本文介绍了如何为个人站点部署SSL证书,以消除浏览器的“不安全”提示。首先,免费申请并导入SSL证书到IIS,然后配置站点支持HTTPS。在遇到http未自动跳转至https和证书评级低的问题时,通过添加URL重写规则和修改注册表关闭不安全支持来解决。最后,通过IISCrypto工具禁用TLS1.0以使PCI DSS合规。
目前很多站点都部署了证书,保证了数据传输的的安全。我的个人站点没想过用证书,可是最近发现浏览器地址栏前方显示“不安全”三个字,看着很不爽今天就把他给干掉。
我申请了一个免费的证书,如果商用不建议使用免费证书。证书的厂家很多,根据个人情况选择,操作也是很简单快捷。
1、下载证书;
2、证书导入IIS;
点击服务器证书,进入服务器证书页面
在服务器证书的右上方点击导入
选择证书,输入证书密码,点击确认
3、配置站点
选择类型为:https
端口默认:443
主机名:填写域名
SSL证书:选择导入的证书
注:如果IIS需要配置多个证书,需勾选 “需要服务器名称指示”
到这步站点已是支持https访问,我还遇到一些问题:
1、http 未自动跳转至 https
2、证书检测评级低
解决http 未自动跳转至 https
1、下载安装重写插件
2、选择需要配置的站点,先绑定域名http 跟https 域名:
3、打开URL 重写添加规则:
点击URL重写
4、创建重写规则
5、编辑规则:
点击右上角的引用,再试试用http去访问就可以跳转至https。这是其中一种方法,还有其他方法可以使用,比如修改配置文件;
解决证书评级低
我这里是使用站长之家的HTTPS检测工具进行检测的,第一次检测评级是6,如下图:
检测提示因为使用了RC4密码套件,参考了悠悠域名上的解决方法成功解决这个提示。是需要通过修改注册表关闭不安全的支持,复制下列代码 保存为 .reg 文件格式,双击运行 直接导入注册表,完成后重启服务器
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman]"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4128/128]"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC440/128]"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC456/128]"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC464/128]"Enabled"=dword:00000000
再次检测域名,检测结果如下图:
很明显评级从6提升至8了,但是PCI DSS 显示不合规,我们也把他解决一下。出现这个的原因主要是因为我们IIS启用了TSL1.0,把他禁用就行。这里我是使用了IISCrypto工具,去掉TSL1.0的选项,重启电脑
再次检测域名
这里显示PCI DSS 已经合规了,但等级依旧没有提升。应该是我使用的免费证书,最高评级就是8。
至此,我们的目标已达到,浏览器地址栏中没有显示“不安全”三个字的提示了。
扫一扫
1210
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
