1. 程式人生 > >架設證書服務器 及 讓IIS啟用HTTPS服務

架設證書服務器 及 讓IIS啟用HTTPS服務

多條 按鈕 提交 錯誤頁 發送 默認 知識庫 http 搭建

2012點擊下鏈接

windows server2012之部署HTTPS安全站點

無廢話圖文教程,教你一步一步搭建CA服務器,以及讓IIS啟用HTTPS服務。




一、架設證書服務器(CA服務)

1.在系統控制面板中,找到“添加/刪除程序”,點擊左側的“添加/刪除windows組件”,在列表中找到“證書服務”,安裝之。
技術分享

2.CA類型,這裏有四種選擇,這裏以“獨立根CA”為介紹。

技術分享

3.CA識別信息,這裏可以為你的CA服務器起個名字。

技術分享

4.證書數據庫設置,用於保存證書的相關數據庫和日誌文件,這個默認就行了。

技術分享

5.安裝完成後,在 控制面板 - 管理工具 中就可以打開 證書頒發機構,這個工具是用於審核證書用的,後面會提到。

技術分享

6.安裝完成後,在IIS中,還會增加三個相關的目錄,其中的“CertSrv”就是證書申請的頁面了。

技術分享

7.打開相應的頁面,可以看到如下圖,至此,CA服務器基本已架設完成。

技術分享

二、讓IIS開啟HTTPS(SSL)功能

1.在IIS中的“默認網站”右鍵,選擇“屬性”,可看到網站屬性,點擊“目錄安全性”標簽頁,點擊“服務器證書”按鈕。

技術分享

2.選擇“新建證書”,下一步

技術分享

3.選擇“現在準備證書請求,但稍後發送”,下一步

技術分享

4.單位信息,這裏需要自己填寫,至於寫什麽,自己可以決定,這些信息會在證書中顯示。

技術分享

5.名稱和安全性,名稱默認是IIS網站的名稱,密鑰長度默認為1024位,下一步

技術分享

6.站點公用名稱,這個默認是服務器的機器名,請註意,如果IIS是對象服務的,此處必須填寫對應的域名。

技術分享

7.地理信息,隨便填吧,下一步

技術分享

8.證書請求文件名,默認是保存在C盤下,打開後會看到如下一串加密的字符串。

技術分享

技術分享

9.先將證書的加密串復制下來,前往前面提到的證書申請的頁面,選擇“申請一個證書”

技術分享

10.證書的申請方式,選擇“高級證書申請”

技術分享

11.選擇“使用base64……”

技術分享

12.將證書串填入文本框中,並“提交”,至此,完成了證書的申請。(先別急著關IE,點右上的“主頁”等著吧)

技術分享

13.回到證書頒發機構工具中,選擇左邊的“掛起的申請”,可以看到裏面有一條申請記錄,申請ID就是你剛才申請的ID。

選中記錄,右鍵 - 所有任務 - 頒發,這樣即可以頒發證書了。

點擊“頒發的證書”就可以看到剛剛頒發的證書了。

技術分享

技術分享

14,再回到證書申請頁面,選擇“查看掛起的證書申請的狀態”

技術分享

15.在這個頁面可以看到你之前申請的所有證書,多個的話有多條鏈接),點擊其中一條。

技術分享

16.在這裏,如果已經頒發的證書,就可以看到證書下載頁面了,一般選擇Base64編碼,下載證書。

下載證書鏈的話,可以把根CA的證書也一起下載。

技術分享

17.回到IIS,目錄安全性的那個頁面,還是點擊“服務器證書”,此時界面已改變,選擇“處理掛起的請求並安裝證書”,下一步

技術分享

18.選擇剛下載的證書,下一步

技術分享

19.填寫SSL使用的端口,一般默認是443,不需要修改。至此,便完成了證書的申請。

技術分享

20.如果要強制使用HTTPS訪問網站的話,在“目錄安全性”標簽頁中,點擊“編輯”按鈕。

技術分享

21.鉤選”要求安全通道(SSL)”一項

技術分享

22,此時,我們再刷新一下證書申請頁面,就可以看到403.4的錯誤頁面了,因為我們強制要求使用HTTPS來訪問網站了。

註意:如果不是整個網站要求使用HTTPS的話,也可以針對一個虛擬目錄進行設置,方法同上。

技術分享

23.修改為HTTPS訪問後,會提示安全警報,這裏提示證書名與站點名不匹配,那是因為我們使用localhost來訪問了。

還記得上面申請證書時,提到的公用名稱嗎?就是這個了,當時我們填的是機器名,所以和localhost當然不匹配。

這也是為什麽如果IIS有對外的話,要填域名的原因了,否則就會提示此安全警報了。

此處只需要將地址修改為:https://dier-vm03/certsrv,就不會提示安全警報了。

技術分享

24.擴展一下,不是每個用戶都是懂技術的,當普通用戶看到403.4錯誤,要求就不懂得加個S就能訪問,那腫麽辦?

其實很簡單,在“自定義錯誤”標簽頁中,找到403.4指向的頁面文件的位置,然後進去打開來。加一段腳本就搞定了。

其實就是利用JavaScript判斷是不是使用http的,如果是就自動跳轉到https

[javascript] view plain copy
  1. <script type="text/javascript">
  2. var url = window.location.href;
  3. if(url.indexOf("http:") > -1) window.location.href = url.replace("http:","https:");
  4. </script>

技術分享

好了,無廢話的圖文教程至此全部完成,順便BS一下CSDN的編輯器,居然不能一次上傳多個文件的,傳得累死 -。-

架設證書服務器 及 讓IIS啟用HTTPS服務