在IIS下設定SSL的步驟

什麼是SSL?「安全通訊端層」SSL是提供驗證、機密性與資料完整性的一組密碼編譯技術。SSL是在Web瀏覽器與網頁伺服器間透過憑證授權單位(CA)建立安全通訊通道,可加強一般網站用戶再輸入個人資料的安全性。憑證授權單位(以下稱CA)可以向其他家公司購買,也可以自己產生,不過要透過設定台安裝Microsoft 憑證服務。適用於XP或2000(含 Service Pack 3)及更新的作業系統、IIS 5.0或以上

設定步驟如下:

第一步驟:產生SSL憑證檔案
1.打開IIS選取要安裝憑證的網站點右鍵選取[內容]。(不能選取虛擬目錄)
2.[目錄安全設定]/[安全通訊]/[伺服器憑證]啟動[Web 伺服器憑證精靈],點選[下一步]。
3.跳過[歡迎使用]對話方塊。
4.點選[建立新憑證],點選 [下一步]。
5.選擇[準備要求,但於稍後傳送],再點選 [下一步]。
6.[名稱]中鍵入憑證的電腦或網站名稱,並在[位元長度]中輸入金鑰的位元長度,點選[下一步]。
7.[組織]中輸入組織名稱 (如: mywebsite),並在[組織單位]中輸入組織單位,點選[下一步]。
8.[公用名稱]中(如果是對外網站輸入 www.mywebsite.com 內部區域網路則輸入該電腦NetBIOS或DNS)。這是憑證中最重要的資訊,如果與網站名稱不符,則user瀏覽至該網站時報告憑證問題。點選[下一步]。
9.輸入[國家/地區]、[省/州]與[城市/位置],點選[下一步]。
10.輸入憑證要求的檔案位置名稱(例如 C:\mytest.txt)。
11.[下一步]/[下一步]/[完成]。

用記事本打開mytest.txt內容如下:

-----BEGIN NEW CERTIFICATE REQUEST-----
MIIDZjCCAs8CAQAwgYoxNjA0BgNVBAMTLW1penJvY2tsYXB0b3Aubm9ydGhhbWVy...
-----END NEW CERTIFICATE REQUEST-----

這是憑證要求的 Base 64 編碼表示法,其中包含公開金鑰、私密金鑰簽署的資訊並會傳送至CA。CA會使用憑證要求中的公開金鑰資訊,來驗證私密金鑰的資訊。

第二步驟:提交憑證要求

1.打開mytest.txt並將內容複製到剪貼簿上。
2.開啟IE,打上http://hostname/CertSrv/default.aspx,其中hostname是執「Microsoft憑證服務」的電腦名稱。


3.點選[要求憑證],點選 [下一步]。
4.在[選擇要求類型]上點選 [進階要求],點選 [下一步]。

5.在[進階憑證要求]上點選 [使用 base64 編碼 PKCS#10 檔案,提交憑證要求],點選 [下一步]。

6.在[提交已儲存的要求]上點選 [Base64 編碼憑證要求(PKCS #10 或 #7)]文字方塊,再點選 CTRL+V,貼上剛複製到剪貼簿中的憑證要求。

7.在[憑證範本]下拉式方塊中點選[Web伺服器]。

8.點選[提交]完成該步驟。

第三步驟:發行憑證

1.控制台/系統管理工具/憑證授權單位
2.展開後選取[擱置要求]資料夾。

3.選取剛提交的憑證要求。
4.點選功能表上的[執行]/[所有工作]/[發行]。
5.點選 [發出的憑證] 資料夾。

6.在[詳細資料]中點選[複製到檔案],並儲存為 Base-64 Encoded X.509 憑證。
7.輸入欲產生的憑證檔案名稱,例如:C:\mytest.cer

在網頁伺服器上安裝憑證

1.啟動IIS/伺服器名稱,選取要安裝憑證的網站點右鍵/[內容]。
2.點選[目錄安全設定] 索引標籤。
3.點選[伺服器憑證],以啟動 [Web 伺服器憑證精靈]。
4.點選[處理擱置要求及安裝憑證],再點選 [下一步]。
5.輸入包含 CA 回應的檔案路徑與檔案名稱,再點選 [下一步]。
6.檢查憑證的概觀,點選 [下一步],再點選 [完成]。

憑證現已安裝在網頁伺服器上,將網站設定需要 SSL 存取

1.IIS/伺服器名稱/網站。(這必須是已安裝憑證的網站)。
2.在虛擬目錄上點選右鍵/[內容]/[目錄安全設定]索引標籤。
3.在[安全通訊]下點選 [編輯]。
4.點選 [必須使用安全通道(SSL)]。
5.瀏覽至此虛擬目錄的用戶端現在必須使用 HTTPS。
6.大功告成