圖解配置IIS5的SSL 安全訪問2007-09-26 20:49作者：mikespook版本：1.0最后更新：2004-12-22 16:04按部就班——圖解配置IIS5的SSL 安全訪問... 1

圖解配置IIS5的SSL 安全訪問

2007-09-26 20:49

作者：mikespook

版本：1.0

最后更新：2004-12-22 16:04

按部就班——圖解配置IIS5的SSL 安全訪問... 1

寫在前面的... 1

第一步： 準備工作... 1

第二步： IIS創(chuàng)建證書... 3

第三步： 向“證書頒發(fā)機構(gòu)”申請證書... 8

第四步： 頒發(fā)證書... 10

第五步： 安裝證書，配置SSL. 12

第六步： 完成... 14

寫在前面的

這幾天自己的商城寫完了，準備搞搞IIS5的SSL 訪問。查了一圈資料，發(fā)現(xiàn)多數(shù)文章都如出一轍。雖然寫得很詳細，但是東一榔頭，西一棒槌，讓我摸不著頭腦。罷！罷！罷！直接看幫助，學(xué)著配吧。沒想到順利得很，一遍搞掂。就此寫文一篇，以幫助跟我有一樣困惑的朋友。

在看本文之前我先和讀者做一個約定。我假設(shè)你會使用鼠標和鍵盤，并且能夠?qū)indows 2000 Server進行基本的操作（我只想在本文里說明如何配置IIS5的SSL 安全訪問，對于如何雙擊圖標我不想涉及。）。同時你的計算機上也正確安裝有IIS 和瀏覽器（這個是Windows 2000 Server 的標準配置，如果你使用的是Windows 2000 Professional版本就不用閱讀本文了，因為這個版本不支持IIS 的SSL 訪問。）。

第一步： 準備工作

首先你應(yīng)該有一臺你自己的計算機，而且需要有鼠標、鍵盤或者你能夠從其他具有鼠標鍵盤的計算機訪問它。不要拿東西扔我，多數(shù)服務(wù)器是沒有鼠標和鍵盤的^_^。這臺計算機應(yīng)該安裝有Windows 2000 Server或者Windows 2000 Advance Server 。其他版本的Windows 要么不支持IIS 的SSL 訪問，要么就是跟本文討論的配置方法有出入，比如Windows 2003的IIS6。

然后就是需要檢查你的計算機有沒有安裝“證書服務(wù)”，如果已經(jīng)安裝了該組件，你可以跳過本步驟。

在“控制面板”à“添加/刪除程序”中點擊“添加/刪除Windows 組件”，找到“證書服務(wù)”，在其前面打鉤。如圖1。

圖1

注意，這個服務(wù)有兩個子選項“證書服務(wù)Web 注冊支持”和“證書服務(wù)頒發(fā)機構(gòu)(CA)”。為了方便期間，這兩個功能都需要安裝。

圖2。

點擊下一步，“Windows組件向?qū)А睍龑?dǎo)你完成該服務(wù)的安裝。在安裝過程中會出現(xiàn)“證書頒發(fā)機構(gòu)類型”的選擇，這里務(wù)必要選擇獨立根（圖3）。當然，如果你是在域中的話，請不要繼續(xù)閱讀。因為那需要創(chuàng)建的是企業(yè)根或者企業(yè)從屬根。

圖3

當完成了“證書服務(wù)” 的安裝后，你的“控制面板”à“管理工具”中就會多出一個“證書頒發(fā)機構(gòu)”這樣一個圖標。

圖4

準備工作到此結(jié)束。

第二步： IIS創(chuàng)建證書

完成了上面的準備，現(xiàn)在就可以讓IIS 來申請證書了。在“控制面板”à“管理工具”中進入“Internet 服務(wù)管理器”。鼠標右鍵點擊你需要配置的站點，在彈出的菜單中選擇“屬性”（如果你跟我一樣是左手使用鼠標，那就點擊鼠標左鍵。）。這時就會打開如圖5的“屬性”對話框。在“目錄安全性”中點擊“服務(wù)器證書”按鈕（圖6）。

圖

5 圖6

這時就會有“IIS證書向?qū)А眮硪徊揭徊教崾灸阃瓿勺C書的申請（圖7）。

圖7

點擊“下一步”選擇“創(chuàng)建一個新證書”并繼續(xù)（圖8）。需要說名的是另外兩種方式“分配一個已存在的證書”和“從密鑰管理器備份文件導(dǎo)入一個證書”也可以正確的配置IIS 的SSL 訪問，但是和本問所講順序有所不同，這里不再贅述。

圖8

繼續(xù)創(chuàng)建證書，“選擇現(xiàn)在準備請求，但稍后發(fā)送”。實際上你也只能選擇這個選項，另外一個選項“立即發(fā)送請求到一個在線證書頒發(fā)機構(gòu)”多數(shù)情況下不可用（圖9）。我也沒有查到在什么時候可用，什么時候不可用的資料。個人猜測大概是在安裝“證書服務(wù)”的時候如果選擇了XXXXXXXXXXXXX 或XXXXXXXXXX ，

這里可能就可以直接申請。如果真是我猜測的這樣，那后面那些麻煩的過程都可以略過不談了。

^_^

圖9

繼續(xù)“下一步”，會要求你輸入一個容易記憶的名稱來標識你的證書。同時會要求你選擇“位長”，實際上就是加密強度?！拔婚L”越大，越安全。當然這是以犧牲性能為代價的（圖10）。

圖10

接下來是輸入組織和部門，這個將會出現(xiàn)在你的證書中，并且當他人查看你的證書的時候會顯示出來（圖11）。最好還是使用合法的名稱，別偽造別人的證書哦。比如我輸入的組織是“mikespook & swill”，部門因為是為我的商城申請

的，所以我輸入“XYShop”。

圖11

在輸入站點公用名稱時要注意，最好是使用你將綁定的域名。否則在別人訪問你的站點，彈出證書確認對話框時，會有一個名稱不匹配的提示（圖12）。

圖12

接著是輸入地理信息（圖13）。

圖13

最后一步就是將生成的證書保存下來，以備后用（圖14、圖15、圖16）。

圖14

圖

15

圖16

這時在C 盤根目錄下就保存了一個由BASE64編碼的證書文件certreq.txt 。當然，如果你在保存證書（圖14）的時候選擇了其他路徑，則有所不同了。 第三步： 向“證書頒發(fā)機構(gòu)”申請證書

看到“證書頒發(fā)機構(gòu)”不用緊張，我們不是要跟什么權(quán)威部門打交道，更不需要準備什么申請公文之類的煩瑣文檔。因為在第一步安裝的“證書服務(wù)”就是我們

的“證書頒發(fā)機構(gòu)”。

在瀏覽器中輸入地址http://localhost/CertSrv/會打開“Microsoft 證書服務(wù)”頁面（圖17）。選擇申請證書，點擊按鈕“下一步”。

圖17

在“選擇申請類型”的時候應(yīng)該選擇“高級申請”，以便導(dǎo)入在第二步時生成的IIS 證書（圖18）。

圖18

因為在第二步保存的那個證書文件是BASE64編碼的，所以我們應(yīng)該選擇“使用BASE64編碼的PKCS #10文件提交一個證書申請，或使用BASE64編碼的PKCS #7文件更新證書申請”（圖19）。