欢迎进入.NET社区论坛,与200万技术人员互动交流 >>进入
安全套接字层 (SSL) 是一套提供身份验证、保密性和数据完整性的加密技术。SSL 最常用来在 Web 浏览器和 Web 服务器之间建立安全通信通道。它也可以在客户端应用程序和 Web 服务之间使用。为支持 SSL 通信,必须为 Web 服务器配置 SSL 证书。本文介绍如何获取 SSL 证书,以及如何配置 Microsoft® Internet 信息服务 (IIS),以便支持 Web 浏览器和其他客户端应用程序之间使用 SSL 安全地进行通信。
一般情况下按照下文中SOP去做是不会有问题的,但是我碰到一个怪问题,安装CA后并没有在IIS中产生对应提交证书事情用的虚拟目录,网上搜了好久也没有找到原因,以为是添加CA组件有问题。这时候想起MCSE等证书也许可以帮到的哦,可惜我没有去学。
可能碰到的问题:没有CA认证服务 CA认证服务是Windows的一项服务,在Windows组件安装就好了。 安装了CA后 在IE中访问http://hostname/CertSrv提交证书请求时找不到网页 不要紧 在windows系统路径查找certSrv文件夹,把那个文件夹加到IIS虚拟目录(IIS都没有? 那搞什么SSL啊,先安装一个吧),再访问就可以按照下文操作了。注意ssl与不用ssl端口不一样,协议名字也不一样哦 ssl的要用https而不是http访问。如果不是受信的CA client端会发出警告,但是还是可以work的,在Windows domain环境下可以用domain信任的方式建CA而不用花钱到外部CA中心申请数字认证,如果只是内部用的话,比如内部mail,web,签核流程等等。
生成证书申请此过程创建一个新的证书申请,此申请可发送到证书颁发机构 (CA) 进行处理。如果成功,CA 将给您发回一个包含有效证书的文件。
- 生成证书申请1.启动 IIS Microsoft 管理控制台 (MMC) 管理单元。
- 展开 Web 服务器名,选择要安装证书的 Web 站点。
- 右键单击该 Web 站点,然后单击“属性”。
- 单击“目录安全性”选项卡。
- 单击“安全通信”中的“服务器证书”按钮,启动 Web 服务器证书向导。注意:如果“服务器证书”不可用,可能是因为您选择了虚拟目录、目录或文件。返回第 2 步,选择 Web 站点。
- 单击“下一步”跳过欢迎对话框。
- 单击“创建一个新证书”,然后单击“下一步”。
- 该对话框有以下两个选项: “现在准备申请,但稍后发送”该选项总是可用的。 “立即将申请发送到在线证书颁发机构”仅当 Web 服务器可以在配置为颁发 Web 服务器证书的 Windows 2000 域中访问一个或多个 Microsoft 证书服务器时,该选项才可用。在后面的申请过程中,您有机会从列表中选择将申请发送到的颁发机构。单击“现在准备申请,但稍后发送”,然后单击“下一步”。
- 在“名称”字段中键入证书的描述性名称,在“位长”字段中键入密钥的位长,然后单击“下一步”。向导使用当前 Web 站点名称作为默认名称。它不在证书中使用,但作为友好名称以助于管理员识别。
- 在“组织”字段中键入组织名称(例如 Contoso),在“组织单位”字段中键入组织单位(例如“销售部”),然后单击“下一步”。 注意:这些信息将放在证书申请中,因此应确保它的正确性。CA 将验证这些信息并将其放在证书中。浏览您的 Web 站点的用户需要查看这些信息,以便决定他们是否接受证书。
- 在“公用名”字段中,键入您的站点的公用名,然后单击“下一步”。重要说明:公用名是证书最后的最重要信息之一。它是 Web 站点的 DNS 名称(即用户在浏览您的站点时键入的名称)。如果证书名称与站点名称不匹配,当用户浏览到您的站点时,将报告证书问题。如果您的站点在 Web 上并且被命名为 [url]www.contoso.com[/url],这就是您应当指定的公用名。如果您的站点是内部站点,并且用户是通过计算机名称浏览的,请输入计算机的 NetBIOS 或 DNS 名称。
- 在“国家/地区”、“州/省”和“城市/县市”等字段中输入正确的信息,然后单击“下一步”。
- 输入证书申请的文件名。该文件包含类似下面这样的信息。
-----BEGIN NEW CERTIFICATE REQUEST----- MIIDZjCCAs8CAQAwgYoxNjA0BgNVBAMTLW1penJvY2tsYXB0b3Aubm9ydGhhbWVy...-----END NEW CERTIFICATE REQUEST-----
