close
SSL的設定需要有憑證,憑證可以向CA申請 (如 HiTrust 的Verisign SSL ) 或自行建置,以下說明自行建置CA,核發憑證的過程
安裝憑證授權單位(CA)
- 因為不想花錢或是只在內部使用的Web 站台,想要使用SSL的功能,就必須自己成為憑證授權單位,自己發憑證給自己的網站使用
- 電腦名稱與CA有很大的關連,建議先將電腦名稱更改為叫有意義的名字
- 先想好要IIS中的哪一個站台成為SSL的站台
- 安裝CA的步驟:控制台/新增或移除程式/新增移除Windows元件/Certificate Services
- 安裝完畢後會在IIS的預設的網站中建立CertSrv,CertControl,CertEnroll等三個虛擬目錄
產生憑證要求
- 開啟 IIS 管理員。
- 在要安裝憑證的網站按一下滑鼠右鍵,再按內容。 //是網站而不是虛擬目錄喔
- 按一下「目錄安全設定」索引標籤。
- 按一下伺服器憑證按鈕,按下一步
- 點選「建立新憑證」,按下一步,點選「準備要求,但於稍後傳送」,按下一步
- 輸入憑證名稱與金鑰位元長度,可採預設值即可
- 輸入公司名稱及單位,通常是公司與部門的正式名稱
- 輸入「一般名稱」,此名稱十分重要,預設為NetBios的電腦名稱(IntraNet上使用),但若使用在 InterNet上,則必須改用網站的FQDN名稱(例如:dcicc.ncit.edu.tw)。 //若網站名稱與憑證名稱不同,則使用者在瀏覽時會出現「安全性憑證的名稱不正確或與網站的名稱不相符」的安全性警告
- 在「國家/地區」,「省/州」與「城市/位置」欄位中輸入適當的資訊,再按下一步。
- 輸入欲產生的「憑證要求」檔案名稱 (c:\certreq.txt),再按下一步。
-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST----- - 檢視憑證要求檔案中的摘要,若沒有問題再按下一步。
- 按完成,結束產生「憑證要求檔案」的過程
送出憑證要求
- 將上一個步驟所產生的檔案c:\certreq.txt,其內容複製到剪貼簿
- 開啟瀏覽器,鍵入「http://HOSTNAME/CertSrv」 //HOSTNAME為CA的電腦名稱,若為本機也可設定為127.0.0.1
- 按一下「要求憑證」。
- 按一下「提交進階憑證要求」。
- 按一下「用 Base-64 編碼的 CMC 或 PKCS #10 檔案來提交憑證要求,或用 Base-64 編碼的 PKCS #7 檔案提交更新要求」。
- 在已儲存的要求下方的文字方塊中,按下Ctrl+V,貼上之前複製的內容,按一下「提交」。
發行憑證
- 控制台/系統管理工具/憑證授權單位
- 展開後點選「擱置要求」資料夾
- 點選剛剛提交的憑證要求
- 點選功能表上的「執行/所有工作/發行」
- 點選「發出的憑證」資料夾
- 對剛剛發出的憑證按2下滑鼠以檢視之
- 按下「詳細資料」的索引標籤,按一下「複製到檔案」
- 按下一步,點選匯出的檔案格式為「Base-64 Encoded X.509 (.CER)」
- 輸入欲產生的憑證檔案名稱,例如:C:\dcicc.cer
- 下一步/完成/確定。
在Web Server上安裝憑證
- 開啟 IIS 管理員。
- 在有憑證要求的網站上按下滑鼠右鍵,再按內容。
- 按一下「目錄安全設定」索引標籤。
- 按一下伺服器憑證按鈕,按下一步。
- 點選「處理擱置要求及安裝憑證」,再按下一步。
- 輸入CA回應之「憑證授權的檔案」的路徑與名稱,可採預設值即可(C:\dcicc.cer),再按下一步。
- 輸入網站使用的SSL連接埠,可採預設值443即可。
- 下一步/完成/確定。
全站熱搜
留言列表