificate is for all key usages\n", certName);    HeapFree(GetProcessHeap(), 0, pKeyUsage);    break;  }  bFound = FALSE;  for (j = 0; j < pKeyUsage->cUsageIdentifier; j++)  {    if (strcmpi(pKeyUsage->rgpszUsageIdentifier[j], 			    szOID_PKIX_KP_SERVER_AUTH) == 0)    {      printf("%s certificate is for Server Authentication\n", 				  certName);      bFound = TRUE;      break;    }  }  HeapFree(GetProcessHeap(), 0, pKeyUsage);  if (bFound)    break;}if (pCert == NULL)  HandleError("Certificate not found.");if (pPrevCert){  CertFreeCertificateContext(pPrevCert);  pPrevCert = NULL;}/// CASE 2 Get the hash from the certificatepHash = NULL;cbData = 0;CertGetCertificateContextProperty(pCert, CERT_HASH_PROP_ID, NULL, &cbData);if (cbData == 0){  HandleError("CertGetCertificateContextProperty 1 failed");}pHash = (LPBYTE)HeapAlloc(GetProcessHeap(), 0, cbData);if (pHash == NULL){  HandleError("HeapAlloc failed");}if (!CertGetCertificateContextProperty(pCert, CERT_HASH_PROP_ID, pHash, 	                  &cbData)){  HandleError("CertGetCertificateContextProperty 2 failed");}printf("CERT_HASH_PROP_ID Length is %d\n", cbData);printf("CERT_HASH_PROP_ID BYTES [", cbData);for (i = 0; i < cbData; i++){  printf("%02X", pHash[i]);}printf("]\n");//--------------------------------------------------------------------// Clean up and free memory.if (pEncodedBytes)  HeapFree(GetProcessHeap(), 0, pEncodedBytes);if (pHash)  HeapFree(GetProcessHeap(), 0, pHash);if(pCert)   CertFreeCertificateContext(pCert);if(CertCloseStore(   hStoreHandle,    CERT_CLOSE_STORE_CHECK_FLAG)){  printf("The store closed and all certificates are freed. \n");}else{  printf("Store closed -- \n"     "not all certificates, CRLs or CTLs were freed");}} // End of main//--------------------------------------------------------------------// This example uses the function HandleError, a simple error// handling function, to print an error message to the standard error // (stderr) file and exit the program. // For most applications, replace this function with one // that does more extensive error reporting.void HandleError(char *s){  fprintf(stderr,"An error occurred in running the program. \n");  fprintf(stderr,"%s\n",s);  fprintf(stderr, "Error number %x.\n", GetLastError());  fprintf(stderr, "Program terminating. \n");  exit(1);} // End of HandleError


Quay lại các đầu trang

C mã để tham gia bất động sản SSLCertHash vào việc Metabase

Mẫu mã sau đây mô tả làm thế nào để sử dụng căn cứ Admin IIS các đối tượng để thiết lập các SSLCertHash phương pháp trong metabase. Các mã sau đây sử dụng một tùy ý nhị phân mảng như một chứng chỉ Candy. Mã thực tế sẽ sử dụng các Candy giá trị mà bạn có được khi bạn chạy mã các "xin việc Candy một chứng chỉ xác thực máy chủ"phần. Tùy thuộc vào cách bạn xác định các SetData phương pháp biên dịch lúc, bạn có thể thiết lập một trong hai SSLCertHash, hoặc, nếu bạn đã cấu hình SSL cho trang Web, bạn có thể lấy các SSLCertHash mà tồn tại. SSLCertHash phương pháp trở về hiện tại CertHash:
#define UNICODE // unicode must be defined for Metabase access#define INITGUID #include <windows.h>#include <httpfilt.h>#include <stdio.h> #define SETDATA#include <iadmw.h>  // COM Interface header #include <iiscnfg.h> // MD_ & IIS_MD_ #defines extern "C" wmain (int argc, TCHAR ** argv){ 	IMSAdminBase *pIMeta; 	METADATA_HANDLE MyHandle;   HRESULT hres;  	METADATA_RECORD record = {0};  TCHAR szError [2048];	BYTE *myData=NULL;  DWORD dwSize = sizeof (record); 	DWORD i;	// this just a sample of some thumbprint	BYTE bar[]={0x24, 0xC6, 0xBA, 0xBB, 0x81, 0x76, 0x05, 0xC9, 0xC3, 		    0x97, 0x6D, 0x4D, 0xEB, 0x85, 0x8F, 0x4F, 0xBF, 0x38,				0xFD};      CoInitialize (NULL);    // get a pointer to the IIS Admin Base Object	hres = CoCreateInstance(CLSID_MSAdminBase, NULL, CLSCTX_ALL, 			IID_IMSAdminBase, (void **) &pIMeta); 	if (FAILED(hres)) 	{	  wsprintf (szError, L"CoCreateInstance Failed. Error: %x\n", hres);    printf ("%S\n", szError);		CoUninitialize();    return TRUE; 	}    // for this test use only 1st server instance  hres = pIMeta->OpenKey(METADATA_MASTER_ROOT_HANDLE, L"/LM", 		METADATA_PERMISSION_READ|METADATA_PERMISSION_WRITE, 20, &MyHandle); 	if (FAILED (hres) )	{		wsprintf (szError, L"OpenKey Failed. Error: %x\n", hres);    printf ("%S\n", szError);		goto clean;	}  	// SSLCertHash = 5506	record.dwMDIdentifier = 5506;  record.dwMDAttributes =METADATA_INHERIT;  record.dwMDUserType=IIS_MD_UT_SERVER;  record.dwMDDataType= BINARY_METADATA;  record.pbMDData = (unsigned char *) myData;#ifndef SETDATA#pragma message ("Building for GetData\n")  	again:  hres = pIMeta->GetData (MyHandle,argv[1], &record, &dwSize);  	if (FAILED (hres) )	{		if (hres == MD_ERROR_DATA_NOT_FOUND)		{			printf ("%S\n", L"Data not found, no certificate is set!");			goto clean;		}		else if (HRESULT_CODE(hres)==ERROR_INSUFFICIENT_BUFFER)		{			record.dwMDDataLen=dwSize;			myData = (LPBYTE)HeapAlloc(GetProcessHeap(), 0, dwSize);			record.pbMDData = (unsigned char *)myData;		  goto again;		}		else 		{			wsprintf (szError, L"GetData Failed. Error: %x\n", hres);			printf ("%S\n", szError);			goto clean;;		}	}	printf ("%S", L"Got thumbprint. You can compare" 		     L" it with the MMC for IIS value:\n");		for ( i=0; i<(record.dwMDDataLen/sizeof (BYTE)); i++)				printf ("%2X ", myData[i]); 	HeapFree(GetProcessHeap(), 0, myData);#else#pragma message ("Building for SetData\n")		record.pbMDData = bar;	record.dwMDDataLen = 19; // in real code it should be the size                          // of the thumbprint buffer	hres = pIMeta->SetData (MyHandle,argv[1], &record);	if (FAILED (hres) )	{		printf ("Set data failed: 0x%x!\n", hres);		goto clean;	}	else		printf ("New thumbprint is set\n");#endifclean:	pIMeta->CloseKey(MyHandle); 	pIMeta->SaveData();	pIMeta->Release();	CoUninitialize();	return 1;}


Quay lại các đầu trang
THAM KHẢO
Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
315588Làm thế nào để bảo đảm một ASP.NET ứng dụng bằng cách sử dụng giấy chứng nhận phía khách hàng

Quay lại các đầu trang

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 313624 - Xem lại Lần cuối: 12/07/2015 08:14:57 - Bản sửa đổi: 2.0

Microsoft Internet Information Services 5.0

 • kbnosurvey kbarchive kbcrypt kbapi kbhowtomaster kbsecurity kbisapiext kbhowto kbmt KB313624 KbMtvi
Phản hồi