[原創圖解]Win2003證書服務配置/客戶端(服務端)證書申請/IIS站點SSL設置
[原創圖解]Win2003證書服務配置/客戶端(服務端)證書申請/IIS站點SSL設置 --歡迎轉載,但轉載請註明來自“菩提樹下的楊過”
一.CA證書服務器安裝
1.安裝證書服務之前要先安裝IIS服務並且保證“WEB服務擴展”中的“Active Server Pages”爲允許狀態
2.在“控制面板”中運行“添加或刪除程序”,切換到“添加/刪除Windows組件”頁
3.在“Windows組件嚮導”對話框中,選中“證書服務”選項,接下來選擇CA類型,這裏選擇“獨立根CA”
4.然後爲該CA服務器起個名字(本例中的名字爲CntvsServer),設置證書的有效期限,建議使用默認值“5年”即可,最後指定證書數據庫和證書數據庫日誌的位置後,就完成了證書服務的安裝。
5.安裝完成後,系統會自動在IIS的默認站點,建幾個虛擬目錄CertSrc,CertControl,CertEnroll
二.客戶端證書申請
1. 運行Internet Explorer瀏覽器,在地址欄中輸入“http://證書服務器IP/CertSrv/default.asp”。證書申請頁面,輸入相應的申請信息,然後點擊[申請一個證書]。
接下來選擇"Web瀏覽器證書"
填寫相關信息
2. 系統將處理您提交的申請,此過程可能要等待10秒鐘左右。
建議最好記下申請ID(本例爲4)
三。客戶端證書的頒發
打開“管理工具”選擇“證書頒發機構”,打開"掛起的申請",右擊-->"頒發"
四。客戶端證書的下載及安裝
1.運行Internet Explorer瀏覽器,在地址欄中輸入“http://證書服務器IP/CertSrv/default.asp”,選擇“查看掛起的證書申請狀態”
2.找到自己申請的證書
3.安裝證書
安裝完成後,可到IE裏查看剛剛安裝好的證書
五.服務器證書的申請
1.以IIS的默認站爲例,先右擊站點,打開網站屬性-->目錄安全性-->服務器證書
2.按IIS證書嚮導 一步步 提交服務器證書申請
六。服務器證書的頒發
1.先打開"證書頒發機構",提交剛纔的申請
選擇剛纔的c:certreq.txt
按提示一步步完成
2.頒發證書
在掛起的申請裏,可以看到剛纔的申請(本例ID爲5),右擊-->頒發
3.導出證書
在頒發的證書裏,可以看到多了個證書,在新頒發的服務器證書上右擊-->打開
切換到"詳細信息",單擊"複製到文件",將該證書導出爲cer文件
七。IIS中服務器證書/SSL的設置
1。還是先打開網站屬性,切換到"目錄安全性",點擊"服務器證書"
2.安裝服務器證書
選擇剛纔導出的cer文件
然後一路下一步,直到完成.
3.設置SSL
有了服務器證書後,IIS的相關站點,可以改用https://來訪問,還是打開網站屬性-->目錄安全性-->安全通信-->編輯
把"要求安全通知(SSL)"選中,確定即可
這裏,如果我們再訪問http://localhost/CertSrv/default.asp,會提示以下錯誤:
這裏必須把http://換成https://來訪問,即https://localhost/CertSrv/default.asp,如果是IE7,會提示證書錯誤,如下圖:
先不管這個錯誤(馬上會說到如何處理),點擊"繼續瀏覽網站(不推薦)"即可正常訪問
最後來分析一下,爲什麼會有這個證書錯誤,強行瀏覽這個頁面後,會發現地址欄是紅色的,我們點擊地址欄右側的"證書錯誤"-->“查看證書"
觀察一下會發現,剛纔我們申請的服務器證書,在頒發證書時,默認是頒發給計算機名,本例中也就是jimmycntvs這臺計算機的,而我們現在用localhost來訪問,服務器會認爲localhost與jimmycntvs不是同一臺機器,因此覺得不安全!
既然知道原因了,也就能解決了,我們把訪問地址換成https://jimmycntvs/certsrv/default.asp(即把localhost換成jimmycntvs),這回IE就認爲訪問地址與證書中的信息對上號了,也就沒有提示了,呵呵
好了,截了這麼多圖,並一一貼上去,也夠累了,希望對大家有用,最後本文歡迎轉載。