服務(wù)器證書安裝使用指南.

1、SHECA數(shù)字證書-網(wǎng)絡(luò)因此更真實(shí)IIS6.0服務(wù)器證書安裝使用指南上海數(shù)字證書認(rèn)證中心有限公司2008/12/08文檔說明：上海數(shù)字證書認(rèn)證中心有限公司本文檔是IIS6.0 SSL雙向認(rèn)證安裝使用指南，詳細(xì)描述了用于IIS6.0服務(wù)器的 WEB服務(wù)器證書的申請、安裝、備份、恢復(fù)以及SSL雙向認(rèn)證的配置。版本信息:當(dāng)前版本3.0技術(shù)支持部版權(quán)信息：SHECA是上海市數(shù)字證書證書認(rèn)證中心有限公司的注冊商標(biāo)和縮寫。UCA是上海市數(shù)字證書證書認(rèn)證中心有限公司研究開發(fā)的通用證書系統(tǒng)的商標(biāo)和 縮寫。本文的版權(quán)屬于上海市數(shù)字證書證書認(rèn)證中心有限公司，未經(jīng)許可，任何個(gè)人和 團(tuán)體不得轉(zhuǎn)載、粘貼或發(fā)布本文，也不

2、得部分的轉(zhuǎn)載、粘貼或發(fā)布本文，更不得更改 本文的部分詞匯進(jìn)行轉(zhuǎn)貼。未經(jīng)許可不得拷貝，影印。Copyright 2008上海數(shù)字證書認(rèn)證中心有限公司上海數(shù)字證書認(rèn)證中心有限公司-# -仙SHECA數(shù)字證書-網(wǎng)絡(luò)因此更真實(shí)文檔發(fā)行說明當(dāng)您閱讀完本文檔，您應(yīng)該能解決如下問題：1、WEB服務(wù)器證書的請求文件 CSR的產(chǎn)生；2、WEB服務(wù)器證書的在線申請；3、WEB服務(wù)器證書的安裝；4、WEB服務(wù)器SSL安全配置；5、WEB服務(wù)器證書的導(dǎo)出（備份）和導(dǎo)入（恢復(fù)）；6、SSL雙向認(rèn)證的配置；文檔書寫環(huán)境說明：本文檔的具體試驗(yàn)環(huán)境：WEB 服務(wù)器： Windows 2003 Enterprise Serve

3、r Edition + IIS 6.0客戶端： Win dows XP Professio nal Version + Service Pack 3上海數(shù)字證書認(rèn)證中心有限公司-3 -SHECA數(shù)字證書-網(wǎng)絡(luò)因此更真實(shí)WEB服務(wù)器證書申請請求文件（CSR）產(chǎn)生1、產(chǎn)生證書請求（CSR）文件開始程序管理工具In ternet信息服務(wù)管理上海數(shù)字證書認(rèn)證中心有限公司-5 -2、鼠標(biāo)右鍵單擊“默認(rèn)站點(diǎn)”，并在彈出菜單中選擇“屬性”仙SHECA數(shù)字證書-網(wǎng)絡(luò)因此更真實(shí)上海數(shù)字證書認(rèn)證中心有限公司-9 -3、在默認(rèn) WEB站點(diǎn)屬性窗口選擇“目錄安全性”4、在“安全通訊”欄目中用鼠標(biāo)點(diǎn)擊“服務(wù)器證書”，出

4、現(xiàn) WEB服務(wù)器證書向?qū)?、鼠標(biāo)單擊下一步，選擇創(chuàng)建一個(gè)新證書，開始證書請求向?qū)HECA數(shù)字證書-網(wǎng)絡(luò)因此更真實(shí)3、選擇產(chǎn)生請求文件，不直接發(fā)送4、以下根據(jù)提示按照您的 WEB服務(wù)器的實(shí)際信息輸入上海數(shù)字證書認(rèn)證中心有限公司-11 -注意：選擇1024位密鑰長度伽SHECA數(shù)字證書-網(wǎng)絡(luò)因此更真實(shí)注意：通用名一定是 WEB服務(wù)器的域名（FQDN）,如果在這一步你輸入不正確, 那會(huì)對您以后正確使用 WEB服務(wù)器證書有影響。注意：請確保您的以上信息和您提交至上海CA的申請表上的信息一致，否則將會(huì)導(dǎo)致不能簽發(fā)證書上海數(shù)字證書認(rèn)證中心有限公司-13 -注意：請確認(rèn)證書請求文件（CSR保存位置注意：確

5、認(rèn)剛才您輸入的信息的正確性SHECA數(shù)字證書-網(wǎng)絡(luò)因此更真實(shí)注意：完成證書申請請求，請求文件為certreq.txt ，具體格式類似如下形式: certreq.txt ” 記事本亠-“ V 1= I冋 M文禪的舞輯(E)梧式(巴童看(V)覆麗iIbegiFnew certificate re亦t-liIID0zCCAqQCAQAiwYDELMAkGAllJEBhIICQ04xC7AJBgNVBAgTAnNoMQswCQYDVQQH EwJzaDENMAsGAlUEChMEdGVzdDENMAsGAlUECxMEdGVzdDEZMBcGAlUEAxNQd3d3 LjEyMzQlNjc4LmNvb

6、TCBnzAHBgkqhkiG9wOBAQEFAAOBjQAwgYkCgYEA3QNbP02U UBCbnbJrq/rLfG9gPlQ0RE+NE7TErbflZ97LV3jBd5GvkbTTSIyXXIHXAfF0dDGw ujHk2KW9kQHrcfGyr4nflnLeVI lnLXXZRc+t g i zgTPESiT /s5Pu9KkqQ0GHzLbSt nd+lTVvK射 31Fz9RxyFaV+ImxjQdcC：MEAA3CCAZkwG 家KK神YBBAGC1WT AzENlFgolLjIuJzc5MC4yHHsGCisGAQQBgjcCAQ4xbTBrMA4GAlUdDwEB/w

7、QEAIE 3DBEB&kqhkiG9wOBCQ3ENzAll!A4GCCqGSIb3DQHCAgIAgDAOBggqhkiG9wODBAIC AIAwBwYFKw4DAgcwCgYIKoZIhvcNrAwcivEwYDVR01BAwwCgYIKwYBBQUHAwBwgf0G CisGAQQBgjcNAgIxge4wgesCAQEeWgBNAGkAYByAG8AcvAGYAdAAgAFIAUBB ACAAUwBDAGgAYQBuAG4AZQBsACAAQwByAHkAcAB0AG8AZwByAGEAcABoAGkAYwAg AFAAcgBvAHYAaQBkAGUAcgOBiQAAAAAAAAA

8、AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAMAOGCSqGSIbSDQEBBQUAAaGBAMTDzjpr+ag/rYiqgniShYb 6vZBin4rvVgnD5bdEui tgZsyzXHoV9GHR7ZKS/pb2nfVKPl 4Z4Dvo82v3 jZIqrTiN aajSuEW

9、bKHdlCsWjWdBxzTOllleDGizHSUVSLlqckqlNDJELdysrdazSWLTOShfxDEND NEW CERTIFICATE REQUEST上海數(shù)字證書認(rèn)證中心有限公司-15 -伽SHECA數(shù)字證書-網(wǎng)絡(luò)因此更真實(shí)WEB服務(wù)器證書在線申請Web服務(wù)器證書網(wǎng)上申請流程：第一步：登陸 ，點(diǎn)擊證書申請立即申請安全站點(diǎn)證書，請點(diǎn)擊 ;在方框里輸入從SHECA證書受理點(diǎn)獲取的密碼信封序列號(hào)和信封密碼（注:由于申請的是 WEB服務(wù)器證書，所以設(shè)定的私鑰密碼不起作用）申請證書 、證書弗請恰見玄正領(lǐng)輸人罠丁各頃話學(xué)入密碼佶封麗怛：i憎入密咼IS邂咼：勰走站鉗保松碼：朋訕ii鑰惶護(hù)

10、密馮：第二步：完成輸入后，進(jìn)入下一個(gè)頁面，此時(shí)選擇勾選“高級(jí)選項(xiàng)，并選擇“用戶自上送P10證書請求”并在最底部的輸入框內(nèi)貼入證書請求中去除BEGIN以及END的部分內(nèi)容，如下圖所示上海數(shù)字證書認(rèn)證中心有限公司-17 -生成P1D生 ifipio商生戒P10的方式富有檢臘到USBKw，陡用込書宜連忑下叢證書 如峯您有U昶Key程盪肓能上的話，由拖上UEBKcy弄臣擊亜?wù)銚?如果您喪卜被判其他俺方詰勾迭啟級(jí)族頃1下一步|至新檢測jfij#生咸警霸對*ipn證書商求的方式通過密瑪設(shè)脅主戰(zhàn)| *用戶自t醫(yī)眄噸書店求 如采P10證書活求中存在“-BEEIH-r與HND-_部分+語自行去誹后上送習(xí)第三步：

11、請耐心等待證書簽發(fā)上送P10簽發(fā)證書樂上逶P1D簽發(fā)證書證書簽發(fā)中，請耐心等待PEM并點(diǎn)第四步：請選擇證書保存的路徑，如需保存為PEM格式，則勾選擊保存證書。下載證書下載還書詣艇證書的保存位盡：測覽請選擇要厚推存的證書格式ftr/保存證書SHECA數(shù)字證書-網(wǎng)絡(luò)因此更真實(shí)WEB服務(wù)器證書的安裝1、進(jìn)入 Internet Information Services 管理開始 程序 管理工具 In ternet In formation Services 管理上海數(shù)字證書認(rèn)證中心有限公司-19 -2、鼠標(biāo)右鍵單擊 默認(rèn)WEB站點(diǎn)，并在彈出菜單中選擇 屬性仙SHECA數(shù)字證書-網(wǎng)絡(luò)因此更真實(shí)上海數(shù)字證

12、書認(rèn)證中心有限公司-21 -3、在默認(rèn)WEB站點(diǎn)屬性窗口選擇 目錄安全性SHECA數(shù)字證書-網(wǎng)絡(luò)因此更真實(shí)4、在安全通訊欄目中用鼠標(biāo)點(diǎn)擊 服務(wù)器證書，出現(xiàn)WEB服務(wù)器證書向?qū)?、鼠標(biāo)單擊下一步，開始進(jìn)行 WEB服務(wù)器正書安裝向?qū)В缓蟀凑仗崾静僮魃虾?shù)字證書認(rèn)證中心有限公司-25 -X瀏覽征理拄起的話盍通過檢索包含證書頒發(fā)機(jī)構(gòu)響應(yīng)的文件來處理掛起的證書諸求-輸入赳含證書頗發(fā)機(jī)構(gòu)咂1應(yīng)的立件的路徑和名稱.路徑和文件名電）：|C : XDocmmnts and S e 11 i ngs： Adm i n i s tr at or Cffl Us trC er t. der上一歩匹|逬三戢呱3| 取

13、消 |注意：這個(gè)文件是你從 SHECA網(wǎng)站申請成功下載的證書端口默認(rèn)的是443，您也可以根據(jù)實(shí)際情況更改注意：仔細(xì)確認(rèn)WEB服務(wù)器證書的具體信息SHECA數(shù)字證書-網(wǎng)絡(luò)因此更真實(shí)上海數(shù)字證書認(rèn)證中心有限公司-29 -注意：完成WEB服務(wù)器證書的安裝WEB服務(wù)器SSL安全配置1、進(jìn)入 Internet Information Services管理開始 程序 管理工具In ternet In formation Services 管理2、鼠標(biāo)右鍵單擊 默認(rèn)WEB站點(diǎn)，并在彈出菜單中選擇 屬性3、在默認(rèn)WEB站點(diǎn)屬性窗口選擇 目錄安全性4、在安全通訊 欄目中用鼠標(biāo)點(diǎn)擊編輯，出現(xiàn) 安全通訊界面如果您在

14、需要安全通道（SSL）前打上勾，則以后客戶端瀏覽器僅可以通過HTTPS訪問您的 WEB服務(wù)器；如果您在需要128位加密前打上勾，則以后客戶端瀏覽器只有具備128位加密強(qiáng)度之后才可以訪問您的 WEB服務(wù)器；有關(guān)瀏覽器的加密強(qiáng)度請咨詢相 關(guān)軟件開發(fā)商；客戶端證書選項(xiàng)分三種：i. 忽略客戶端證書：客戶端訪問WEB服務(wù)器的時(shí)候不需要提供客戶端自 己證書ii. 接收客戶端證書：客戶端訪問WEB服務(wù)器的時(shí)候彈出 客戶端驗(yàn)證窗口，允許客戶端選擇自己的證書，進(jìn)行身份驗(yàn)證，然后訪問WEB服務(wù)器，這時(shí)，如果客戶端沒有自己的證書，訪問仍舊可以照常進(jìn)行iii. 需要客戶端證書： 這里僅當(dāng)客戶端擁有自己的證書，并通過驗(yàn)

15、證之后， 訪問才可以進(jìn)行下去允許客戶端證書映射，這項(xiàng)功能是將您的 WEB服務(wù)器上的資源和 WINDOWS帳號(hào)下的用戶通過證書捆綁。仙SHECA數(shù)字證書-網(wǎng)絡(luò)因此更真實(shí)上海數(shù)字證書認(rèn)證中心有限公司-33 -5、根據(jù)實(shí)際需要完成了安全通訊的設(shè)置6、重啟您的IIS服務(wù)器，通過客戶端瀏覽器訪問您的WEB服務(wù)器，假如在先前的設(shè)置中需要您設(shè)置了 需要客戶端證書 的話，這時(shí)候會(huì)彈出客戶端認(rèn)證窗口，選擇您 相應(yīng)的個(gè)人證書，確認(rèn)密鑰交換，請單擊0K按鈕。順利實(shí)現(xiàn)SSL的雙向認(rèn)證，就可以訪問https的站點(diǎn)了?；镜腤EB服務(wù)器安全配置（SSL）已經(jīng)完成WEB服務(wù)器證書的導(dǎo)出（備份）1、進(jìn)入 Internet I

16、nformation Services 管理開始 程序 管理工具 In ternet In formation Services 管理SHECA數(shù)字證書-網(wǎng)絡(luò)因此更真實(shí)上海數(shù)字證書認(rèn)證中心有限公司-35 -2、鼠標(biāo)右鍵單擊 默認(rèn)WEB站點(diǎn)，并在彈出菜單中選擇 屬性3、在默認(rèn)WEB站點(diǎn)屬性窗口選擇 目錄安全性4、在安全通訊欄目中用鼠標(biāo)點(diǎn)擊 服務(wù)器證書，出現(xiàn)WEB服務(wù)器證書向?qū)?界面5、單擊下一步，出現(xiàn)IIS證書向?qū)Ы缑?，這時(shí)候您有若干種選擇來處理您已安裝的WEB服務(wù)器證書仙SHECA數(shù)字證書-網(wǎng)絡(luò)因此更真實(shí)上海數(shù)字證書認(rèn)證中心有限公司-41 -6、我們選擇導(dǎo)出當(dāng)前證書到.pfx文件，這樣，我們以

17、后就可以通過這個(gè)文件恢復(fù)這 個(gè)WEB服務(wù)器證書。選擇一個(gè)保存路徑，單擊下一步7、輸入.pfx文件的保護(hù)口令8、出現(xiàn)導(dǎo)出證書的簡要說明，確認(rèn)之后，單擊下一步9、完成您的WEB服務(wù)器證書的備份工作注意：請將導(dǎo)出的 WEB服務(wù)器證書妥善保管，以備不時(shí)之需。SHECA數(shù)字證書-網(wǎng)絡(luò)因此更真實(shí)WEB服務(wù)器證書的導(dǎo)入（恢復(fù)）假如由于系統(tǒng)出了問題，導(dǎo)致iis崩潰或其他不可測原因迫使你重新安裝了IIS或操作系統(tǒng)，那么您可以通過以下方式來恢復(fù)您的IIS WEB服務(wù)器證書。1、進(jìn)入 Internet Information Services管理開始 程序 管理工具In ternet In formation Se

18、rvices 管理上海數(shù)字證書認(rèn)證中心有限公司-43 -2、鼠標(biāo)右鍵單擊 默認(rèn)WEB站點(diǎn)，并在彈出菜單中選擇 屬性仙SHECA數(shù)字證書-網(wǎng)絡(luò)因此更真實(shí)上海數(shù)字證書認(rèn)證中心有限公司-# -3、在默認(rèn)WEB站點(diǎn)屬性窗口選擇 目錄安全性SHECA數(shù)字證書-網(wǎng)絡(luò)因此更真實(shí)4、在安全通訊欄目中用鼠標(biāo)點(diǎn)擊 服務(wù)器證書，出現(xiàn)WEB服務(wù)器證書向?qū)?界面5、單擊下一步，出現(xiàn)IIS證書向?qū)?。這里分兩種情況：a）僅僅是重新安裝了 IIS，或者丟失了 WEB服務(wù)器證書：這時(shí)候我們可以選擇 指派一個(gè)已經(jīng)存在本地容器里的證書b）假如說您重新安裝了您的 WINDOWS操作系統(tǒng)，那還可以通過導(dǎo)入先前我們 備份的WEB服務(wù)器證書.pfx文件來恢復(fù)您的 WEB服務(wù)器證書，所以我們這 時(shí)候選擇從一個(gè).pfx文件導(dǎo)入證書上海數(shù)字證書認(rèn)證中心有限公司-47 -為了便于以后導(dǎo)出（備份），請?jiān)跇?biāo)記證書可導(dǎo)出前打勾IIS證書向?qū)?dǎo)入證書窖碼也、須提供密碼才能導(dǎo)入證書n輸入要導(dǎo)入的證有的密碼.密碼 ：P取消輸入您在先前導(dǎo)出 WEB服務(wù)器證書時(shí)輸入的.pfx保護(hù)口令確認(rèn)端口，默認(rèn)是443毛7SHECA數(shù)字證書-網(wǎng)絡(luò)因此更真實(shí)上海數(shù)字證書認(rèn)證中心有限公司-53 -請確認(rèn)證書簡要說明完成證書導(dǎo)入（恢復(fù)）IIS服務(wù)器的信任列表添加在SSL雙向認(rèn)證中，假如客戶端需要信任其他的根簽發(fā)的證書，貝懦要做一下的配 置:1、點(diǎn)擊“目