目標(biāo)
本章的目標(biāo)是:
•
獲取 SSL 證書(shū)。
•
在 IIS 服務(wù)器上安裝 SSL 證書(shū)��。
•
配置虛擬目錄以要求 SSL��。
目標(biāo)
本章的目標(biāo)是:
•
獲取 SSL 證書(shū)�����。
•
在 IIS 服務(wù)器上安裝 SSL 證書(shū)����。
•
配置虛擬目錄以要求 SSL。
適用范圍
本章適用于以下產(chǎn)品和技術(shù):
•
Microsoft Windows® XP 或 Windows 2000 Server (Service Pack 3) 以及更高版本的操作系統(tǒng)
•
Microsoft Internet 信息服務(wù) 5.0
•
Microsoft 證書(shū)服務(wù)(如果您需要生成自己的證書(shū))
如何使用本章內(nèi)容
若要學(xué)好本章內(nèi)容:
•
您必須有配置 IIS 的經(jīng)驗(yàn)�����。
•
如果您想生成自己的證書(shū)����,則必須能夠訪(fǎng)問(wèn)某個(gè)證書(shū)頒發(fā)機(jī)構(gòu) (CA),如 Microsoft 證書(shū)服務(wù)����。
•
如果您不希望生成自己的證書(shū),則必須決定將向哪個(gè)商業(yè)證書(shū)頒發(fā)機(jī)構(gòu)申請(qǐng) SSL 證書(shū)。大多數(shù)證書(shū)頒發(fā)機(jī)構(gòu) (CA) 會(huì)就此服務(wù)收費(fèi)�。
•
閱讀第 4 章安全通信。其中介紹了 SSL 及其最常見(jiàn)的用途����。
摘要
安全套接字層 (SSL) 是一套提供身份驗(yàn)證、保密性和數(shù)據(jù)完整性的加密技術(shù)����。SSL 最常用來(lái)在 Web 瀏覽器和 Web 服務(wù)器之間建立安全通信通道。它也可以在客戶(hù)端應(yīng)用程序和 Web 服務(wù)之間使用���。
為支持 SSL 通信,必須為 Web 服務(wù)器配置 SSL 證書(shū)��。本章介紹如何獲取 SSL 證書(shū)�����,以及如何配置 Microsoft® Internet 信息服務(wù) (IIS)���,以便支持 Web 瀏覽器和其他客戶(hù)端應(yīng)用程序之間使用 SSL 安全地進(jìn)行通信���。
生成證書(shū)申請(qǐng)
此過(guò)程創(chuàng)建一個(gè)新的證書(shū)申請(qǐng),此申請(qǐng)可發(fā)送到證書(shū)頒發(fā)機(jī)構(gòu) (CA) 進(jìn)行處理。如果成功����,CA 將給您發(fā)回一個(gè)包含有效證書(shū)的文件。
•
生成證書(shū)申請(qǐng)
1.
啟動(dòng) IIS Microsoft 管理控制臺(tái) (MMC) 管理單元���。
2.
展開(kāi) Web 服務(wù)器名��,選擇要安裝證書(shū)的 Web 站點(diǎn)�����。
3.
右鍵單擊該 Web 站點(diǎn)��,然后單擊“屬性”�。
4.
單擊“目錄安全性”選項(xiàng)卡�。
5.
單擊“安全通信”中的“服務(wù)器證書(shū)”按鈕,啟動(dòng) Web 服務(wù)器證書(shū)向?qū)А?
注意:如果“服務(wù)器證書(shū)”不可用�,可能是因?yàn)槟x擇了虛擬目錄、目錄或文件�����。返回第 2 步��,選擇 Web 站點(diǎn)。
6.
單擊“下一步”跳過(guò)歡迎對(duì)話(huà)框��。
7.
單擊“創(chuàng)建一個(gè)新證書(shū)”�,然后單擊“下一步”。
8.
該對(duì)話(huà)框有以下兩個(gè)選項(xiàng):
•
“現(xiàn)在準(zhǔn)備申請(qǐng)�,但稍后發(fā)送”該選項(xiàng)總是可用的。
•
“立即將申請(qǐng)發(fā)送到在線(xiàn)證書(shū)頒發(fā)機(jī)構(gòu)”僅當(dāng) Web 服務(wù)器可以在配置為頒發(fā) Web 服務(wù)器證書(shū)的 Windows 2000 域中訪(fǎng)問(wèn)一個(gè)或多個(gè) Microsoft 證書(shū)服務(wù)器時(shí)����,該選項(xiàng)才可用。在后面的申請(qǐng)過(guò)程中���,您有機(jī)會(huì)從列表中選擇將申請(qǐng)發(fā)送到的頒發(fā)機(jī)構(gòu)����。
單擊“現(xiàn)在準(zhǔn)備申請(qǐng)��,但稍后發(fā)送”��,然后單擊“下一步”�����。
9.
在“名稱(chēng)”字段中鍵入證書(shū)的描述性名稱(chēng)�,在“位長(zhǎng)”字段中鍵入密鑰的位長(zhǎng),然后單擊“下一步”�����。向?qū)褂卯?dāng)前 Web 站點(diǎn)名稱(chēng)作為默認(rèn)名稱(chēng)��。它不在證書(shū)中使用�����,但作為友好名稱(chēng)以助于管理員識(shí)別��。
10.
在“組織”字段中鍵入組織名稱(chēng)(例如 Contoso)�,在“組織單位”字段中鍵入組織單位(例如“銷(xiāo)售部”),然后單擊“下一步”��。
注意:這些信息將放在證書(shū)申請(qǐng)中�,因此應(yīng)確保它的正確性。CA 將驗(yàn)證這些信息并將其放在證書(shū)中����。瀏覽您的 Web 站點(diǎn)的用戶(hù)需要查看這些信息,以便決定他們是否接受證書(shū)��。
11.
在“公用名”字段中����,鍵入您的站點(diǎn)的公用名��,然后單擊“下一步”����。
重要說(shuō)明:公用名是證書(shū)最后的最重要信息之一�。它是 Web 站點(diǎn)的 DNS 名稱(chēng)(即用戶(hù)在瀏覽您的站點(diǎn)時(shí)鍵入的名稱(chēng))。如果證書(shū)名稱(chēng)與站點(diǎn)名稱(chēng)不匹配��,當(dāng)用戶(hù)瀏覽到您的站點(diǎn)時(shí)��,將報(bào)告證書(shū)問(wèn)題�。
如果您的站點(diǎn)在 Web 上并且被命名為 www.contoso.com,這就是您應(yīng)當(dāng)指定的公用名�����。
如果您的站點(diǎn)是內(nèi)部站點(diǎn)���,并且用戶(hù)是通過(guò)計(jì)算機(jī)名稱(chēng)瀏覽的,請(qǐng)輸入計(jì)算機(jī)的 NetBIOS 或 DNS 名稱(chēng)�。
12.
在“國(guó)家/地區(qū)”、“州/省”和“城市/縣市”等字段中輸入正確的信息����,然后單擊“下一步”���。
13.
輸入證書(shū)申請(qǐng)的文件名。
該文件包含類(lèi)似下面這樣的信息����。
-----BEGIN NEW CERTIFICATE REQUEST-----
MIIDZjCCAs8CAQAwgYoxNjA0BgNVBAMTLW1penJvY2tsYXB0b3Aubm9ydGhhbWVy...
-----END NEW CERTIFICATE REQUEST-----
這是您的證書(shū)申請(qǐng)的 Base 64 編碼表示形式。申請(qǐng)中包含輸入到向?qū)е械男畔�����,還包括您的公鑰和用您的私鑰簽名的信息��。
將此申請(qǐng)文件發(fā)送到 CA����。然后 CA 會(huì)使用證書(shū)申請(qǐng)中的公鑰信息驗(yàn)證用您的私鑰簽名的信息。CA 也驗(yàn)證申請(qǐng)中提供的信息�。
當(dāng)您將申請(qǐng)?zhí)峤坏?CA 后,CA 將在一個(gè)文件中發(fā)回證書(shū)����。然后您應(yīng)當(dāng)重新啟動(dòng) Web 服務(wù)器證書(shū)向?qū)А?
14. 單擊“下一步”。該向?qū)э@示證書(shū)申請(qǐng)中包含的信息概要��。
適用范圍
本章適用于以下產(chǎn)品和技術(shù):
•
Microsoft Windows® XP 或 Windows 2000 Server (Service Pack 3) 以及更高版本的操作系統(tǒng)
•
Microsoft Internet 信息服務(wù) 5.0
•
Microsoft 證書(shū)服務(wù)(如果您需要生成自己的證書(shū))
如何使用本章內(nèi)容
若要學(xué)好本章內(nèi)容:
•
您必須有配置 IIS 的經(jīng)驗(yàn)。
•
如果您想生成自己的證書(shū)��,則必須能夠訪(fǎng)問(wèn)某個(gè)證書(shū)頒發(fā)機(jī)構(gòu) (CA)���,如 Microsoft 證書(shū)服務(wù)�����。
•
如果您不希望生成自己的證書(shū)�����,則必須決定將向哪個(gè)商業(yè)證書(shū)頒發(fā)機(jī)構(gòu)申請(qǐng) SSL 證書(shū)����。大多數(shù)證書(shū)頒發(fā)機(jī)構(gòu) (CA) 會(huì)就此服務(wù)收費(fèi)�。
•
閱讀第 4 章安全通信。其中介紹了 SSL 及其最常見(jiàn)的用途�。
摘要
安全套接字層 (SSL) 是一套提供身份驗(yàn)證、保密性和數(shù)據(jù)完整性的加密技術(shù)�����。SSL 最常用來(lái)在 Web 瀏覽器和 Web 服務(wù)器之間建立安全通信通道�����。它也可以在客戶(hù)端應(yīng)用程序和 Web 服務(wù)之間使用����。
為支持 SSL 通信,必須為 Web 服務(wù)器配置 SSL 證書(shū)�。本章介紹如何獲取 SSL 證書(shū),以及如何配置 Microsoft® Internet 信息服務(wù) (IIS)����,以便支持 Web 瀏覽器和其他客戶(hù)端應(yīng)用程序之間使用 SSL 安全地進(jìn)行通信。
生成證書(shū)申請(qǐng)
此過(guò)程創(chuàng)建一個(gè)新的證書(shū)申請(qǐng)����,此申請(qǐng)可發(fā)送到證書(shū)頒發(fā)機(jī)構(gòu) (CA) 進(jìn)行處理。如果成功�����,CA 將給您發(fā)回一個(gè)包含有效證書(shū)的文件��。
•
生成證書(shū)申請(qǐng)
1.
啟動(dòng) IIS Microsoft 管理控制臺(tái) (MMC) 管理單元����。
2.
展開(kāi) Web 服務(wù)器名����,選擇要安裝證書(shū)的 Web 站點(diǎn)�����。
3.
右鍵單擊該 Web 站點(diǎn)��,然后單擊“屬性”�����。
4.
單擊“目錄安全性”選項(xiàng)卡��。
5.
單擊“安全通信”中的“服務(wù)器證書(shū)”按鈕���,啟動(dòng) Web 服務(wù)器證書(shū)向?qū)А?
注意:如果“服務(wù)器證書(shū)”不可用����,可能是因?yàn)槟x擇了虛擬目錄�����、目錄或文件。返回第 2 步�,選擇 Web 站點(diǎn)。
6.
單擊“下一步”跳過(guò)歡迎對(duì)話(huà)框��。
7.
單擊“創(chuàng)建一個(gè)新證書(shū)”�,然后單擊“下一步”�����。
8.
該對(duì)話(huà)框有以下兩個(gè)選項(xiàng):
•
“現(xiàn)在準(zhǔn)備申請(qǐng)�,但稍后發(fā)送”該選項(xiàng)總是可用的。
•
“立即將申請(qǐng)發(fā)送到在線(xiàn)證書(shū)頒發(fā)機(jī)構(gòu)”僅當(dāng) Web 服務(wù)器可以在配置為頒發(fā) Web 服務(wù)器證書(shū)的 Windows 2000 域中訪(fǎng)問(wèn)一個(gè)或多個(gè) Microsoft 證書(shū)服務(wù)器時(shí)��,該選項(xiàng)才可用�。在后面的申請(qǐng)過(guò)程中,您有機(jī)會(huì)從列表中選擇將申請(qǐng)發(fā)送到的頒發(fā)機(jī)構(gòu)�����。
單擊“現(xiàn)在準(zhǔn)備申請(qǐng)�,但稍后發(fā)送”,然后單擊“下一步”�。
9.
在“名稱(chēng)”字段中鍵入證書(shū)的描述性名稱(chēng),在“位長(zhǎng)”字段中鍵入密鑰的位長(zhǎng)�����,然后單擊“下一步”。向?qū)褂卯?dāng)前 Web 站點(diǎn)名稱(chēng)作為默認(rèn)名稱(chēng)�����。它不在證書(shū)中使用����,但作為友好名稱(chēng)以助于管理員識(shí)別。
10.
在“組織”字段中鍵入組織名稱(chēng)(例如 Contoso)����,在“組織單位”字段中鍵入組織單位(例如“銷(xiāo)售部”),然后單擊“下一步”���。
注意:這些信息將放在證書(shū)申請(qǐng)中����,因此應(yīng)確保它的正確性��。CA 將驗(yàn)證這些信息并將其放在證書(shū)中�����。瀏覽您的 Web 站點(diǎn)的用戶(hù)需要查看這些信息,以便決定他們是否接受證書(shū)�����。
11.
在“公用名”字段中�����,鍵入您的站點(diǎn)的公用名����,然后單擊“下一步”�����。
重要說(shuō)明:公用名是證書(shū)最后的最重要信息之一�。它是 Web 站點(diǎn)的 DNS 名稱(chēng)(即用戶(hù)在瀏覽您的站點(diǎn)時(shí)鍵入的名稱(chēng))。如果證書(shū)名稱(chēng)與站點(diǎn)名稱(chēng)不匹配��,當(dāng)用戶(hù)瀏覽到您的站點(diǎn)時(shí)���,將報(bào)告證書(shū)問(wèn)題����。
如果您的站點(diǎn)在 Web 上并且被命名為 www.contoso.com,這就是您應(yīng)當(dāng)指定的公用名��。
如果您的站點(diǎn)是內(nèi)部站點(diǎn)�,并且用戶(hù)是通過(guò)計(jì)算機(jī)名稱(chēng)瀏覽的,請(qǐng)輸入計(jì)算機(jī)的 NetBIOS 或 DNS 名稱(chēng)�����。
12.
在“國(guó)家/地區(qū)”�、“州/省”和“城市/縣市”等字段中輸入正確的信息,然后單擊“下一步”�。
13.
輸入證書(shū)申請(qǐng)的文件名。
該文件包含類(lèi)似下面這樣的信息��。
-----BEGIN NEW CERTIFICATE REQUEST-----
MIIDZjCCAs8CAQAwgYoxNjA0BgNVBAMTLW1penJvY2tsYXB0b3Aubm9ydGhhbWVy...
-----END NEW CERTIFICATE REQUEST-----
這是您的證書(shū)申請(qǐng)的 Base 64 編碼表示形式���。申請(qǐng)中包含輸入到向?qū)е械男畔���,還包括您的公鑰和用您的私鑰簽名的信息。
將此申請(qǐng)文件發(fā)送到 CA�����。然后 CA 會(huì)使用證書(shū)申請(qǐng)中的公鑰信息驗(yàn)證用您的私鑰簽名的信息���。CA 也驗(yàn)證申請(qǐng)中提供的信息���。
當(dāng)您將申請(qǐng)?zhí)峤坏?nbsp;CA 后���,CA 將在一個(gè)文件中發(fā)回證書(shū)。然后您應(yīng)當(dāng)重新啟動(dòng) Web 服務(wù)器證書(shū)向?qū)А?
14. 單擊“下一步”�。該向?qū)э@示證書(shū)申請(qǐng)中包含的信息概要。
|
