为在 IIS 中与网站交互的所有客户启用 SSL

项目
03/22/2024

本文介绍如何为在 IIS) 中与网站交互的所有客户启用安全套接字层 Microsoft Internet Information Services ( (SSL) 。

原始产品版本： Internet 信息服务
原始 KB 编号： 298805

摘要

本文包含以下主题：

如何设置和启用服务器证书，以便你的客户可以确保你的网站有效，并且他们发送给你的任何信息都保持私密和机密。
如何使用第三方证书启用安全套接字层 (SSL) ，以及用于生成证书签名请求 (CSR) （用于获取第三方证书）的过程的一般概述。
如何为网站启用 SSL 连接。
如何对所有连接强制实施 SSL，并在客户端和网站之间设置所需的加密长度。

可以使用 Web 服务器的 SSL 安全功能进行两种类型的身份验证。可以使用服务器证书来允许用户在传输个人信息（如信用卡号）之前对网站进行身份验证。此外，可以使用 客户端证书 对请求网站上的信息的用户进行身份验证。

本文假设你将使用第三方证书颁发机构 (CA) 为 Web 服务器提供身份验证。

若要启用 SSL 服务器证书验证，并提供客户所需的安全级别，应从第三方 CA 获取证书。第三方 CA 颁发给组织的证书通常绑定到 Web 服务器，更具体地说是绑定到 SSL 的网站。可以使用 IIS 服务器创建自己的证书，但如果这样做，客户端必须隐式信任你作为证书颁发机构。

本文假定存在以下情况：

已安装 IIS。
你已创建并发布了希望使用 SSL 保护的网站。

获取证书

若要开始获取证书的过程，必须生成 CSR。通过 IIS 管理控制台执行此操作;因此，必须先安装 IIS，然后才能生成 CSR。 CSR 基本上是在服务器上生成的证书，用于在向第三方 CA 请求证书时验证有关服务器的计算机特定信息。 CSR 只是使用公钥/私钥对加密的加密文本消息。

通常，有关计算机的以下信息包含在生成的 CSR 中：

组织
部门
国家/地区
省/自治区/直辖市
城市/地区
公用名

注意

公用名通常由主计算机名称和它所属的域（例如 xyz.com）组成。在这种情况下，计算机是.com域的一部分，名为 XYZ。这可能是公司域的根服务器，也可以是网站。

生成 CSR

(MMC) 访问 IIS Microsoft 管理控制台。为此，请右键单击“ 我的电脑 ”，然后选择“ 管理”。这会打开计算机管理控制台。展开 “服务和应用程序” 部分。找到 IIS 并展开 IIS 控制台。
选择要安装服务器证书的特定网站。右键单击站点，然后选择“属性”。
选择“ 目录安全性 ”选项卡。在“ 安全通信 ”部分中，选择“ 服务器证书”。这会启动 Web 服务器证书向导。选择“下一步”。
选择 “创建新证书 ”，然后选择“ 下一步”。
选择“ 立即准备请求，但稍后发送”，然后选择“ 下一步”。
在 “名称” 字段中，输入可以记住的名称。它将默认为要为其生成 CSR 的网站的名称。

注意

生成 CSR 时，需要指定位长度。加密密钥的位长度决定了发送到第三方 CA 的加密证书的强度。位长度越高，加密越强。大多数第三方 CA 首选至少 1024 位。
在“ 组织信息 ”部分中，输入组织和组织单位信息。这必须准确，因为你向第三方 CA 提供这些凭据，并且必须遵守其证书许可。选择“ 下一步 ”以访问 “您的网站的公用名 ”部分。
“站点的公用名”部分负责将证书绑定到网站。对于 SSL 证书，请输入带有域名的主机名称。对于 Intranet 服务器，可以使用托管站点的计算机的 NetBIOS 名称。选择“ 下一步 ”以访问地理信息。
输入你的国家或地区、省/自治区/直辖市或地区信息。完全拼写出你的州、省、市或地区。不要使用缩写。选择“下一步”。
将文件另存为 .txt 文件。
确认请求详细信息。选择“ 下一步 ”完成操作，然后退出“Web 服务器证书向导”。

请求证书

可通过不同的方法提交请求。请联系所选的证书提供程序，了解要使用的方法，并确定满足需求的最佳证书级别。根据为向 CA 发送请求而选择的方法，可以从生成 CSR 部分的步骤 10 发送 CSR 文件，或者可能需要将此文件的内容粘贴到请求中。此文件将加密，并包含内容的页眉和页脚。请求证书时，必须同时包含页眉和页脚。 CSR 应如下所示：

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

安装证书

第三方 CA 完成服务器证书请求后，你将通过电子邮件或下载站点收到它。必须在要提供安全通信的网站上安装证书。

若要安装证书，请执行以下步骤：

将从 CA 获取的证书下载或复制到 Web 服务器。
按照 生成 CSR 部分中所述打开 IIS MMC。
访问要安装证书的网站的“ 属性 ”对话框。
选择“ 目录安全性 ”选项卡，然后选择“ 服务器证书”。这会启动 Web 服务器证书向导。选择“下一步”。
选择“ 处理挂起的请求”并安装证书，然后选择“ 下一步”。
浏览到在步骤 1 中保存的证书的位置。选择 “下一步 ”两次，然后选择“ 完成”。

强制实施 SSL 连接

安装服务器证书后，可以强制与 Web 服务器的客户端进行 SSL 安全通道通信。首先，需要启用端口 443，以便与网站进行安全通信。为此，请按照下列步骤操作：

在计算机管理控制台中，右键单击要对其强制实施 SSL 的网站，然后选择“属性”。
选择“ 网站 ”选项卡。在“网站标识 ”部分中，验证“SSL 端口”字段是否填充了数值 443。
选择“高级”。应会看到两个字段。网站的 IP 地址和端口应已在此网站的 “多个标识” 字段中列出。在“此网站的 多个 SSL 标识” 字段下，选择“如果端口 443 尚未列出，则添加 ”。选择服务器的 IP 地址，并在“SSL 端口”字段中键入数值 443 。选择“确定”。

启用端口 443 后，可以强制实施 SSL 连接。为此，请按照下列步骤操作：

选择“ 目录安全性 ”选项卡。在 “安全通信 ”部分中， “编辑” 现已可用。选择“编辑”。
选择“ 需要安全通道 (SSL) ”。

注意

如果指定 128 位加密，则使用 40 位或 56 位强度浏览器的客户端将无法与站点通信，除非它们升级其加密强度。
打开浏览器，尝试使用标准 http:// 协议连接到 Web 服务器。如果强制实施 SSL，则会收到以下错误消息：

必须通过安全通道查看页面
您尝试查看的页面需要在地址中使用“https”。
请尝试以下操作：在尝试访问的地址的开头键入 https://，重试。 HTTP 403.4 - 禁止访问：需要 SSL 的 Internet 信息服务
支持人员的技术信息 () 后台：此错误指示你尝试访问的页面使用安全套接字层 (SSL) 进行保护。

现在，只能使用 https:// 协议连接到网站。