在Windows Server 2008安装SSL证书(IIS 7.0)

在Windows Server 2008安装SSL证书(IIS 7.0)

微软新的服务器平台,Windows Server 2008上使用Internet信息服务(IIS)7.0。这个新版本产生SSL证书的方式,使大的变化,主要使其更容易比以前版本的IIS。在IIS 7中除了要求和安装SSL证书的新方法,包括以下能力:

  • 一次请求多个SSL证书
  • 进口,出口和续订轻松在IIS中的SSL证书

本文将引导您完成订购从商业证书颁发机构和IIS 7的Windows Server 2008的计算机上安装一个SSL证书的过程中。

创建证书签名请求

订购SSL证书的第一步是生成一个证书签名请求。这是很容易做到的IIS7中使用下面的说明。点击此处可隐藏或显示图像

  1. 点击“开始”菜单上,进入“ 管理工具“,然后单击Internet信息服务(IIS)管理器
  2. 点击连接列在左边的服务器的名称。双击服务器证书
  3. 在右侧的“操作”列中,单击“ 创建证书请求…
  4. 输入以下信息对您的公司和您要保护的域,然后单击“ 下一步“
    解释 示例
    通用名称 您的服务器的完全限定域名(FQDN)。这必须符合正是你在你的网页浏览器中键入或您将收到一个名不匹配的错误 * Google搜索
    mail.google.com的
    组织 您的组织的法定名称。这不应该是缩写应包括后缀,如公司,股份有限公司或有限责任公司。 谷歌公司
    组织单位 您的组织的分工处理证书。(CA不验证这一领域) IT
    网站
    城市/地区 该组织所在位置的城市。 山景
    州/省 国家/地区组织所在位置。这不应该是缩写。 加州
    国家/地区 两个字母的ISO代码为您的组织所在国的位置。 美国
    GB
  5. 保留默认的加密服务提供程序。增加位长为2048位或更高。单击“ 下一步“
  6. 三个点按一下按钮,然后输入你想CSR文件保存的位置和文件名。单击“完成”。

一旦你产生了CSR,你可以用它来 ​​订购证书从证书颁发机构。如果你不已经有一个最喜欢的,你可以从每个供应商使用我们的SSL向导或比较便宜的SSL证书通配符证书,或EV证书的SSL功能。一旦粘贴CSR内容,并完成订购过程,验证您的订单,您将收到SSL证书文件。

安装证书

要安装在IIS 7中新收购的SSL证书,首先复制文件服务器上的某个地方,然后按照下列指示:

  1. 点击“开始”菜单上,进入“ 管理工具“,然后单击Internet信息服务(IIS)管理器
  2. 点击连接列在左边的服务器的名称。双击服务器证书
  3. 在右侧的“操作”列中,单击“ 完成证书申请…
  4. 单击带有三个圆点的按钮,并选择您收到来自证书颁发机构的服务器证书。如果证书不具有一个cer文件扩展,选择查看所有类型。输入任何你想这样你就可以跟踪这台服务器上的证书的友好名称。点击“确定”
  5. 如果成功的话,你会看到你新安装的证书,在列表中。如果您收到一个错误,指出无法找到请求或私钥,确保您使用了正确的证书,您将其安装到相同的服 务器上生成CSR。如果你确定这两个东西,你可能只需要创建一个新的证书申请补发/更换证书。如果你有问题,请联系您的证书颁发机构。

证书绑定到一个网站

  1. 在“连接”列在左边,展开“网站”文件夹,并点击网站上,你想绑定证书。点击绑定在右列。
  2. 点击“ 添加…“按钮。
  3. 类型更改为HTTPS,然后选择您刚刚安装的SSL证书。点击“确定”
  4. 现在您将看到443端口的绑定上市。单击“ 关闭“

安装中级任何证书

大多数SSL提供商颁发服务器证书的中级证书,所以您将需要安装这个中间证书到服务器或游客将收到一份证书不被信任的错误。您可以使用这些指令安装每一个中级证书(有时不止一个):

  1. 下载中间证书服务器上的一个文件夹。
  2. 双击证书打开证书的详细信息。
  3. 在底部的“常规”选项卡上,单击“ 安装证书“按钮,启动证书导入向导。单击“ 下一步“
  4. 选择“ 将所有的证书放入下列存储“,单击“ 浏览“
  5. 检查显示实体店 “复选框,然后展开中级证书颁发机构“文件夹,选择“ 本地计算机“文件夹下面。点击“确定”。单击“ 下一步“,然后完成“完成安装中间证书。

所以,它开始发出新的证书,您可能需要重新启动IIS。您可以访问该网站,在Web浏览器使用HTTPS代替HTTP或使用我们的SSL检查验证证书是否正确安装。

Domino涉及到SSL证书的几点总结

服务器证书的申请过程知识点

1) 服务器证书可以通过certsvr.nsf创建,不一定要新建服务器。

——此数据库可以通过csrv50.ntf为模板创建

2) 服务器证书在生成出来后,是一个秘钥对,一个公钥一个私钥。

3) 服务器证书生成之后,根证书已经包含了大部分的国际认证的根证书。

——可以通过“View And Edit Rings”视图,点击按钮“select key ring to display”

4) 根证书可以是自己签发的,也可以是从其他途径获得过来的,这个是公开的。

5) 根证书可以手工合并到服务器证书,通过“Install Tusted Root Certificate into Key Ring”合并。

6) 服务器证书如果想得到CA的认可,必须要请求别人认证你,过程是:生成一个请求串,发给CA中心,CA中心签发。然后把CA中心请求的文件通过“intall Certificate to Key Ring”合并到服务器证书,这时,浏览器访问的时候,才认为你的服务器是合法的。

7) 自建CA根证书和官方的根证书区别:

i. 自建根证书:需要在服务器证书里面合并加入;在web端,也需要将根证书安装在受信任的目录中。

ii. 官方根证书,服务器端在生成服务器证书的时候就已经包含了;在web端,证书管理里面也有自带的常用的官方的CA证书,所以无需重复安装。

8)
服务器证书和个人证书的关系

1) 服务器证书和个人证书其实没什么关系。

2) 服务器证书是用来向浏览器证明自己的身份的。

3) 个人证书是用来访问服务器,给服务器证明身份,加密数据的。

4) Domino个人证书也是和服务器证书几乎一样的步骤生成的。

a) 通过申请,填写基本信息,生成一串请求文件;

b) Domino通过CA根证书进行签发。

c) 从Web客户端将已经签发好的个人证书,提取出来安装。

d) 另外domino还保存每个个人的证书信息,并将CA根证书加入到个人信息中。

服务器证书和其他格式的转换问题

1) 服务器证书kyr格式可以用ikeyman.exe打开。但是不能用IBM HTTP Server自带的,和Domino自带的Ikeyman。因为这个两个的版本太高了。要重新下载ikeyman.exe

2) 用ikeyman打开,可以导出为P12格式的。

3) P12格式的可以有XCA把公钥和私钥分开。

4) Ikeyman打开k12后,可以导入其他的pfx格式文件——但是我导入的时候都是出错的。

5) 证书个时间的转换:PEM、DER、CER、PFX、P12都是可以通过OpenSSL来转换的。

6) OpenSSL下载之后,到安装目录里面打开Openssl.exe,按照命令运行即可。

http://blog.csdn.net/adeyi/article/details/8333955