IIS使用指南之六 :在IIS中部署HTTPS服务
在IIS中部署HTTPS服务非常简单,所需要的就是在Web服务器上具有服务器身份验证证书,并将证书绑定在Web站点。如果Web服务器属于活动目录并且活动目录中具有在线的企业证书颁发机构,则可以在配置过程中在线申请并自动安装Web服务器证书,否则你需要离线申请Web服务器证书。
�r�M�q�?�C
申请Web服务器证书的步骤如下:
�m*}�H
W(h.s!a�a
在Web服务器上运行[b]管理工具[/b]下的[b]Internet信息服务管理[/b]控制台,在左面板展开[b]Web站点[/b]节点,然后右击需要部署HTTPS服务的网站,在此我右击[b]默认网站[/b],选择[b]属性[/b];
�j�e"s�`,x�W
在[b]默认网站属性[/b]对话框,点击[b]目录安全性[/b]标签,然后点击[b]服务器证书[/b]按钮; �j�A�?�{2q�C8P�Z
V
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl01.jpg[/img] ([�b'p F
g�v
在[b]欢迎使用Web服务器证书向导[/b]页,点击[b]下一步[/b];
7e7s�l,F�B"F'U�n�n
在[b]服务器证书[/b]页,选择[b]新建证书[/b],点击[b]下一步[/b];如果已经具有其他的服务器身份验证证书,则可以选择[b]分配现有证书[/b]来将现有证书分配给此Web站点; �_�Q&R�i�P�J3?+s
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl03.jpg[/img] �N9i�t�Z�q
W
z"K
&f%p3O�a
F
接下来的操作步骤我根据证书申请方式的不同,分别进行介绍: :g�O�H�b*B3I9k*E
[b][color=#006699]在线申请证书[/color][/b]
�K�W�F.v�t7O%E
在[b]延迟或立即请求[/b]页,选择[b]立即将证书请求发送到联机证书颁发机构[/b],然后点击[b]下一步[/b];
N;r�O�e7g�\�p
x
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl04.jpg[/img]
�t+s1i$[�q
F�^�I
在[b]名字和安全性设置[/b]页,在名称栏为新证书输入一个容易分辨的名字,然后点击[b]下一步[/b]; �~2d+j�V�U�~
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl05.jpg[/img] �a�}�Y�V�_/h�`7h3_
在[b]单位信息[/b]页,在[b]单位[/b]和[b]部门[/b]栏中分别输入相关信息,然后点击[b]下一步[/b];
�v�\�G�o'H!`
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl06.jpg[/img] 1g.u+p�k�I%s�_�C
在[b]站点公用名称[/b]页,输入Web站点的FQDN,这个名称将被用户用于访问这个站点,如果你输入的FQDN和用户访问所输入的FQDN不一致,那么在通过HTTPS连接此Web站点时会发生错误,在此我输入Web站点的FQDN [b]munich.winsvr.org[/b],然后点击[b]下一步[/b];
$_1N+|7|�M�H�?
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl07.jpg[/img] y
L�X$k�H�C�Y#s
在[b]地理信息[/b]页,输入你的相关信息,然后点击[b]下一步[/b];
�` ]�B�{&N7p�{
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl08.jpg[/img]
�X j�p�M
c1Q6F�F
在[b]SSL端口[/b]页,输入你需要让客户用于访问此Web站点的HTTPS服务端口,建议你总是使用默认的[b]443[/b],点击[b]下一步[/b];
;\�^5u�[9a'u�_�O�['t
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl09.jpg[/img] $M�z%e�p'V"t�A�d
在[b]选择证书颁发机构[/b]页,如果你具有多个联机的证书颁发机构,在此可以选择向哪个发起证书申请。在此我接受默认的选择,然后点击[b]下一步[/b]; �D7T+u�P�S�E�g�X%z�?�a
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl10.jpg[/img] �O�n5h
z�m6y0f�H
在[b]证书请求提交[/b]页回顾你的设置,然后点击[b]下一步[/b]; �d�r!v1L�~
e2J�`�d*^0T
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl11.jpg[/img]
�T4f8{4D-N
最后,在[b]完成Web服务器证书向导[/b]页,点击[b]完成[/b]。此时,证书向导已经从联机证书颁发机构申请了一个Web服务器证书,你可以在[b]目录安全性[/b]标签点击[b]查看证书[/b]按钮来查看证书状态。
(b�s1H�g-_
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl12.jpg[/img] 7K�b�@,N){
[b][color=#006699]离线申请证书[/color][/b]
�R�Y6Q6v ]7I5g�c)F
如果活动目录中没有在线的企业证书颁发机构或者Web服务器并不位于活动目录环境中,那么你必须离线申请Web服务器证书。
�|�?
c�|�_
在[b]延迟或立即请求[/b]页,选择[b]现在准备证书请求,但稍后发送[/b],然后点击[b]下一步[/b];
�Y�E�V�s�p+S
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl14.jpg[/img]
1B%c�U n;^$D%d `
在[b]名字和安全性设置[/b]页,在名称栏为新证书输入一个容易分辨的名字,然后点击[b]下一步[/b];
�I#y6K;l-v)J�g,R2D
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl05.jpg[/img] .q�~�h+i�Q"H�i�b2b
在[b]单位信息[/b]页,在[b]单位[/b]和[b]部门[/b]栏中分别输入相关信息,然后点击[b]下一步[/b];
:R/V8P)T b�M g,K#`
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl06.jpg[/img]
7h7P�]�L�B�n7c*@4w2A
在[b]站点公用名称[/b]页,输入Web站点的FQDN [b]munich.winsvr.org[/b],然后点击[b]下一步[/b];
!f�a
I/t�K B&G�B
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl07.jpg[/img]
$o�V3h3_$r
a S
在[b]地理信息[/b]页,输入你的相关信息,然后点击[b]下一步[/b];
�{0m0E�F�^�_
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl08.jpg[/img] �V�e,c*l�w�O8`)m�x�M
在[b]证书请求文件名[/b]页,输入证书申请请求保存到的文件名,在此我接受默认设置c:\certreq.txt,点击[b]下一步[/b]; �T,K3B!U�\�J�z
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl15.jpg[/img]
�[�t#U)R�y6O(l"t,]/x
在[b]请求文件摘要[/b]页回顾你的设置,然后点击[b]下一步[/b];
*l'A�t0N
E�}*K1j
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl16.jpg[/img] !{$_1W�N�w�o
在[b]完成Web服务器证书向导[/b]页,点击[b]完成[/b],此时,证书请求信息保存到了c:\certreq.txt文件中。
,|�C7P�H%U8I
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl17.jpg[/img]
7q4e'L&I�\-^
L!^�[
现在我们访问证书颁发机构的Web注册登录页面,如下图所示,点击[b]申请一个证书[/b]链接;
�P6P.z"B�V(|
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl18.jpg[/img]
�|�Y�Q�_+C�d�G
|
然后点击[b]高级证书申请[/b]链接;
�Z�B�`�v,~
W�K D
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl19.jpg[/img]
+~�X%o+F5q5C.N:b�O
然后再点击[b]使用 base64编码的CMC 或PKCS #10文件提高一个证书申请,或使用base64编码的PKCS#7文件续订证书申请[/b],
�y�y�E4C�Y+?�J5t
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl20.jpg[/img] ;Q1m�C�w�|0L�h
在[b]提交一个证书申请或续订申请[/b]页,你可以点击[b]浏览要插入的文件[/b]来插入前面保存的证书申请信息文件的内容,不过有时IE的安全设置会阻止这一行为,你可以打开证书申请信息文件,然后将所有内容复制到[b]保存的申请[/b]文本框中,如下图所示,然后在[b]证书模板[/b]栏选择[b]Web服务器[/b],再点击[b]提交[/b];
!G�x;M8S�n
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl21.jpg[/img]
�k1U�h�~�]2X�v�X)b!O
在此我的证书颁发机构设置为自动颁发证书,因此此时已经颁发了证书,如果证书颁发机构设置为手动颁发证书,那么你还需要在证书颁发机构管理控制台中手动颁发证书。点击[b]下载证书[/b]链接,然后将证书保存在本地目录中。
+v�O�b
F:x7G�a�A�~
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl22.jpg[/img]
�G�M�r�J-L�^�O
�n�Z(F4e3} {.I�h%e�j
再次回到[b]Internet信息服务管理[/b]控制台,右击[b]默认网站[/b],选择[b]属性[/b];在[b]默认网站属性[/b]对话框,点击[b]目录安全性[/b]标签,然后点击[b]服务器证书[/b]按钮;
7L�v4m(q#K)W2S%[)U
M
在[b]欢迎使用Web服务器证书向导[/b]页,点击[b]下一步[/b];
�h0Y�u�F�f%N�u
在[b]挂起的证书请求[/b]页,选择[b]处理挂起的请求并安装证书[/b],点击[b]下一步[/b];
3R6u/R�n�a�U�S�\ i�i�}
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl23.jpg[/img] �j�U�x�]�f
在[b]处理挂起的请求[/b]页,点击浏览选择刚才保存的证书文件,点击[b]下一步[/b]; 6A�s5E5[�H,~
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl24.jpg[/img]
�B$G!?3A�w�Q2n
在[b]SSL端口[/b]页,接受默认的[b]443[/b],点击[b]下一步[/b]; �`6P-}6{�e�_
a
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl09.jpg[/img]
�v&T�i�w�v!Y�R�Z4r
在[b]证书摘要[/b]页回顾你的设置,然后点击[b]下一步[/b];
�E�p4U4\�T�`�[
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl26.jpg[/img] �k�y�B,k/p�E,]�d(e
在[b]完成Web服务器证书向导[/b]页,点击[b]完成[/b]。此时,证书已经安装完毕,另外在离线申请Web服务器证书时需要特别注意:[b]你必须将颁发证书的证书颁发机构的CA证书导入到本地计算机所信任的根证书颁发结构中,否则此证书无法使用[/b]。在此由于我已经导入,所以不再进行这个操作。�d5q&S)P�S
[b][color=#006699]配置Web站点强制使用HTTPS服务[/color][/b]
�d;j�H6Y"z
A�[*Z7g
当Web站点绑定服务器身份验证证书之后,已经可以通过HTTPS服务访问Web站点了。只是此时还允许通过未加密的HTTP服务访问Web站点,如果需要强制Web站点使用HTTPS服务,则进行以下配置:
"v�f�A&?&}
在网站属性的[b]目录安全性[/b]标签中点击[b]安全通讯[/b]框架中的[b]编辑[/b]按钮;
7r�|-y�K�J�q1b&H
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl27.jpg[/img]
2P�D�S�c+T�K(E4W"E
在弹出的[b]安全通信[/b]对话框上,勾选[b]要求安全通道(SSL)[/b],此时将强制只能使用HTTPS服务访问此Web站点;默认加密强度只有40位,如果你需要更高的加密强度则勾选[b]要求128位加密[/b],不过这也要求客户端浏览器支持128位加密; D�N4H*m�m�b
y1M
默认情况下[b]忽略客户端证书[/b],这允许用户不必提供用户证书就可以通过HTTPS连接到此Web站点,如果要让用户提供证书,请使用[b]接受客户证书[/b]或[b]要求客户端证书[/b],其中后者要求客户必须具有用户证书才能通过HTTPS连接到此Web站点。 8u�?!f�X�`"l�j�W(W
另外你还可以[b]启用客户端证书映射[/b]功能,它可以将用户证书映射到活动目录中的用户,从而根据用户访问网站时提供的证书自动识别用户。 (X/|/|�t�A�L�Y8b$b0F�X
在此我仅强制用户只能使用HTTPS来访问此Web站点,因此只是勾选[b]要求安全通道(SSL)[/b]和[b]要求128位加密[/b],然后点击两次[b]确定[/b]回到[b]Internet信息服务[/b]管理控制台。 �[�O T�J$H8}�e�X:`
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl28.jpg[/img] /s;e j�@�|�e�R*G
g O4}
我们首先通过[b]HTTP[/b]来访问此Web站点试试,访问失败,提示要求必须通过安全通道查看,
�I�_7J:|*k4~3h'[�\�_
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl29.jpg[/img]
'@,J�e:j;s;Q�j
X4S+C�V
于是使用[b]HTTPS[/b]来进行访问,访问成功,如下图所示,右下角的小锁标志代表是通过HTTPS进行的访问,将鼠标移动到它上面,可以看到现在的加密强度为[b]128[/b]位。 |�h�e�W'S�q2R
[img]http://www.winsvr.org/pic/iis_enablessl/iis_enablessl30.jpg[/img] |