在IIS中部署HTTPS服務(wù)

1、【精品文檔】如有侵權(quán)，請聯(lián)系網(wǎng)站刪除，僅供學(xué)習(xí)與交流在IIS中部署HTTPS服務(wù).精品文檔.在IIS中部署HTTPS服務(wù) 在IIS中部署HTTPS服務(wù)非常簡單，所需要的就是在Web服務(wù)器上具有服務(wù)器身份驗證證書，并將證書綁定在Web站點。如果Web服務(wù)器屬于活動目錄并且活動目錄中具有在線的企業(yè)證書頒發(fā)機構(gòu)，則可以在配置過程中在線申請并自動安裝Web服務(wù)器證書，否則你需要離線申請Web服務(wù)器證書。 申請Web服務(wù)器證書的步驟如下： 在Web服務(wù)器上運行管理工具下的Internet信息服務(wù)管理控制臺，在左面板展開Web站點節(jié)點，然后右擊需要部署HTTPS服務(wù)的網(wǎng)站，在此我右擊默認(rèn)網(wǎng)站，選擇屬性；

2、在默認(rèn)網(wǎng)站屬性對話框，點擊目錄安全性標(biāo)簽，然后點擊服務(wù)器證書按鈕； 在歡迎使用Web服務(wù)器證書向?qū)ы?，點擊下一步； 在服務(wù)器證書頁，選擇新建證書，點擊下一步；如果已經(jīng)具有其他的服務(wù)器身份驗證證書，則可以選擇分配現(xiàn)有證書來將現(xiàn)有證書分配給此Web站點； 接下來的操作步驟我根據(jù)證書申請方式的不同，分別進(jìn)行介紹： 在線申請證書 在延遲或立即請求頁，選擇立即將證書請求發(fā)送到聯(lián)機證書頒發(fā)機構(gòu)，然后點擊下一步； 在名字和安全性設(shè)置頁，在名稱欄為新證書輸入一個容易分辨的名字，然后點擊下一步； 在單位信息頁，在單位和部門欄中分別輸入相關(guān)信息，然后點擊下一步； 在站點公用名稱頁，輸入Web站點的FQDN，這個名

3、稱將被用戶用于訪問這個站點，如果你輸入的FQDN和用戶訪問所輸入的FQDN不一致，那么在通過HTTPS連接此Web站點時會發(fā)生錯誤，在此我輸入Web站點的FQDN ，然后點擊下一步； 在地理信息頁，輸入你的相關(guān)信息，然后點擊下一步； 在SSL端口頁，輸入你需要讓客戶用于訪問此Web站點的HTTPS服務(wù)端口，建議你總是使用默認(rèn)的443，點擊下一步； 在選擇證書頒發(fā)機構(gòu)頁，如果你具有多個聯(lián)機的證書頒發(fā)機構(gòu)，在此可以選擇向哪個發(fā)起證書申請。在此我接受默認(rèn)的選擇，然后點擊下一步； 在證書請求提交頁回顧你的設(shè)置，然后點擊下一步； 最后，在完成Web服務(wù)器證書向?qū)ы摚c擊

4、完成。此時，證書向?qū)б呀?jīng)從聯(lián)機證書頒發(fā)機構(gòu)申請了一個Web服務(wù)器證書，你可以在目錄安全性標(biāo)簽點擊查看證書按鈕來查看證書狀態(tài)。 離線申請證書 如果活動目錄中沒有在線的企業(yè)證書頒發(fā)機構(gòu)或者Web服務(wù)器并不位于活動目錄環(huán)境中，那么你必須離線申請Web服務(wù)器證書。 在延遲或立即請求頁，選擇現(xiàn)在準(zhǔn)備證書請求，但稍后發(fā)送，然后點擊下一步； 在名字和安全性設(shè)置頁，在名稱欄為新證書輸入一個容易分辨的名字，然后點擊下一步； 在單位信息頁，在單位和部門欄中分別輸入相關(guān)信息，然后點擊下一步； 在站點公用名稱頁，輸入Web站點的FQDN ，然后點擊下一步； 在地理信息頁，輸入你的相關(guān)

5、信息，然后點擊下一步； 在證書請求文件名頁，輸入證書申請請求保存到的文件名，在此我接受默認(rèn)設(shè)置c:certreq.txt，點擊下一步； 在請求文件摘要頁回顧你的設(shè)置，然后點擊下一步； 在完成Web服務(wù)器證書向?qū)ы?，點擊完成，此時，證書請求信息保存到了c:certreq.txt文件中。 現(xiàn)在我們訪問證書頒發(fā)機構(gòu)的Web注冊登錄頁面，如下圖所示，點擊申請一個證書鏈接； 然后點擊高級證書申請鏈接； 然后再點擊使用 base64編碼的CMC 或PKCS #10文件提高一個證書申請，或使用base64編碼的PKCS#7文件續(xù)訂證書申請， 在提交一個證書申請或續(xù)訂申請頁，你可以點擊瀏覽要插入的文件來插入前

6、面保存的證書申請信息文件的內(nèi)容，不過有時IE的安全設(shè)置會阻止這一行為，你可以打開證書申請信息文件，然后將所有內(nèi)容復(fù)制到保存的申請文本框中，如下圖所示，然后在證書模板欄選擇Web服務(wù)器，再點擊提交； 在此我的證書頒發(fā)機構(gòu)設(shè)置為自動頒發(fā)證書，因此此時已經(jīng)頒發(fā)了證書，如果證書頒發(fā)機構(gòu)設(shè)置為手動頒發(fā)證書，那么你還需要在證書頒發(fā)機構(gòu)管理控制臺中手動頒發(fā)證書。點擊下載證書鏈接，然后將證書保存在本地目錄中。 再次回到Internet信息服務(wù)管理控制臺，右擊默認(rèn)網(wǎng)站，選擇屬性；在默認(rèn)網(wǎng)站屬性對話框，點擊目錄安全性標(biāo)簽，然后點擊服務(wù)器證書按鈕； 在歡迎使用Web服務(wù)器證書向?qū)ы摚c擊下一步； 在掛起的證書請求頁

7、，選擇處理掛起的請求并安裝證書，點擊下一步； 在處理掛起的請求頁，點擊瀏覽選擇剛才保存的證書文件，點擊下一步； 在SSL端口頁，接受默認(rèn)的443，點擊下一步； 在證書摘要頁回顧你的設(shè)置，然后點擊下一步； 在完成Web服務(wù)器證書向?qū)ы?，點擊完成。此時，證書已經(jīng)安裝完畢，另外在離線申請Web服務(wù)器證書時需要特別注意：你必須將頒發(fā)證書的證書頒發(fā)機構(gòu)的CA證書導(dǎo)入到本地計算機所信任的根證書頒發(fā)結(jié)構(gòu)中，否則此證書無法使用。在此由于我已經(jīng)導(dǎo)入，所以不再進(jìn)行這個操作配置Web站點強制使用HTTPS服務(wù) 當(dāng)Web站點綁定服務(wù)器身份驗證證書之后，已經(jīng)可以通過HTTPS服務(wù)訪問Web站點了。只是此時還允許通過未加

8、密的HTTP服務(wù)訪問Web站點，如果需要強制Web站點使用HTTPS服務(wù)，則進(jìn)行以下配置： 在網(wǎng)站屬性的目錄安全性標(biāo)簽中點擊安全通訊框架中的編輯按鈕； 在彈出的安全通信對話框上，勾選要求安全通道（SSL），此時將強制只能使用HTTPS服務(wù)訪問此Web站點；默認(rèn)加密強度只有40位，如果你需要更高的加密強度則勾選要求128位加密，不過這也要求客戶端瀏覽器支持128位加密； 默認(rèn)情況下忽略客戶端證書，這允許用戶不必提供用戶證書就可以通過HTTPS連接到此Web站點，如果要讓用戶提供證書，請使用接受客戶證書或要求客戶端證書，其中后者要求客戶必須具有用戶證書才能通過HTTPS連接到此Web站點。 另外你還可以啟用客戶端證書映射功能，它可以將用戶證書映射到活動目錄中的用戶，從而根據(jù)用戶訪問網(wǎng)站時提供的證書自動識別用戶。 在此我僅強制用戶只能使用HTTPS來訪問此Web站點，因此只是勾選要求安全通道（SSL）和要求128位加密，然后點擊兩次確定回到Intern