如何配置证书服务器以便在 IIS 上与 SSL 结合使用

最新推荐文章于 2022-08-01 15:32:26 发布

dyc13

最新推荐文章于 2022-08-01 15:32:26 发布

阅读量2.1k

点赞数

文章标签：服务器 ssl iis microsoft internet windows

本文链接：https://blog.csdn.net/dyc13/article/details/1589058

版权

概要

您可以使用证书服务器颁发与安全套接字层 (SSL) 一起使用的证书。通常此过程是在本地 Intranet 上完成的，在本地 Intranet 上您能够直接通知客户端信任您的证书。

更多信息

Microsoft Internet Information Server (IIS) 4.0 支持 SSL 3.0 协议，在通信期间 SSL 3.0 协议使用证书来标识客户端和服务器，并建立一次性会话密钥来对特定通信会话期间传输的数据进行加密和解密。

您可以使用 Windows NT Option Pack 的组件 Certificate Server 1.0 颁发供客户端使用的证书。

在 SSL 可以使用前，必须在服务器上执行以下任务：

1.	在服务器上创建一个根 CA 证书。
2.	在服务器上安装此根 CA 证书。
3.	为服务器创建一个密钥证书申请。
4.	为服务器处理密钥证书申请。
5.	在服务器上安装密钥证书。
6.	保证服务器上目录的安全。

下一步，在客户端执行以下任务：

1.	在客户端上安装此根 CA 证书。
2.	在客户端上安装一个证书。
3.	从客户端连接到安全 SSL 目录。

注意：上面列出的每个任务都与下面一个部分相对应。转到该部分可以了解有关如何执行该特定任务的详细信息。

回到顶端

在服务器上创建一个根 CA 证书

回到顶端

在服务器上安装根 CA 证书

请浏览到 http://localhost/certsrv/ (http://localhost/certsrv/)，单击“证书注册工具”链接，然后单击“安装证书颁发机构证书”链接。

单击“刷新”按钮验证显示的信息为当前信息，然后单击“ComputerName/CA-Name 的证书”链接。

在“文件下载”对话框中，选择“从当前位置打开文件”单选按钮，然后单击“确定”。

如果安装的是 Windows NT 4.0 SP4 或 SP5，请执行下列步骤

a.	在“证书”对话框中，单击“安装证书”按钮。
b.	在“证书管理器导入向导”启动时，单击“下一步”。
c.	当系统提示选择证书存储区时，请选择“将所有的证书放入下列存储”单选按钮，然后单击“浏览”。
d.	选择“显示物理存储区”选项，打开“受信任根证书颁发机构”，然后单击“本地计算机”。单击“确定”。
e.	单击“下一步”，然后单击“完成”。单击“确定”关闭该对话框。
f.	重新启动服务器以使根 CA 证书生效。

有关其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

194788 (http://support.microsoft.com/kb/194788/) Windows NT Service Pack 4 和客户端证书

如果安装的是 Windows NT 4.0 SP3，请执行下列步骤

在“新站点证书”对话框中，单击“确定”（通常需要所有复选框都处于选中状态）。

当系统提示“是否将下列证书添加到根存储区中？”时，单击“是”。

在命令提示符下，使用 CD 命令将目录切换到 %SystemRoot%/System32/InetSrv 目录（例如，如果系统根目录为 /winnt，则键入 cd /winnt/system32/inetsrv）。

键入 iisca，以同步 IIS 和 Internet Explorer 使用的根 CA 证书存储。

强制重新读取注册表，以便识别新的根 CA 证书。为此，您可以重新启动服务器，也可以停止 IISADMIN 服务及其相关服务（例如 WWW、FTP、NNTP、SMTP 等等），然后重新启动所使用的相关服务。通过执行以下操作可停止和重新启动这些服务：

•

打开“控制面板”，打开“服务”，然后停止并重新启动这些服务。

•

在命令提示符下运行 NET STOP 和 NET START 命令。为此，请按照下列步骤操作：

1.	在命令提示符下，键入 net stop iisadmin /y 以停止 IISADMIN 服务及其相关服务。
2.	重新启动您所使用的相关服务。例如，若要重新启动 WWW 服务，请键入 net start w3svc。若要重新启动 FTP，请键入 net start msftpsvc。

回到顶端

为服务器创建密钥证书申请

1.	启动 Internet Service Manager (ISM)，它将加载 Microsoft 管理控制台 (MMC) 的 Internet Information Server 管理单元。
2.	右键单击要保护的网站、目录或文件，然后单击“属性”。单击“目录安全性”（或“文件安全性”）选项卡。
3.	在“安全通信”下，单击“密钥管理器”按钮。注意：如果已安装了一个证书，则该按钮的标签是“编辑”而不是“密钥管理器”。
4.	在“密钥管理器”中，右键单击“WWW”，然后单击“创建新密钥”。
5.	单击“将申请放入将要发送到文件颁发机构的文件中”单选按钮，然后将文件保存到硬盘上。请确保记住该文件的名称和位置。注意：C:/NewKeyRq.txt 是该文件的默认路径和名称。
6.	按步骤执行完“创建新密钥”对话框的其余部分。注意：当提示您输入状态时，请确保完全将其拼写出来（不要使用缩写）并使用正确的大小写，这样才能使证书申请与 PKCS #10 兼容。
7.	关闭“密钥管理器”，当系统提示“现在提交所有更改？”时，请确保单击“是”。
8.	在 MMC 中，单击“确定”。

回到顶端

为服务器处理密钥证书申请

1.	打开为服务器请求创建的文本文件（默认情况下为 C:/NewKeyRq.txt）。
2.	选择并复制密钥的文本，从此行开始： -----BEGIN NEW CERTIFICATE REQUEST----- 并以此行结束： -----END NEW CERTIFICATE REQUEST----- （换句话说，包括这两行）。
3.	请浏览到 http://localhost/certsrv/ (http://localhost/certsrv/)，单击“证书注册工具”链接，然后单击“处理证书申请”链接。
4.	在“Web 服务器注册”页上，将密钥文本粘贴到文本框中，然后单击“提交申请”。如果出现以下错误消息： Error!!!Certificate Server is unable to process your request.Last status error code = 57. 有关其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 255981 (http://support.microsoft.com/kb/255981/) 为服务器处理密钥证书申请失败
5.	成功处理证书后，单击“下载”按钮。
6.	单击“将文件存入磁盘”单选按钮，然后保存该文件。请确保记住该文件的名称和位置。注意：Newcert.cer 是该文件的默认名称。

回到顶端

在服务器上安装密钥证书

1.	在 MMC 中，右键单击要保护的网站、目录或文件，然后单击“属性”。单击“目录安全性”（或“文件安全性”）选项卡。
2.	在“安全通信”下，单击“编辑”按钮（请注意，此按钮就是前面的“密钥管理器”更改来的）。现在，单击“密钥管理器”按钮。
3.	在“密钥管理器”中，右键单击新密钥申请（带有红色斜杠的图标），然后单击“安装密钥证书”。
4.	选择证书文件，然后在系统提示时，提供密码。单击“确定”。
5.	在“服务器绑定”对话框中，“任何未分配”应显示在“IP 地址”和“端口号”列下。单击“确定”（除非您希望将密钥分配给特定的 IP 地址和端口号）。
6.	关闭“密钥管理器”并确保在系统提示“现在提交所有更改？”时单击“是”
7.	单击“确定”两次，以返回到 MMC 中。

回到顶端

保证服务器上目录的安全。

1.	在 MMC 中，右键单击要保护的网站、目录或文件，然后单击“属性”。
2.	单击“目录安全性”（或“文件安全性”）选项卡。在“安全通信”下，单击“编辑”按钮。
3.	选中“访问该资源时要求安全通道”复选框。
4.	选中“要求客户端证书”单选按钮。
5.	单击“确定”两次，以返回到 MMC 中。

回到顶端

在客户端上安装根 CA 证书

1.	浏览至 http://`ServerDomainName`/certsrv/，单击“证书注册工具”链接，然后单击“安装证书颁发机构证书”链接。
2.	单击“刷新”按钮验证显示信息是当前信息，然后单击“`ServerDomainName`/`CA-Name` 的证书”链接。
3.	在“文件下载”对话框中，选择“从当前位置打开文件”单选按钮，然后单击“确定”。
4.	下一个要显示的对话框将取决于应用到 Windows NT 4.0 的是哪一个 Service Pack。

如果安装的是 SP4 或 SP5

1.	在“证书”对话框中，单击“安装证书”按钮。
2.	在“证书管理器导入向导”启动时，单击“下一步”。
3.	当系统提示选择证书存储区时，请选择“将所有的证书放入下列存储”单选按钮，然后单击“浏览”。
4.	选中“选择物理存储区”复选框，打开“受信任根证书颁发机构”，然后选择“本地计算机”。单击“确定”。
5.	单击“下一步”，然后单击“完成”。单击“确定”关闭该对话框。
6.	重新启动计算机。

如果安装的是 SP3

1.	在“新站点证书”对话框中，单击“确定”（通常需要所有复选框都处于选中状态）。
2.	当系统提示“是否将下列证书添加到根存储区中？”时，单击“是”。
3.	重新启动客户端计算机，以使新的根 CA 证书生效。

回到顶端

在客户端上安装证书

1.	浏览至 http://`ServerDomainName`/certsrv/，单击“证书注册工具”链接，然后单击“申请客户端身份验证证书”链接。注意：在 Internet Explorer 中，为了在该网页上下载此 ActiveX 控件，您必须将安全设置为“中”。（Netscape 不使用 ActiveX 控件，所以安全设置对 Netscape 来说不是问题）。
2.	填写“证书注册表”页要求的信息，然后单击“提交申请”按钮。
3.	成功处理证书后，单击“下载”按钮。
4.	如果看到以下消息，请单击“确定”：您的新证书已经成功安装！

回到顶端

从客户端连接到安全 SSL 目录

1.	浏览至 https://`ServerDomainName`/`SecuredResource` 注意：请确保使用 httpS 协议，而不是 http，以便服务器创建安全连接。
2.	如果出现“客户端身份验证”对话框，请选择您刚刚安装的证书（在上面一节中），然后单击“确定”。

现在，您应该已经使用 SSL 建立了从客户端到服务器的安全连接。

回到顶端

参考

有关如何在 IIS 5.0 上实施 SSL 的其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

299525 (http://support.microsoft.com/kb/299525/) 如何使用 IIS 5.0 和 Certificate Server 2.0 设置 SSL

这篇文章中的信息适用于:

•	Microsoft Internet Information Server 4.0
•	Microsoft Windows NT 4.0
•	Microsoft Windows NT version 4.0 Option Pack

Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性，不作任何声明。所有该等文件及有关图形均"依样"提供，而不带任何性质的保证。Microsoft和/或其各供应商特此声明，对所有与该等信息有关的保证和条件不负任何责任，该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下，在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中，Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的

dyc13

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
如何配置证书服务器以便在 IIS 上与 SSL 结合使用

概要loadTOCNode(1, summary);您可以使用证书服务器颁发与安全套接字层 (SSL) 一起使用的证书。通常此过程是在本地 Intranet 上完成的，在本地 Intranet 上您能够直接通知客户端信任您的证书。更多信息loadTOCNode(1, moreinformation);Microsoft Internet Information
复制链接

扫一扫