為在 IIS 中與您的網站互動的所有客戶啟用 SSL

  • 發行項

本文說明如何為在 #D44EE6BD2465A4DA3A6DCF4282ED696C7 (IIS) 中與您的網站互動的所有客戶啟用安全套接字層 (SSL) 。

原始產品版本: Internet Information Services
原始 KB 編號: 298805

摘要

本文包含下列主題:

  • 如何設定和啟用伺服器證書,讓您的客戶可以確定您的網站有效,而且他們傳送給您的任何信息都會保持私人和機密。
  • 如何使用第三方憑證來啟用安全套接字層 (SSL) ,以及用來產生憑證簽署要求 (CSR) 程式的一般概觀,以用來取得第三方憑證。
  • 如何為您的網站啟用 SSL 連線。
  • 如何針對所有連線強制執行 SSL,以及設定用戶端與網站之間的必要加密長度。

您可以使用網頁伺服器的 SSL 安全性功能進行兩種類型的驗證。 您可以使用 伺服器證書 ,允許使用者在傳輸個人資訊之前驗證您的網站,例如信用卡號碼。 此外,您可以使用 用戶端憑證 來驗證要求您網站上資訊的使用者。

本文假設您將使用第三方證書頒發機構單位 (CA) 為您的 Web 伺服器提供驗證。

若要啟用 SSL 伺服器證書驗證,並提供客戶想要的安全性層級,您應該從第三方 CA 取得憑證。 第三方 CA 簽發給貴組織的憑證通常會系結至 Web 伺服器,更具體地說,會系結至您要繫結 SSL 的網站。 您可以使用 IIS 伺服器建立自己的憑證,但如果您這樣做,客戶端必須隱含信任您作為證書頒發機構單位。

本文假設如下:

  • 您已安裝 IIS。
  • 您已建立併發佈想要使用 SSL 保護的網站。

取得憑證

若要開始取得憑證的程式,您必須產生 CSR。 您可以透過 IIS 管理主控台來執行這項操作;因此,您必須先安裝 IIS,才能產生 CSR。 CSR 基本上是您在伺服器上產生的憑證,當您向第三方 CA 要求憑證時,會驗證伺服器的計算機特定資訊。 CSR 只是使用公開/私鑰組加密的加密簡訊。

一般而言,您所產生的 CSR 中會包含下列有關您計算機的資訊:

  • Organization
  • 組織單位
  • 國家/地區
  • 州/省
  • 城市/地區
  • 一般名稱

注意事項

一般名稱通常由您的主計算機名稱及其所屬的網域組成,例如 xyz.com。 在此情況下,計算機是.com網域的一部分,並命名為 XYZ。 這可能是您公司網域的根伺服器,或只是網站。

產生 CSR

  1. 存取 IIS Microsoft Management Console (MMC) 。 若要這樣做,請以滑鼠右鍵按兩下 [我的計算機] ,然後選取 [ 管理]。 這會開啟電腦管理主控台。 展開 [ 服務和應用程式] 區段。 找出 IIS 並展開 IIS 控制台。

  2. 選取您要在其中安裝伺服器證書的特定網站。 以滑鼠右鍵按兩下網站,然後選取 [ 屬性]

  3. 選取 [ 目錄安全性] 索引 標籤。在 [ 安全通訊] 區段中,選取 [ 伺服器證書]。 這會啟動 [Web 伺服器證書精靈]。 選取 [下一步]

  4. 取 [建立新憑證 ],然後選取 [ 下一步]

  5. 取 [立即準備要求],但稍後再傳送,然後選取 [ 下一步]

  6. 在 [ 名稱] 欄位 中,輸入您可以記住的名稱。 它會預設為您要產生 CSR 的網站名稱。

    注意事項

    當您產生 CSR 時,必須指定位長度。 加密金鑰的位長度會決定您傳送至第三方 CA 的加密憑證強度。 位長度越高,加密就越強。 大部分的第三方 CA 偏好至少 1024 位。

  7. 在 [ 組織資訊] 區段中,輸入您的組織和組織單位資訊。 這必須正確,因為您要向第三方 CA 出示這些認證,而且您必須遵守憑證的授權。 選取 [下一步 ] 以存取 您網站的 [一般名稱] 區段。

  8. 您的網站的 [一般名稱] 區段負責將憑證系結至您的網站。 針對 SSL 憑證,輸入具有功能變數名稱的主計算機名稱。 針對內部網路伺服器,您可以使用裝載網站之計算機的 NetBIOS 名稱。 選取 [下一步 ] 以存取地理資訊。

  9. 輸入您的國家或地區、州或省,以及城市或地區資訊。 完整拼寫您的州或省、市或地區。 而且請勿使用縮寫。 選取 [下一步]

  10. 將檔案儲存為 .txt 檔。

  11. 確認您的要求詳細數據。 選取 [下一步 ] 以完成,然後結束 [Web 伺服器證書精靈]。

要求憑證

提交要求的方法不同。 請連絡您選擇的憑證提供者,以取得要使用 的方法,並判斷符合您需求的最佳憑證層級。 根據選擇將要求傳送至 CA 的方法,您可以從產生 CSR 一節中的步驟 10 傳送 CSR 檔案,或者您可能必須將此檔案的內容貼到要求中。 此檔案將會加密,並包含頁首和頁尾內容。 當您要求憑證時,必須同時包含頁首和頁尾。 您的 CSR 應該如下所示:

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

安裝憑證

一旦第三方 CA 完成伺服器證書的要求,您將會透過電子郵件或下載網站收到該憑證。 憑證必須安裝在您要提供安全通訊的網站上。

若要安裝憑證,請遵循下列步驟:

  1. 將您從 CA 取得的憑證下載或複製到 Web 伺服器。
  2. 開啟 IIS MMC,如 產生 CSR 一 節中所述。
  3. 存取您要安裝憑證之網站的 [ 內容 ] 對話框。
  4. 選取 [ 目錄安全性] 索引標籤,然後選取 [ 伺服器證書]。 這會啟動 [Web 伺服器證書精靈]。 選取 [下一步]
  5. 取 [處理擱置的要求] 並安裝憑證,然後選取 [ 下一步]
  6. 流覽至您在步驟 1 中儲存的憑證位置。 選取 [下一步 ] 兩次,然後選取 [ 完成]

強制執行 SSL 連線

現在已安裝伺服器證書,您可以強制執行與 Web 伺服器用戶端的 SSL 安全通道通訊。 首先,您必須啟用埠 443,才能與網站進行安全通訊。 如果要執行這項操作,請依照下列步驟執行:

  1. 在 [計算機管理] 控制台中,以滑鼠右鍵按下您要強制執行 SSL 的網站,然後選取 [ 內容]
  2. 選取 [ 網站] 索引標籤 。在 [網站 識別 ] 區段中,確認 [SSL 埠] 字段已填入數值 443。
  3. 選取 [進階]。 您應該會看到兩個字段。 網站的IP位址和埠應該已經列在此網站的 [多個身 分識別] 欄位中。 在此網站的 [多個 SSL 身分識別] 字段下,選取 [如果埠 443 尚未列出,則選取 [ 新增 ]。 選取伺服器的IP位址,然後在[SSL 埠] 字段中輸入數值 443 。 選取 [確定]

現在已啟用埠 443,您可以強制執行 SSL 連線。 如果要執行這項操作,請依照下列步驟執行:

  1. 選取 [ 目錄安全性] 索引 標籤。在 [ 安全通訊] 區段中,[ 編輯 ] 現已可供使用。 選取 [編輯]

  2. 選取 [需要安全通道 (SSL) ] 。

    注意事項

    如果您指定 128 位加密,使用 40 位或 56 位強度瀏覽器的用戶端將無法與您的網站通訊,除非他們升級其加密強度。

  3. 開啟瀏覽器,並嘗試使用標準 http:// 通訊協定連線到您的 Web 伺服器。 如果強制執行 SSL,您會收到下列錯誤訊息:

    頁面必須透過安全通道檢視
    您嘗試檢視的頁面需要在位址中使用 『HTTPs』。
    請嘗試下列動作:在您嘗試連線的位址開頭輸入 https://,然後再試一次。 HTTP 403.4 - 禁止:SSL 需要因特網資訊服務
    背景) 支援人員的技術資訊 (:此錯誤指出您嘗試存取的頁面受到安全套接字層 (SSL) 保護。

您現在只能使用 https:// 通訊協議 來連線到您的網站。