您可以使用證書服務器頒發與安全套接字層 (SSL) 一起使用的證書。通常此過程是在本地 Intranet 上完成的,在本地 Intranet 上您能夠直接通知客戶端信任您的證書。
更多信息
Microsoft Internet Information Server (IIS) 4.0 支持 SSL 3.0 協議,在通信期間 SSL 3.0 協議使用證書來標識客戶端和服務器,並建立一次性會話密鑰來對特定通信會話期間傳輸的數據進行加密和解密。
您可以使用 Windows NT Option Pack 的組件 Certificate Server 1.0 頒發供客戶端使用的證書。
在 SSL 可以使用前,必須在服務器上執行以下任務:
| 1. |
在服務器上創建一個根 CA 證書。 |
| 2. |
在服務器上安裝此根 CA 證書。 |
| 3. |
爲服務器創建一個密鑰證書申請。 |
| 4. |
爲服務器處理密鑰證書申請。 |
| 5. |
在服務器上安裝密鑰證書。 |
| 6. |
保證服務器上目錄的安全。 |
下一步,在客戶端執行以下任務:
| 1. |
在客戶端上安裝此根 CA 證書。 |
| 2. |
在客戶端上安裝一個證書。 |
| 3. |
從客戶端連接到安全 SSL 目錄。 |
注意:上面列出的每個任務都與下面一個部分相對應。轉到該部分可以瞭解有關如何執行該特定任務的詳細信息。
![]()
回到頂端
在服務器上創建一個根 CA 證書
若要在服務器上創建根 CA 證書,只須執行 Windows NT Option Pack 的證書服務器組件的默認安裝。默認安裝會自動創建一個根 CA 證書。
注意:如果選擇使用高級配置,請
不要選擇“非根 CA”選項。
![]()
回到頂端
在服務器上安裝根 CA 證書
| 1. |
請瀏覽到 http://localhost/certsrv/ (http://localhost/certsrv/),單擊“證書註冊工具”鏈接,然後單擊“安裝證書頒發機構證書”鏈接。 |
| 2. |
單擊“刷新”按鈕驗證顯示的信息爲當前信息,然後單擊“ComputerName/CA-Name 的證書”鏈接。 |
| 3. |
在“文件下載”對話框中,選擇“從當前位置打開文件”單選按鈕,然後單擊“確定”。
如果安裝的是 Windows NT 4.0 SP4 或 SP5,請執行下列步驟
| a. |
在“證書”對話框中,單擊“安裝證書”按鈕。 |
| b. |
在“證書管理器導入嚮導”啓動時,單擊“下一步”。 |
| c. |
當系統提示選擇證書存儲區時,請選擇“將所有的證書放入下列存儲”單選按鈕,然後單擊“瀏覽”。 |
| d. |
選擇“顯示物理存儲區”選項,打開“受信任根證書頒發機構”,然後單擊“本地計算機”。單擊“確定”。 |
| e. |
單擊“下一步”,然後單擊“完成”。單擊“確定”關閉該對話框。 |
| f. |
重新啓動服務器以使根 CA 證書生效。 |
有關其他信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
194788 (http://support.microsoft.com/kb/194788/) Windows NT Service Pack 4 和客戶端證書
如果安裝的是 Windows NT 4.0 SP3,請執行下列步驟
| a. |
在“新站點證書”對話框中,單擊“確定”(通常需要所有複選框都處於選中狀態)。 |
| b. |
當系統提示“是否將下列證書添加到根存儲區中?”時,單擊“是”。 |
| c. |
在命令提示符下,使用 CD 命令將目錄切換到 %SystemRoot%/System32/InetSrv 目錄(例如,如果系統根目錄爲 /winnt,則鍵入 cd /winnt/system32/inetsrv)。 |
| d. |
鍵入 iisca,以同步 IIS 和 Internet Explorer 使用的根 CA 證書存儲。 |
| e. |
強制重新讀取註冊表,以便識別新的根 CA 證書。爲此,您可以重新啓動服務器,也可以停止 IISADMIN 服務及其相關服務(例如 WWW、FTP、NNTP、SMTP 等等),然後重新啓動所使用的相關服務。通過執行以下操作可停止和重新啓動這些服務:
| • |
打開“控制面板”,打開“服務”,然後停止並重新啓動這些服務。 |
| • |
在命令提示符下運行 NET STOP 和 NET START 命令。爲此,請按照下列步驟操作:
| 1. |
在命令提示符下,鍵入 net stop iisadmin /y 以停止 IISADMIN 服務及其相關服務。 |
| 2. |
重新啓動您所使用的相關服務。例如,若要重新啓動 WWW 服務,請鍵入 net start w3svc。若要重新啓動 FTP,請鍵入 net start msftpsvc。 |
|
|
|
![]()
回到頂端
爲服務器創建密鑰證書申請
| 1. |
啓動 Internet Service Manager (ISM),它將加載 Microsoft 管理控制檯 (MMC) 的 Internet Information Server 管理單元。 |
| 2. |
右鍵單擊要保護的網站、目錄或文件,然後單擊“屬性”。單擊“目錄安全性”(或“文件安全性”)選項卡。 |
| 3. |
在“安全通信”下,單擊“密鑰管理器”按鈕。
注意:如果已安裝了一個證書,則該按鈕的標籤是“編輯”而不是“密鑰管理器”。 |
| 4. |
在“密鑰管理器”中,右鍵單擊“WWW”,然後單擊“創建新密鑰”。 |
| 5. |
單擊“將申請放入將要發送到文件頒發機構的文件中”單選按鈕,然後將文件保存到硬盤上。請確保記住該文件的名稱和位置。
注意:C:/NewKeyRq.txt 是該文件的默認路徑和名稱。 |
| 6. |
按步驟執行完“創建新密鑰”對話框的其餘部分。
注意:當提示您輸入狀態時,請確保完全將其拼寫出來(不要使用縮寫)並使用正確的大小寫,這樣才能使證書申請與 PKCS #10 兼容。 |
| 7. |
關閉“密鑰管理器”,當系統提示“現在提交所有更改?”時,請確保單擊“是”。 |
| 8. |
在 MMC 中,單擊“確定”。 |
![]()
回到頂端
爲服務器處理密鑰證書申請
| 1. |
打開爲服務器請求創建的文本文件(默認情況下爲 C:/NewKeyRq.txt)。 |
| 2. |
選擇並複製密鑰的文本,從此行開始:
-----BEGIN NEW CERTIFICATE REQUEST-----
並以此行結束:
-----END NEW CERTIFICATE REQUEST-----
(換句話說,包括這兩行)。 |
| 3. |
請瀏覽到 http://localhost/certsrv/ (http://localhost/certsrv/),單擊“證書註冊工具”鏈接,然後單擊“處理證書申請”鏈接。 |
| 4. |
在“Web 服務器註冊”頁上,將密鑰文本粘貼到文本框中,然後單擊“提交申請”。
如果出現以下錯誤消息:
Error!!!Certificate Server is unable to process your request.Last status error code = 57.
有關其他信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
255981 (http://support.microsoft.com/kb/255981/) 爲服務器處理密鑰證書申請失敗
|
| 5. |
成功處理證書後,單擊“下載”按鈕。 |
| 6. |
單擊“將文件存入磁盤”單選按鈕,然後保存該文件。請確保記住該文件的名稱和位置。
注意:Newcert.cer 是該文件的默認名稱。 |
![]()
回到頂端
在服務器上安裝密鑰證書
| 1. |
在 MMC 中,右鍵單擊要保護的網站、目錄或文件,然後單擊“屬性”。單擊“目錄安全性”(或“文件安全性”)選項卡。 |
| 2. |
在“安全通信”下,單擊“編輯”按鈕(請注意,此按鈕就是前面的“密鑰管理器”更改來的)。現在,單擊“密鑰管理器”按鈕。 |
| 3. |
在“密鑰管理器”中,右鍵單擊新密鑰申請(帶有紅色斜槓的圖標),然後單擊“安裝密鑰證書”。 |
| 4. |
選擇證書文件,然後在系統提示時,提供密碼。單擊“確定”。 |
| 5. |
在“服務器綁定”對話框中,“任何未分配”應顯示在“IP 地址”和“端口號”列下。單擊“確定”(除非您希望將密鑰分配給特定的 IP 地址和端口號)。 |
| 6. |
關閉“密鑰管理器”並確保在系統提示“現在提交所有更改?”時單擊“是” |
| 7. |
單擊“確定”兩次,以返回到 MMC 中。 |
![]()
回到頂端
保證服務器上目錄的安全。
| 1. |
在 MMC 中,右鍵單擊要保護的網站、目錄或文件,然後單擊“屬性”。 |
| 2. |
單擊“目錄安全性”(或“文件安全性”)選項卡。在“安全通信”下,單擊“編輯”按鈕。 |
| 3. |
選中“訪問該資源時要求安全通道”複選框。 |
| 4. |
選中“要求客戶端證書”單選按鈕。 |
| 5. |
單擊“確定”兩次,以返回到 MMC 中。 |
![]()
回到頂端
在客戶端上安裝根 CA 證書
| 1. |
瀏覽至 http://ServerDomainName/certsrv/,單擊“證書註冊工具”鏈接,然後單擊“安裝證書頒發機構證書”鏈接。 |
| 2. |
單擊“刷新”按鈕驗證顯示信息是當前信息,然後單擊“ServerDomainName/CA-Name 的證書”鏈接。 |
| 3. |
在“文件下載”對話框中,選擇“從當前位置打開文件”單選按鈕,然後單擊“確定”。 |
| 4. |
下一個要顯示的對話框將取決於應用到 Windows NT 4.0 的是哪一個 Service Pack。 |
如果安裝的是 SP4 或 SP5
| 1. |
在“證書”對話框中,單擊“安裝證書”按鈕。 |
| 2. |
在“證書管理器導入嚮導”啓動時,單擊“下一步”。 |
| 3. |
當系統提示選擇證書存儲區時,請選擇“將所有的證書放入下列存儲”單選按鈕,然後單擊“瀏覽”。 |
| 4. |
選中“選擇物理存儲區”複選框,打開“受信任根證書頒發機構”,然後選擇“本地計算機”。單擊“確定”。 |
| 5. |
單擊“下一步”,然後單擊“完成”。單擊“確定”關閉該對話框。 |
| 6. |
重新啓動計算機。 |
如果安裝的是 SP3
| 1. |
在“新站點證書”對話框中,單擊“確定”(通常需要所有複選框都處於選中狀態)。 |
| 2. |
當系統提示“是否將下列證書添加到根存儲區中?”時,單擊“是”。 |
| 3. |
重新啓動客戶端計算機,以使新的根 CA 證書生效。 |
![]()
回到頂端
在客戶端上安裝證書
| 1. |
瀏覽至 http://ServerDomainName/certsrv/,單擊“證書註冊工具”鏈接,然後單擊“申請客戶端身份驗證證書”鏈接。
注意:在 Internet Explorer 中,爲了在該網頁上下載此 ActiveX 控件,您必須將安全設置爲“中”。(Netscape 不使用 ActiveX 控件,所以安全設置對 Netscape 來說不是問題)。 |
| 2. |
填寫“證書註冊表”頁要求的信息,然後單擊“提交申請”按鈕。 |
| 3. |
成功處理證書後,單擊“下載”按鈕。 |
| 4. |
如果看到以下消息,請單擊“確定”:
您的新證書已經成功安裝!
|
![]()
回到頂端
從客戶端連接到安全 SSL 目錄
| 1. |
瀏覽至 https://ServerDomainName/SecuredResource
注意:請確保使用 httpS 協議,而不是 http,以便服務器創建安全連接。 |
| 2. |
如果出現“客戶端身份驗證”對話框,請選擇您剛剛安裝的證書(在上面一節中),然後單擊“確定”。 |
現在,您應該已經使用 SSL 建立了從客戶端到服務器的安全連接。
![]()
回到頂端
有關如何在 IIS 5.0 上實施 SSL 的其他信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
299525 (http://support.microsoft.com/kb/299525/) 如何使用 IIS 5.0 和 Certificate Server 2.0 設置 SSL
(c) Microsoft Corporation 2000,保留所有權利。由 Microsoft Corporation 的 Kevin Zollman 提供。
回到頂端