亚洲欧美另类日本久久影院,国产三级第一页

如何在 Web 服務(wù)器上設(shè)置 SSL

2009.05.27

目標(biāo)

本章的目標(biāo)是：

•	獲取 SSL 證書(shū)。
•	在 IIS 服務(wù)器上安裝 SSL 證書(shū)。
•	配置虛擬目錄以要求 SSL。

返回頁(yè)首

適用范圍

本章適用于以下產(chǎn)品和技術(shù)：

•	Microsoft Windows® XP 或 Windows 2000 Server (Service Pack 3) 以及更高版本的操作系統(tǒng)
•	Microsoft Internet 信息服務(wù) 5.0
•	Microsoft 證書(shū)服務(wù)（如果您需要生成自己的證書(shū)）

返回頁(yè)首

如何使用本章內(nèi)容

若要學(xué)好本章內(nèi)容：

•	您必須有配置 IIS 的經(jīng)驗(yàn)。
•	如果您想生成自己的證書(shū)，則必須能夠訪(fǎng)問(wèn)某個(gè)證書(shū)頒發(fā)機(jī)構(gòu) (CA)，如 Microsoft 證書(shū)服務(wù)。
•	如果您不希望生成自己的證書(shū)，則必須決定將向哪個(gè)商業(yè)證書(shū)頒發(fā)機(jī)構(gòu)申請(qǐng) SSL 證書(shū)。大多數(shù)證書(shū)頒發(fā)機(jī)構(gòu) (CA) 會(huì)就此服務(wù)收費(fèi)。
•	閱讀第 4 章安全通信。其中介紹了 SSL 及其最常見(jiàn)的用途。

返回頁(yè)首

摘要

安全套接字層 (SSL) 是一套提供身份驗(yàn)證、保密性和數(shù)據(jù)完整性的加密技術(shù)。SSL 最常用來(lái)在 Web 瀏覽器和 Web 服務(wù)器之間建立安全通信通道。它也可以在客戶(hù)端應(yīng)用程序和 Web 服務(wù)之間使用。

為支持 SSL 通信，必須為 Web 服務(wù)器配置 SSL 證書(shū)。本章介紹如何獲取 SSL 證書(shū)，以及如何配置 Microsoft® Internet 信息服務(wù) (IIS)，以便支持 Web 瀏覽器和其他客戶(hù)端應(yīng)用程序之間使用 SSL 安全地進(jìn)行通信。

返回頁(yè)首

生成證書(shū)申請(qǐng)

此過(guò)程創(chuàng)建一個(gè)新的證書(shū)申請(qǐng)，此申請(qǐng)可發(fā)送到證書(shū)頒發(fā)機(jī)構(gòu) (CA) 進(jìn)行處理。如果成功，CA 將給您發(fā)回一個(gè)包含有效證書(shū)的文件。

•

生成證書(shū)申請(qǐng)

1.

啟動(dòng) IIS Microsoft 管理控制臺(tái) (MMC) 管理單元。

2.

展開(kāi) Web 服務(wù)器名，選擇要安裝證書(shū)的 Web 站點(diǎn)。

3.

右鍵單擊該 Web 站點(diǎn)，然后單擊“屬性”。

4.

單擊“目錄安全性”選項(xiàng)卡。

5.

單擊“安全通信”中的“服務(wù)器證書(shū)”按鈕，啟動(dòng) Web 服務(wù)器證書(shū)向?qū)А?/p>

注意：如果“服務(wù)器證書(shū)”不可用，可能是因?yàn)槟x擇了虛擬目錄、目錄或文件。返回第 2 步，選擇 Web 站點(diǎn)。

6.

單擊“下一步”跳過(guò)歡迎對(duì)話(huà)框。

7.

單擊“創(chuàng)建一個(gè)新證書(shū)”，然后單擊“下一步”。

8.

該對(duì)話(huà)框有以下兩個(gè)選項(xiàng)：

•

“現(xiàn)在準(zhǔn)備申請(qǐng)，但稍后發(fā)送”
該選項(xiàng)總是可用的。

•

“立即將申請(qǐng)發(fā)送到在線(xiàn)證書(shū)頒發(fā)機(jī)構(gòu)”
僅當(dāng) Web 服務(wù)器可以在配置為頒發(fā) Web 服務(wù)器證書(shū)的 Windows 2000 域中訪(fǎng)問(wèn)一個(gè)或多個(gè) Microsoft 證書(shū)服務(wù)器時(shí)，該選項(xiàng)才可用。在后面的申請(qǐng)過(guò)程中，您有機(jī)會(huì)從列表中選擇將申請(qǐng)發(fā)送到的頒發(fā)機(jī)構(gòu)。

單擊“現(xiàn)在準(zhǔn)備申請(qǐng)，但稍后發(fā)送”，然后單擊“下一步”。

9.

在“名稱(chēng)”字段中鍵入證書(shū)的描述性名稱(chēng)，在“位長(zhǎng)”字段中鍵入密鑰的位長(zhǎng)，然后單擊“下一步”。
向?qū)褂卯?dāng)前 Web 站點(diǎn)名稱(chēng)作為默認(rèn)名稱(chēng)。它不在證書(shū)中使用，但作為友好名稱(chēng)以助于管理員識(shí)別。

10.

在“組織”字段中鍵入組織名稱(chēng)（例如 Contoso），在“組織單位”字段中鍵入組織單位（例如“銷(xiāo)售部”），然后單擊“下一步”。

注意：這些信息將放在證書(shū)申請(qǐng)中，因此應(yīng)確保它的正確性。CA 將驗(yàn)證這些信息并將其放在證書(shū)中。瀏覽您的 Web 站點(diǎn)的用戶(hù)需要查看這些信息，以便決定他們是否接受證書(shū)。

11.

在“公用名”字段中，鍵入您的站點(diǎn)的公用名，然后單擊“下一步”。

重要說(shuō)明：公用名是證書(shū)最后的最重要信息之一。它是 Web 站點(diǎn)的 DNS 名稱(chēng)（即用戶(hù)在瀏覽您的站點(diǎn)時(shí)鍵入的名稱(chēng)）。如果證書(shū)名稱(chēng)與站點(diǎn)名稱(chēng)不匹配，當(dāng)用戶(hù)瀏覽到您的站點(diǎn)時(shí)，將報(bào)告證書(shū)問(wèn)題。

如果您的站點(diǎn)在 Web 上并且被命名為 www.contoso.com，這就是您應(yīng)當(dāng)指定的公用名。

如果您的站點(diǎn)是內(nèi)部站點(diǎn)，并且用戶(hù)是通過(guò)計(jì)算機(jī)名稱(chēng)瀏覽的，請(qǐng)輸入計(jì)算機(jī)的 NetBIOS 或 DNS 名稱(chēng)。

12.

在“國(guó)家/地區(qū)”、“州/省”和“城市/縣市”等字段中輸入正確的信息，然后單擊“下一步”。

13.

輸入證書(shū)申請(qǐng)的文件名。

該文件包含類(lèi)似下面這樣的信息。

-----BEGIN NEW CERTIFICATE REQUEST-----                        MIIDZjCCAs8CAQAwgYoxNjA0BgNVBAMTLW1penJvY2tsYXB0b3Aubm9ydGhhbWVy...                        -----END NEW CERTIFICATE REQUEST-----

這是您的證書(shū)申請(qǐng)的 Base 64 編碼表示形式。申請(qǐng)中包含輸入到向?qū)е械男畔?，還包括您的公鑰和用您的私鑰簽名的信息。

將此申請(qǐng)文件發(fā)送到 CA。然后 CA 會(huì)使用證書(shū)申請(qǐng)中的公鑰信息驗(yàn)證用您的私鑰簽名的信息。CA 也驗(yàn)證申請(qǐng)中提供的信息。

當(dāng)您將申請(qǐng)?zhí)峤坏?CA 后，CA 將在一個(gè)文件中發(fā)回證書(shū)。然后您應(yīng)當(dāng)重新啟動(dòng) Web 服務(wù)器證書(shū)向?qū)А?/p>

14.

單擊“下一步”。該向?qū)э@示證書(shū)申請(qǐng)中包含的信息概要。

15.

單擊“下一步”，然后單擊“完成”完成申請(qǐng)過(guò)程。
證書(shū)申請(qǐng)現(xiàn)在可以發(fā)送到 CA 進(jìn)行驗(yàn)證和處理。當(dāng)您從 CA 收到證書(shū)響應(yīng)以后，可以再次使用 IIS 證書(shū)向?qū)?，?Web 服務(wù)器上繼續(xù)安裝證書(shū)。

返回頁(yè)首

提交證書(shū)申請(qǐng)

此過(guò)程使用 Microsoft 證書(shū)服務(wù)提交在前面的過(guò)程中生成的證書(shū)申請(qǐng)。

•

提交證書(shū)申請(qǐng)

1.	使用“記事本”打開(kāi)在前面的過(guò)程中生成的證書(shū)文件，將它的整個(gè)內(nèi)容復(fù)制到剪貼板。
2.	啟動(dòng) Internet Explorer，導(dǎo)航到 http://hostname/CertSrv，其中 hostname 是運(yùn)行 Microsoft 證書(shū)服務(wù)的計(jì)算機(jī)的名稱(chēng)。
3.	單擊“申請(qǐng)一個(gè)證書(shū)”，然后單擊“下一步”。
4.	在“選擇申請(qǐng)類(lèi)型”頁(yè)中，單擊“高級(jí)申請(qǐng)”，然后單擊“下一步”。
5.	在“高級(jí)證書(shū)申請(qǐng)”頁(yè)中，單擊“使用 Base64 編碼的 PKCS#10 文件提交證書(shū)申請(qǐng)”，然后單擊“下一步”。
6.	在“提交一個(gè)保存的申請(qǐng)”頁(yè)中，單擊“Base64 編碼的證書(shū)申請(qǐng)（PKCS #10 或 #7）”文本框，按住 CTRL+V，粘貼先前復(fù)制到剪貼板上的證書(shū)申請(qǐng)。
7.	在“證書(shū)模板”組合框中，單擊“Web 服務(wù)器”。
8.	單擊“提交”。
9.	關(guān)閉 Internet Explorer。

返回頁(yè)首

頒發(fā)證書(shū)

•

頒發(fā)證書(shū)

1.	從“管理工具”程序組中啟動(dòng)“證書(shū)頒發(fā)機(jī)構(gòu)”工具。
2.	展開(kāi)您的證書(shū)頒發(fā)機(jī)構(gòu)，然后選擇“掛起的申請(qǐng)”文件夾。
3.	選擇剛才提交的證書(shū)申請(qǐng)。
4.	在“操作”菜單中，指向“所有任務(wù)”，然后單擊“頒發(fā)”。
5.	確認(rèn)該證書(shū)顯示在“頒發(fā)的證書(shū)”文件夾中，然后雙擊查看它。
6.	在“詳細(xì)信息”選項(xiàng)卡中，單擊“復(fù)制到文件”，將證書(shū)保存為 Base-64 編碼的 X.509 證書(shū)。
7.	關(guān)閉證書(shū)的屬性窗口。
8.	關(guān)閉“證書(shū)頒發(fā)機(jī)構(gòu)”工具。

返回頁(yè)首

在 Web 服務(wù)器上安裝證書(shū)

此過(guò)程在 Web 服務(wù)器上安裝在前面的過(guò)程中頒發(fā)的證書(shū)。

•

在 Web 服務(wù)器上安裝證書(shū)

1.	如果 Internet 信息服務(wù)尚未運(yùn)行，則啟動(dòng)它。
2.	展開(kāi)您的服務(wù)器名稱(chēng)，選擇要安裝證書(shū)的 Web 站點(diǎn)。
3.	右鍵單擊該 Web 站點(diǎn)，然后單擊“屬性”。
4.	單擊“目錄安全性”選項(xiàng)卡。
5.	單擊“服務(wù)器證書(shū)”啟動(dòng) Web 服務(wù)器證書(shū)向?qū)А?/p>
6.	單擊“處理掛起的申請(qǐng)并安裝證書(shū)”，然后單擊“下一步”。
7.	輸入包含 CA 響應(yīng)的文件的路徑和文件名，然后單擊“下一步”。
8.	檢查證書(shū)概述，單擊“下一步”，然后單擊“完成”。現(xiàn)在，已在 Web 服務(wù)器上安裝了證書(shū)。

返回頁(yè)首

將資源配置為要求 SSL 訪(fǎng)問(wèn)

此過(guò)程使用 Internet 服務(wù)管理器，將虛擬目錄配置為要求 SSL 訪(fǎng)問(wèn)。您可以為特定的文件、目錄或虛擬目錄要求使用 SSL?？蛻?hù)端必須使用 HTTPS 協(xié)議訪(fǎng)問(wèn)所有這類(lèi)資源。

•

將資源配置為要求 SSL 訪(fǎng)問(wèn)

1.	如果 Internet 信息服務(wù)尚未運(yùn)行，則啟動(dòng)它。
2.	展開(kāi)您的服務(wù)器名稱(chēng)和 Web 站點(diǎn)。（這必須是已安裝證書(shū)的 Web 站點(diǎn)）
3.	右鍵單擊某個(gè)虛擬目錄，然后單擊“屬性”。
4.	單擊“目錄安全性”選項(xiàng)卡。
5.	單擊“安全通信”下的“編輯”。
6.	單擊“要求安全通道 (SSL)”。現(xiàn)在客戶(hù)端必須使用 HTTPS 瀏覽到此虛擬目錄。
7.	單擊“確定”，然后再次單擊“確定”關(guān)閉“屬性”對(duì)話(huà)框。
8.	關(guān)閉 Internet 信息服務(wù)。