在IIS中部署HTTPS服務(wù)

1、【精品文檔】如有侵權(quán)，請(qǐng)聯(lián)系網(wǎng)站刪除，僅供學(xué)習(xí)與交流在IIS中部署HTTPS服務(wù).精品文檔.在IIS中部署HTTPS服務(wù) 在IIS中部署HTTPS服務(wù)非常簡單，所需要的就是在Web服務(wù)器上具有服務(wù)器身份驗(yàn)證證書，并將證書綁定在Web站點(diǎn)。如果Web服務(wù)器屬于活動(dòng)目錄并且活動(dòng)目錄中具有在線的企業(yè)證書頒發(fā)機(jī)構(gòu)，則可以在配置過程中在線申請(qǐng)并自動(dòng)安裝Web服務(wù)器證書，否則你需要離線申請(qǐng)Web服務(wù)器證書。 申請(qǐng)Web服務(wù)器證書的步驟如下： 在Web服務(wù)器上運(yùn)行管理工具下的Internet信息服務(wù)管理控制臺(tái)，在左面板展開Web站點(diǎn)節(jié)點(diǎn)，然后右擊需要部署HTTPS服務(wù)的網(wǎng)站，在此我右擊默認(rèn)網(wǎng)站，選擇屬性；

2、在默認(rèn)網(wǎng)站屬性對(duì)話框，點(diǎn)擊目錄安全性標(biāo)簽，然后點(diǎn)擊服務(wù)器證書按鈕； 在歡迎使用Web服務(wù)器證書向?qū)ы?，點(diǎn)擊下一步； 在服務(wù)器證書頁，選擇新建證書，點(diǎn)擊下一步；如果已經(jīng)具有其他的服務(wù)器身份驗(yàn)證證書，則可以選擇分配現(xiàn)有證書來將現(xiàn)有證書分配給此Web站點(diǎn)； 接下來的操作步驟我根據(jù)證書申請(qǐng)方式的不同，分別進(jìn)行介紹： 在線申請(qǐng)證書 在延遲或立即請(qǐng)求頁，選擇立即將證書請(qǐng)求發(fā)送到聯(lián)機(jī)證書頒發(fā)機(jī)構(gòu)，然后點(diǎn)擊下一步； 在名字和安全性設(shè)置頁，在名稱欄為新證書輸入一個(gè)容易分辨的名字，然后點(diǎn)擊下一步； 在單位信息頁，在單位和部門欄中分別輸入相關(guān)信息，然后點(diǎn)擊下一步； 在站點(diǎn)公用名稱頁，輸入Web站點(diǎn)的FQDN，這個(gè)名

3、稱將被用戶用于訪問這個(gè)站點(diǎn)，如果你輸入的FQDN和用戶訪問所輸入的FQDN不一致，那么在通過HTTPS連接此Web站點(diǎn)時(shí)會(huì)發(fā)生錯(cuò)誤，在此我輸入Web站點(diǎn)的FQDN ，然后點(diǎn)擊下一步； 在地理信息頁，輸入你的相關(guān)信息，然后點(diǎn)擊下一步； 在SSL端口頁，輸入你需要讓客戶用于訪問此Web站點(diǎn)的HTTPS服務(wù)端口，建議你總是使用默認(rèn)的443，點(diǎn)擊下一步； 在選擇證書頒發(fā)機(jī)構(gòu)頁，如果你具有多個(gè)聯(lián)機(jī)的證書頒發(fā)機(jī)構(gòu)，在此可以選擇向哪個(gè)發(fā)起證書申請(qǐng)。在此我接受默認(rèn)的選擇，然后點(diǎn)擊下一步； 在證書請(qǐng)求提交頁回顧你的設(shè)置，然后點(diǎn)擊下一步； 最后，在完成Web服務(wù)器證書向?qū)ы?，點(diǎn)擊

4、完成。此時(shí)，證書向?qū)б呀?jīng)從聯(lián)機(jī)證書頒發(fā)機(jī)構(gòu)申請(qǐng)了一個(gè)Web服務(wù)器證書，你可以在目錄安全性標(biāo)簽點(diǎn)擊查看證書按鈕來查看證書狀態(tài)。 離線申請(qǐng)證書 如果活動(dòng)目錄中沒有在線的企業(yè)證書頒發(fā)機(jī)構(gòu)或者Web服務(wù)器并不位于活動(dòng)目錄環(huán)境中，那么你必須離線申請(qǐng)Web服務(wù)器證書。 在延遲或立即請(qǐng)求頁，選擇現(xiàn)在準(zhǔn)備證書請(qǐng)求，但稍后發(fā)送，然后點(diǎn)擊下一步； 在名字和安全性設(shè)置頁，在名稱欄為新證書輸入一個(gè)容易分辨的名字，然后點(diǎn)擊下一步； 在單位信息頁，在單位和部門欄中分別輸入相關(guān)信息，然后點(diǎn)擊下一步； 在站點(diǎn)公用名稱頁，輸入Web站點(diǎn)的FQDN ，然后點(diǎn)擊下一步； 在地理信息頁，輸入你的相關(guān)

5、信息，然后點(diǎn)擊下一步； 在證書請(qǐng)求文件名頁，輸入證書申請(qǐng)請(qǐng)求保存到的文件名，在此我接受默認(rèn)設(shè)置c:certreq.txt，點(diǎn)擊下一步； 在請(qǐng)求文件摘要頁回顧你的設(shè)置，然后點(diǎn)擊下一步； 在完成Web服務(wù)器證書向?qū)ы摚c(diǎn)擊完成，此時(shí)，證書請(qǐng)求信息保存到了c:certreq.txt文件中。 現(xiàn)在我們?cè)L問證書頒發(fā)機(jī)構(gòu)的Web注冊(cè)登錄頁面，如下圖所示，點(diǎn)擊申請(qǐng)一個(gè)證書鏈接； 然后點(diǎn)擊高級(jí)證書申請(qǐng)鏈接； 然后再點(diǎn)擊使用 base64編碼的CMC 或PKCS #10文件提高一個(gè)證書申請(qǐng)，或使用base64編碼的PKCS#7文件續(xù)訂證書申請(qǐng)， 在提交一個(gè)證書申請(qǐng)或續(xù)訂申請(qǐng)頁，你可以點(diǎn)擊瀏覽要插入的文件來插入前

6、面保存的證書申請(qǐng)信息文件的內(nèi)容，不過有時(shí)IE的安全設(shè)置會(huì)阻止這一行為，你可以打開證書申請(qǐng)信息文件，然后將所有內(nèi)容復(fù)制到保存的申請(qǐng)文本框中，如下圖所示，然后在證書模板欄選擇Web服務(wù)器，再點(diǎn)擊提交； 在此我的證書頒發(fā)機(jī)構(gòu)設(shè)置為自動(dòng)頒發(fā)證書，因此此時(shí)已經(jīng)頒發(fā)了證書，如果證書頒發(fā)機(jī)構(gòu)設(shè)置為手動(dòng)頒發(fā)證書，那么你還需要在證書頒發(fā)機(jī)構(gòu)管理控制臺(tái)中手動(dòng)頒發(fā)證書。點(diǎn)擊下載證書鏈接，然后將證書保存在本地目錄中。 再次回到Internet信息服務(wù)管理控制臺(tái)，右擊默認(rèn)網(wǎng)站，選擇屬性；在默認(rèn)網(wǎng)站屬性對(duì)話框，點(diǎn)擊目錄安全性標(biāo)簽，然后點(diǎn)擊服務(wù)器證書按鈕； 在歡迎使用Web服務(wù)器證書向?qū)ы?，點(diǎn)擊下一步； 在掛起的證書請(qǐng)求頁

7、，選擇處理掛起的請(qǐng)求并安裝證書，點(diǎn)擊下一步； 在處理掛起的請(qǐng)求頁，點(diǎn)擊瀏覽選擇剛才保存的證書文件，點(diǎn)擊下一步； 在SSL端口頁，接受默認(rèn)的443，點(diǎn)擊下一步； 在證書摘要頁回顧你的設(shè)置，然后點(diǎn)擊下一步； 在完成Web服務(wù)器證書向?qū)ы?，點(diǎn)擊完成。此時(shí)，證書已經(jīng)安裝完畢，另外在離線申請(qǐng)Web服務(wù)器證書時(shí)需要特別注意：你必須將頒發(fā)證書的證書頒發(fā)機(jī)構(gòu)的CA證書導(dǎo)入到本地計(jì)算機(jī)所信任的根證書頒發(fā)結(jié)構(gòu)中，否則此證書無法使用。在此由于我已經(jīng)導(dǎo)入，所以不再進(jìn)行這個(gè)操作配置Web站點(diǎn)強(qiáng)制使用HTTPS服務(wù) 當(dāng)Web站點(diǎn)綁定服務(wù)器身份驗(yàn)證證書之后，已經(jīng)可以通過HTTPS服務(wù)訪問Web站點(diǎn)了。只是此時(shí)還允許通過未加

8、密的HTTP服務(wù)訪問Web站點(diǎn)，如果需要強(qiáng)制Web站點(diǎn)使用HTTPS服務(wù)，則進(jìn)行以下配置： 在網(wǎng)站屬性的目錄安全性標(biāo)簽中點(diǎn)擊安全通訊框架中的編輯按鈕； 在彈出的安全通信對(duì)話框上，勾選要求安全通道（SSL），此時(shí)將強(qiáng)制只能使用HTTPS服務(wù)訪問此Web站點(diǎn)；默認(rèn)加密強(qiáng)度只有40位，如果你需要更高的加密強(qiáng)度則勾選要求128位加密，不過這也要求客戶端瀏覽器支持128位加密； 默認(rèn)情況下忽略客戶端證書，這允許用戶不必提供用戶證書就可以通過HTTPS連接到此Web站點(diǎn)，如果要讓用戶提供證書，請(qǐng)使用接受客戶證書或要求客戶端證書，其中后者要求客戶必須具有用戶證書才能通過HTTPS連接到此Web站點(diǎn)。 另外你還可以啟用客戶端證書映射功能，它可以將用戶證書映射到活動(dòng)目錄中的用戶，從而根據(jù)用戶訪問網(wǎng)站時(shí)提供的證書自動(dòng)識(shí)別用戶。 在此我僅強(qiáng)制用戶只能使用HTTPS來訪問此Web站點(diǎn)，因此只是勾選要求安全通道（SSL）和要求128位加密，然后點(diǎn)擊兩次確定回到Intern