问:
为了启用 SSL,我需要在服务器上安装证书。但是我不想购买证书,因为我只是在企业内部网中使用。为 IIS 创建证书需要安装证书服务吗?
答:
那是您达到目标的方法之一。在 IIS 服务器上安装证书服务时,会创建一个名为 Certserv 的虚拟目录,其中包含了一个至证书服务的基于 Web 的接口。您可以创建证书请求,然后将它粘贴到证书服务应用程序的表格中,这个程序将会为您颁发一个证书。您可以从许多地方查找到这方面的详细指导,例如:使用 IIS 5.0 中的证书向导生成证书请求文件 (英文),和如何:使用证书服务器 2 在 Windows 2000 IIS 5.0 测试环境中配置 SSL (英文)。
最后我要说的是,如果您使用的是 IIS 6.0,而且为了测试目的或内部使用需要安装证书,那么您应该使用 SelfSSL 工具,这样两秒钟内即可完成,这个工具可在 IIS 6 资源工具包 (英文)中找到。只要在命令行键入 SelfSSL,它就会立即在默认的 Web 站点上安装自签名的证书。您可以在其他站点上安装证书,并控制证书的内容,例如,使用命令行选项设置常用名称以及有效日期。要了解详细信息,可以查看有关 SelfSSL 的文档资料。
如果使用的不是 IIS 6,您可以使用 SSLDiag 工具 (英文),这个工具可从 Microsoft 下载中心获取。为了获取 SSLDiag 文档资料,务必下载完整版的 setup.exe 软件包。要在 Web 站点上安装证书,在 SSL Diagnostics 主窗口中右键单击这个 Web 站点层(显示为 [W3SVC/<站点编号>]),然后单击 Create New Certificate。您不能通过这个工具自定义证书,但是您可以安装自动生成的证书,用于测试。
虽然这些工具能够创建自签名的证书,但是如果您需要能够深入控制内容的自签名证书(例如,为外部网颁发客户端证书),那么您必须使用证书服务。如果希望您的 Web 站点能够为匿名用户提供受信任的 SSL 连接,那么您需要从可靠的证书颁发机构购买证书。
