2009年4月25日 星期六

如何在 IIS 中實作 SSL

網際網路已開啟新的方式對組織而言通訊,同時從內部和外部。 員工、 廠商和客戶之間的較佳的通訊可讓組織剪下成本、 讓產品更快,市場和建置更強的客戶關係。 這項改良的通訊需要網際網路和內部網路--有時候--傳輸敏感性資訊。 因此就一定要能夠進行與已知的合作對象的私密、 防篡改通訊。 若要將這有關,組織可以建置安全的基礎結構使用數位憑證與技術,例如 Secure Sockets Layer (SSL),根據公開金鑰加密。 本文將逐步將告訴您,如何以一個 Information Services (IIS) 電腦上設定 SSL。
回此頁最上方
需求以下項目將說明建議使用的硬體、軟體、網路基礎架構、技巧和知識,以及需要的 Service Pack::
Windows 2000 Server、 Advanced Server 或 Professional,搭配 Internet Information Services (IIS) 5.0 版與 Microsoft Certificate Server 版本 2.0 安裝和設定。
Windows Server 2003 Standard Edition、 Windows Server 2003 Enterprise Edition、 Windows Server 2003 Datacenter Edition 或 Windows Server 2003 Web Edition 的電腦與網際網路資訊服務 (IIS) 6.0 和 「 憑證服務 」 安裝和設定。如果主控憑證伺服器電腦不是同一部電腦有 IIS,您需要有效的網路或網際網路連線到伺服器主控憑證伺服器。
回此頁最上方
建立憑證要求首先,Web 伺服器必須請憑證要求。 如果要執行這項操作,請依照下列步驟執行。:
啟動 Internet Service Manager (ISM),它會載入 Microsoft Management Console (MMC) 的 Internet Information Server 嵌入式管理單元。. 要執行這項操作,請按一下 [ 開始 ] 、 指向 [ 程式集 ] ,指向 [ 系統管理工具 ] ,然後再按 [ 網際網路服務管理員 或 網際網路資訊服務 (IIS) 管理員 。
連按兩下該伺服器名稱,讓您看到所有 Web 站台。 在 IIS 6.0 中, 展開 [ 網站 ] 。
用滑鼠右鍵按一下您要安裝憑證,所在的網站,然後按一下 [ 內容 ] 。
按一下 [ 目錄安全性 ] 索引標籤,然後按一下 [ 伺服器憑證 在 安全通訊 ] 以啟動 「 Web 伺服器憑證精靈 」。
在 IIS 6.0 中, 按一下 [ 下一步 ] 。 如果您執行 IIS 5.0,請移至步驟 6。
選取 [ 建立新的憑證 然後按一下 [ 下一步 ] 。
選取 準備要求現在,但傳送更新的版本 並按一下 [ 下一步 ] 。
輸入憑證的名稱。 您可以以符合憑證名稱為 Web 站台的名稱。 現在,選取位元長度 ; 位元長度,更強憑證加密。 如果您的使用者可能來自具有加密限制國家,請選取 Server Gated Cryptography 。
請輸入您的組織名稱及組織單位 (例如,MyWeb 及 Development Dept)。 按一下 [ 下一步 ] 。
輸入完全符合規定的網域名稱 (FQDN) 或伺服器名稱作為一般名稱。 如果您正在建立將用於透過網際網路憑證,最好是使用 FQDN (例如,www.MyWeb.com)。 按一下 [ 下一步 ] 。
請輸入您的位置資訊,然後按一下 [ 下一步 ] 。
輸入路徑和檔案名稱儲存到,憑證資訊,然後按一下 [ 下一步 ] ,以繼續。請注意 如果您輸入任何而不是預設的位置和檔案名稱,務必要注意您選擇,名稱和位置,因為您將需要存取這個檔案在稍後步驟中。
請確認您有輸入,資訊然後按一下 [ 下一步 ] ,以完成程序,並建立憑證要求。
回此頁最上方
提交憑證要求憑證要求您只建立必須提交至憑證授權單位 (CA)。 這可能是您自己的伺服器在它或如 VeriSign 線上的 CA 上安裝 Certificate Server 2.0。 請連絡您所選擇的憑證提供者並決定您的需要憑證的最佳的等級。 有不同的方法的送出您的要求。 請連絡您所選擇的憑證授權單位要求並接收您的憑證。 您可以建立您自己的憑證 with Certificate Server 2.0,但您的用戶端必須隱含地信任您作為憑證授權單位。 下列步驟假設您使用 Certificate Server 2.0 作為憑證提供者。 請注意 「 IIS 憑證精靈 」 只會辨識預設的 Web 伺服器範本。 當您選取的線上企業 CA 時,除非 CA 使用預設的 Web 伺服器範本將不會列出 「 授權 」。
開啟瀏覽器,並瀏覽至 http:// YourWebServerName / CertSrv /。
在 IIS 5.0,選取 要求憑證 ] 然後按一下 [ 下一步 ] 。 在 IIS 6.0,按一下 [ 要求憑證 。
在 IIS 5.0 中, 選取 [ 進階要求 ] 然後按一下 [ 下一步 ] 。 在 IIS 6.0,按一下 [ 進階的憑證要求 。
在 IIS 5.0 中, 選取 [ 送出 ] 使用 Base64 憑證要求 然後按一下 [ 下一步 ] 。 在 IIS 6.0,按一下 [ 送出 ] 憑證藉由使用 Base-64 編碼的 CMC 或 PKCS # 10 檔案,來要求或提交更新要求使用 Base-64 編碼的 PKCS # 7 檔案 。
在 Microsoft 記事本中, 開啟您在 < 建立憑證要求 > 一節中所建立要求文件。 在 IIS 6.0,您也可以按一下 [ 瀏覽 ] 要插入的檔案 。
將文件的內容複製。 內容應該類似下列:
-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-------
注意 如果您儲存文件使用預設的名稱和位置,它位於 C:\Certreq.txt。 請注意 請務必只所示複製所有內容。
將文件的內容貼到 Web 表單的 Base64 編碼憑證要求 ] 文字方塊。
憑證範本 下, 選取 Web 伺服器 或 使用者 ,然後按一下 [ 送出 ] 。
如果 憑證伺服器 設定為 [ 永遠 Issue 憑證 ,您可以立即存取憑證。 如果要執行這項操作,請依照下列步驟執行。:
按一下 [ 下載 CA 憑證 (請勿按 [ 下載 CA 憑證 ] 路徑 或 下載憑證鏈結 )。
接到提示時, 選取 [ 儲存 ] 這個檔案到磁碟 並將憑證儲存到您的桌面或其他您會記得的位置。 您可能會立即直接到 「 [ 安裝憑證及設定以 SSL 的網站 」 一節。
回此頁最上方
發行及下載憑證若要發行 「 憑證伺服器中的憑證,請依照下列步驟執行:
開啟 CA MMC 嵌入式管理單元。 要執行這項操作,請按一下 [ 開始 ] 、 指向 [ 程式集 ] ,指向 [ 系統管理工具 ] ,然後再按一下 [ 憑證授權單位 ] 。
在 IIS 5.0,展開 [ 憑證授權單位 」 然後按一下 [ 擱置要求 ] 資料夾。 您的擱置中的憑證要求出現在右窗格中。 在 IIS 6.0 中, 展開伺服器名稱。
您剛才提交的擱置中的憑證要求上按一下滑鼠右鍵,選取 [ 所有工作 ] ,並再按一下 [ 發行 ] 。 請注意 您選取 超過下列大小就發出 後,憑證不會再顯示這個視窗和資料夾中。 它現在位於 [ 發出的憑證資料夾中。
您已發行 (和授權) 憑證之後,您可以回到 [ 憑證伺服器 Web 介面,來選取和下載憑證。 如果要執行這項操作,請依照下列步驟執行。:
瀏覽至 http:// YourWebServerName / CertSrv /。
在預設頁面上, 選取 [ 檢查擱置的憑證 然後按一下 [ 下一步 ] 。 在 IIS 6.0,按一下 [ 檢視擱置中的憑證要求的狀態 。
選取您的擱置中的憑證,然後按一下 [ 下一步 ] ,以移至下載頁面。
在下載頁面上, 按一下 [ 下載 CA 憑證 (請勿按 [ 下載 CA 憑證 ] 路徑 或 下載憑證鏈結 )。
接到提示時, 選取 [ 儲存 ] 這個檔案到磁碟 並將憑證儲存到您的桌面或其他您會記得的位置。
回此頁最上方
安裝憑證並設定一個 SSL 網站如果要安裝憑證,請依照下列步驟執行::
開啟網際網路服務管理員,然後展開伺服器名稱,這樣您就可以檢視網站。
用滑鼠右鍵按一下您要為其建立憑證要求的 Web 網站然後按一下 [ 內容 ] 。
按一下 [ 目錄安全設定 ] 索引標籤。 在 [ 安全通訊 ,] 下按一下 [ 伺服器憑證 ]。 這會啟動 「 憑證安裝精靈 」。 按一下 [ 下一步 ] ,以繼續。
選取 處理序暫止的要求並安裝憑證 並按一下 [ 下一步 ] 。
型別的憑證,您在 [ 超過下列大小就發出及下載憑證 ] 下載位置區段,然後按一下 [ 下一步 ] 。 「 精靈 」 會顯示 [ 憑證摘要 ]。 請確認資訊是正確,然後按一下 [ 下一步 ] ,以繼續。
按一下 [ 完成 ] 以完成程序。
回此頁最上方
設定及測試憑證設定及測試憑證,請依照下列步驟執行:
在 [ 目錄安全設定 ] 索引標籤,在 安全通訊 ,請注意有是現在三個可用的選項。 若要設定網站需要安全連線,請按一下 [ 編輯 ] 。 [ 安全通訊 ] 對話方塊隨即出現。
選取 [ 必須使用安全通道 (SSL) ,按一下 [ 確定 ] 。
按一下 [ 套用 ] 然後按 [ 確定 ] 以關閉屬性工作表。
瀏覽至站台,並確認它運作。 如果要執行這項操作,請依照下列步驟執行。:
透過 HTTP 存取網站在瀏覽器中輸入 http://localhost/Postinfo.html 。 您收到類似下列的錯誤訊息:
HTTP 403.4-禁止: 需要 SSL。
嘗試瀏覽至相同的 Web 網頁在瀏覽器中輸入 https://localhost/postinfo.html 使用安全的連線 (HTTPS)。 您可能會收到安全性警示,指出憑證無法從受信任的根 CA 按一下 [ 是 ] 以繼續在 Web 網頁。 如果頁面出現,您已成功安裝您的憑證。
回此頁最上方
疑難排解
使用 SSL 會減慢 HTTP 伺服器和瀏覽器之間的效能。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件::
150031 (http://support.microsoft.com/kb/150031/ ) 使用 SSL 建立瀏覽器的效能負荷
當您在使用 Microsoft Visual InterDev 6.0 版給作者 Web 站台 」 SSL 時, 有一些問題和要考慮的限制。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件::
238662 (http://support.microsoft.com/kb/238662/ ) 使用 Visual InterDev 及 Secure Sockets Layer
本文將告訴您只能伺服器憑證。 伺服器憑證可讓使用者驗證您的伺服器,請檢查 Web 內容的有效性並建立安全的連線。 如果您也要驗證使用者瀏覽至您的網站使用者,您可能會考慮使用用戶端憑證。 典型的用戶端憑證含有多個項目的資訊: 使用者的憑證授權單位,公開金鑰,用來建立安全的通訊和驗證資訊,例如的到期日和序號識別之識別身份。
回此頁最上方
參魷 \ cs6 \ f1 \ cf6 \ lang1024 < 參考 >如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件::
228991 (http://support.microsoft.com/kb/228991/ ) 如何建立和 Internet Information Server 4.0 中安裝的 SSL 憑證
257591 (http://support.microsoft.com/kb/257591/ ) Secure Sockets Layer (SSL) 信號交換的描述
299525 (http://support.microsoft.com/kb/299525/ ) 如何設定 SSL 使用 IIS 5.0 與 Certificate Server 2.0
298805 (http://support.microsoft.com/kb/298805/ ) 如何互動與 Internet Information Services 中的您的 Web 網站的所有客戶啟用 SSL 如需詳細資訊,請參閱下列 Microsoft Developer Network (MSDN) 網站::
http://msdn2.microsoft.com/en-us/library/aa302412.aspx (http://msdn2.microsoft.com/en-us/library/aa302412.aspx)
回此頁最上方

沒有留言:

張貼留言