安全套接字層 (SSL) 是一套提供身份驗證、保密性和數據完整性的加密技術。SSL 最常用來在 Web 瀏覽器和 Web 服務器之間建立安全通信通道。它也可以在客戶端應用程序和 Web 服務之間使用。
要求
以下各項介紹了推薦的硬件、軟件、網絡基礎結構、技巧和知識以及您需要的服務包。
● Microsoft? Windows? 2000 Server操作系統 (Service Pack 2)
● Microsoft 證書服務(如果您需要生成自己的證書,這是必需的)。
本“如何做”中的過程也要求您具有一些 IIS 配置知識。
總結
“如何做”包括如下過程:
1. 生成證書申請
2. 提交證書申請
3. 頒發證書
4. 在 Web 服務器上安裝證書
5. 將資源配置爲要求 SSL 訪問
1. 生成證書申請
此過程創建一個新的證書申請,此申請可發送到證書頒發機構 (CA) 進行處理。如果成功,CA 將給您發回一個包含生效證書的文件。
u 生成證書申請
1. 啓動 IIS Microsoft 管理控制檯 (MMC) 管理單元。
2. 展開 Web 服務器名,選擇要安裝證書的 Web 站點。
3. 右擊該 Web 站點,然後單擊“屬性”。
4. 單擊“目錄安全性”選項卡。
5. 單擊“安全通信”中的“服務器證書”按鈕,啓動 Web 服務器證書嚮導。
注意:如果“服務器證書”不可用,可能是因爲您選擇了虛擬目錄、目錄或文件。返回第 2 步,選擇 Web 站點。
5. 單擊“下一步”跳過歡迎對話框。
6. 單擊“創建一個新證書”,然後單擊“下一步”。
7. 該對話框有以下兩個選項:
● “現在準備申請,但稍後發送”
該選項總是可用的。
● “立即將申請發送到在線證書頒發機構”
僅當 Web 服務器可以在配置爲頒發 Web 服務器證書的 Windows 2000 域中訪問一個或多個 Microsoft 證書服務器時,該選項纔可用。在後面的申請過程中,您有機會從列表中選擇將申請發送到的頒發機構。
單擊“現在準備申請,但稍後發送”,然後單擊“下一步”。
8. 在“名稱”字段中鍵入證書的描述性名稱,在“位長”字段中鍵入密鑰的位長,然後單擊“下一步”。
嚮導使用當前 Web 站點名稱作爲默認名稱。它不在證書中使用,但作爲友好名稱以幫助管理員。
9. 在“組織”字段中鍵入組織名稱(例如 Contoso),在“組織單位”字段中鍵入組織單位(例如“銷售部”),然後單擊“下一步”。
注意:這些信息將放在證書申請中,因此應確保它的正確性。CA 將驗證這些信息並將其放在證書中。瀏覽您的 Web 站點的用戶需要查看這些信息,以便決定他們是否接受證書。
10. 在“公用名”字段中,鍵入您的站點的公用名,然後單擊“下一步”。
重要說明:公用名是證書最後的最重要信息之一。它是 Web 站點的 DNS 名稱(即用戶在瀏覽您的站點時鍵入的名稱)。如果證書名稱與站點名稱不匹配,當用戶瀏覽到您的站點時,將報告證書問題。
如果您的站點在 Web 上並且被命名爲 www.contoso.com,這就是您應當指定的公用名。
如果您的站點是內部站點,並且用戶是通過計算機名稱瀏覽的,請輸入計算機的 NetBIOS 或 DNS 名稱。
11. 在“國家/地區、州/省和城市/縣市”字段中輸入適當的信息,然後單擊“下一步”。
12. 輸入證書申請的文件名。
該文件包含類似下面這樣的信息。
-----開始新的證書申請-----
MIIDZjCCAs8CAQAwgYoxNjA0BgNVBAMTLW1penJvY2tsYXB0b3Aubm9ydGhhbWVy…
-----結束新的證書申請-----
這是您的證書申請的 Base 64 編碼表示形式。申請中包含輸入到嚮導中的信息,還包括您的公鑰和用您的私鑰簽名的信息。
將此申請文件發送到 CA。然後 CA 會使用證書申請中的公鑰信息驗證用您的私鑰簽名的信息。CA 也驗證申請中提供的信息。
當您將申請提交到 CA 後,CA 將在一個文件中發回證書。然後您應當重新啓動 Web 服務器證書嚮導。
13. 單擊“下一步”。該向導顯示證書申請中包含的信息概要。
14. 單擊“下一步”,然後單擊“完成”完成申請過程。
證書申請現在可以發送到 CA 進行驗證和處理。當您從 CA 收到證書響應以後,可以再次使用 IIS 證書嚮導,在 Web 服務器上繼續安裝證書。
2. 提交證書申請
此過程使用 Microsoft 證書服務提交在前面的過程中生成的證書申請。
u 提交證書申請
1. 使用“記事本”打開在前面的過程中生成的證書文件,將它的整個內容複製到剪貼板。
2. 啓動 Internet Explorer,導航到 http://hostname/CertSrv,其中 hostname 是運行 Microsoft 證書服務的計算機的名稱。
3. 單擊“申請證書”,然後單擊“下一步”。
4. 在“選擇申請類型”頁中,單擊“高級申請”,然後單擊“下一步”。
5. 在“高級證書申請”頁中,單擊“使用 base64 編碼的 PKCS#10 文件提交證書申請”,然後單擊“下一步”。
6. 在“提交一個保存的申請”頁中,單擊“Base64 編碼的證書申請(PKCS #10 或 #7)”文本框,按住 CTRL+V,粘貼先前複製到剪貼板上的證書申請。
7. 在“證書模板”組合框中,單擊“Web 服務器”。
8. 單擊“提交”。
9. 關閉 Internet Explorer。
3. 頒發證書
u 頒發證書
1. 從“管理工具”程序組中啓動“證書頒發機構”工具。
2. 展開您的證書頒發機構,然後選擇“待定申請”文件夾。
3. 選擇剛纔提交的證書申請。
4. 在“操作”菜單中,指向“所有任務”,然後單擊“頒發”。
5. 確認證書顯示在“頒發的證書”文件夾中,然後雙擊查看它。
6. 在“詳細信息”選項卡中,單擊“複製到文件”,將證書保存爲 Base-64 編碼的 X.509 證書。
7. 關閉證書的屬性窗口。
8. 關閉“證書頒發機構”工具。
4. 在 Web 服務器上安裝證書
此過程在 Web 服務器上安裝在前面的過程中頒發的證書。
u 在 Web 服務器上安裝證書
1. 如果 Internet 信息服務尚未運行,則啓動它。
2. 展開您的服務器名稱,選擇要安裝證書的 Web 站點。
3. 右擊該 Web 站點,然後單擊“屬性”。
4. 單擊“目錄安全性”選項卡。
5. 單擊“服務器證書”啓動 Web 服務器證書嚮導。
6. 單擊“處理待定申請和安裝證書”,然後單擊“下一步”。
7. 輸入包含 CA 響應的文件的路徑和文件名,然後單擊“下一步”。
8. 檢查證書概述,單擊“下一步”,然後單擊“完成”。
證書現在安裝在 Web 服務器上。
5. 將資源配置爲要求 SSL 訪問
此過程使用 Internet 服務管理器,將虛擬目錄配置爲要求 SSL 訪問。您可以爲特定的文件、目錄或虛擬目錄要求使用 SSL。客戶端必須使用 HTTPS 協議訪問所有這類資源。
u 將資源配置爲要求 SSL 訪問
1. 如果 Internet 信息服務尚未運行,則啓動它。
2. 展開您的服務器名稱和 Web 站點。(這必須是具有已安裝證書的 Web 站點)。
3. 右擊某個虛擬目錄,然後單擊“屬性”。
4. 單擊“目錄安全性”選項卡。
5. 單擊“安全通信”下的“編輯”。
6. 單擊“需要安全通道 (SSL)”。
現在客戶端必須使用 HTTPS 瀏覽到此虛擬目錄。
7. 單擊“確定”,然後再次單擊“確定”關閉“屬性”對話框。
8. 關閉 Internet 信息服務。