概要
<script type="text/javascript">loadTOCNode(1, 'summary');</script>
本文介绍了如下内容:
•如何设置和启用服务器证书,以使您的用户确信您的网站是合法的,并且他们发送给您的信息不会被泄露。•如何使用第三方证书启用安全套接层 (SSL);另外还概括介绍了生成用于获得第三方证书的证书签名请求 (CSR) 的过程。•如何为您的网站启用 SSL 连接。•如何为所有连接实施 SSL,并在您的客户和网站之间设置所需的加密长度。 您可以使用 Web 服务器的 SSL 安全功能进行两种类型的身份验证。可以使用
服务器证书 让用户在发送个人信息(如信用卡号码)之前对您的网站进行验证。也可以使用
客户端证书 对请求您网站上的信息的用户进行身份验证。
本文假定您使用第三方证书颁发机构 (CA) 为您的 Web 服务器提供身份验证。
要启用 SSL 服务器证书验证,并为您的用户提供他们希望的安全级别,您应该从第三方证书颁发机构获得证书。由第三方证书颁发机构颁发给您的组织的证书通常是与 Web 服务器密切关联的,更具体地说,是与您要绑定 SSL 的网站关联的。您可以用 Internet 信息服务 (IIS) 服务器创建自己的证书,但如果您这样做,您的客户必须将您默许为证书颁发机构。
本文假定:
•您已经安装 IIS。•您已经创建并发布了网站,并希望用 SSL 保障其安全。
回到顶端
获得证书
<script type="text/javascript">loadTOCNode(2, 'summary');</script> 要开始进行获得证书的过程,必须生成一个 CSR。您需要通过 IIS 管理控制台生成 CSR,所以必须首先安装 IIS。从本质上说,CSR 就是一个在您的服务器上生成的证书,当您向第三方证书颁发机构申请证书时,它可以验证有关您的服务器的计算机特定信息。CSR 就是一条用公钥/私钥对加密的文本消息。
通常在生成的 CSR 中将包含下列有关您计算机的信息:
•单位•部门•国家/地区•省•县市•公用名称注意:公用名称通常由您的主机名称和它所属的域组成,如 xyz.com。这里,计算机是 .com 域的一部分,其名称为 XYZ。这可以是您公司域的根服务器,或仅为一个网站。
生成 CSR
<script type="text/javascript">loadTOCNode(3, 'summary');</script>
1.访问 IIS Microsoft 管理控制台 (MMC)。为此,请右键单击我的电脑,单击管理。这将打开计算机管理控制台。展开服务和应用程序部分。找到 Internet 信息服务,展开 IIS 控制台。2.选择您希望安装服务器证书的特定网站。右键单击站点,然后单击属性。3.单击目录安全性选项卡。在安全通信部分,单击服务器证书。这将启动 Web 服务器证书向导。单击下一步。4.选择创建一个新证书,单击下一步。5.选择现在准备请求,但稍侯发送,然后单击下一步。6.在名称字段输入一个您可以记住的名称。该名称将默认为您为其生成 CSR 的网站的名称。注意:生成 CSR 时,您需要指定位长。加密密钥的位长决定了您发送给第三方证书颁发机构的加密证书的加密效果。位长越长,加密效果越好。大多数第三方证书颁发机构希望位长至少为 1024 位。7.在单位信息部分,输入您的单位和单位部门信息。该信息必须准确无误,因为您将把这些凭证提供给第三方证书颁发机构,而您必须符合他们的证书授权。单击下一步进入站点的公用名称部分。8.站点的公用名称部分负责将证书绑定到您的网站。对于 SSL 证书,输入主机名称和域名称。对于 Intranet 服务器,可以使用寄存站点的计算机的 NetBIOS 名称。单击下一步进入地理信息。9.输入您的国家/地区、州或省及国家或地区信息。完全拼出您的州或省和国家或地区,不要使用缩写。单击下一步。10.将文件保存为 .txt 文件。当您实际向证书颁发机构发送请求时,必须将该文件的内容粘贴到请求中。该文件将被加密,并包含内容的标题和脚注。请求证书时必须同时包含标题和脚注。CSR 应该类似于下面内容: -----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----
11.确认您的请求的细节。单击下一步完成,并退出 Web 服务器证书向导。
回到顶端
申请证书
<script type="text/javascript">loadTOCNode(2, 'summary');</script> 提交申请有多种方法。与您选择的证书提供者联系,申请并接收证书,同时确定符合您要求的最佳证书等级。
回到顶端
安装证书
<script type="text/javascript">loadTOCNode(2, 'summary');</script> 一旦第三方证书颁发机构完成了您的服务器证书请求,您将通过电子邮件或下载站点接收到您的证书。证书必须安装在您希望提供安全通信的网站上。
要安装证书,请执行下列步骤:
1.密钥只能用您早些时候生成的私钥加密。复制证书密钥的文本(它应该与您早些时候生成的密钥十分相似),并将其粘贴到一个 .txt 文档中。确保包含证书的标题和脚注。将文件保存为 Cert.txt。2.按“生成 CSR”一节中所描述的步骤打开 IIS MMC。3.进入要在上面安装证书的网站的属性对话框。4.单击目录安全性选项卡,然后单击服务器证书。这将启动 Web 服务器证书向导。单击下一步。5.选择处理挂起的请求并安装证书,然后单击下一步。6.浏览到您在第 1 步保存的文本文件。单击两次下一步,然后单击完成。
回到顶端
实施 SSL 连接
<script type="text/javascript">loadTOCNode(2, 'summary');</script> 安装了服务器证书后,您便可以对 Web 服务器的客户实施 SSL 安全通道通讯。首先,您需要启用端口 443,以便在网站上进行安全通信。为此,请按照下列步骤操作:
1.从计算机管理控制台中,右键单击您希望实施 SSL 的网站,然后单击属性。2.单击 Web 站点选项卡。在 Web 站点标识部分,验证 SSL 端口字段是否填充着数值 443。3.单击高级。您应该看到两个字段。IP 地址和网站的端口应该已经在此 Web 站点有多个标识字段中列出。如果没有列出端口 443,则在此 Web 站点有多个 SSL 标识字段下,单击添加。选择服务器的 IP 地址,在 SSL 端口字段中键入数值 443。单击确定。 启用了端口 443 后,您便可以实施 SSL 连接了。为此,请按照下列步骤操作:
1.单击目录安全性选项卡。在安全通信部分,请注意编辑现在已可用。单击编辑。2.选择需要安全通道(SSL)。注意:如果您指定 128 位加密,则使用 40 位或 56 位强度浏览器的客户端将无法与您的站点通信,除非他们升级加密强度。3.打开浏览器,试着用标准 http:// 协议连接您的 Web 服务器。如果实施了 SSL,您将收到如下错误消息:
The page must be viewed over a secure channel
The page you are trying to view requires the use of "https" in the address.
Please try the following:Try again by typing https:// at the beginning of the address you are attempting to reach.HTTP 403.4 - Forbidden:SSL required Internet Information Services
Technical Information (for support personnel) Background:This error indicates that the page you are trying to access is secured with Secure Sockets Layer (SSL).
现在您只能使用 https:// 协议连接网站。
