遗忘海岸

江湖程序员 -Feiph(LM战士)

导航

自架CA服务器,与SSL站点配置

1.首先需要按装CA,选择独立CA(不关联活动目录)
2.IIS6.0中选择需要实现SSL通信的站点的,属性-->目录安全--安全通信里的编辑,起用 要求安全通道(SSL)
3.证书申请,IIS6.0中站点属性-->目录安全--安全通信里的服务器证书,按向导生成一个certreq.txt文件(注意请求时的域名要填写正确要跟实际使用的对应,如在https://user.xxx.com下使用SSL则请填写user.xxx.com .
4.登入CA的Web申请页面选择[申请一个证书] -->[高级证书申请]-->[使用Baseb4.....],将certreq.txt文件的全部内容(注意是全部)复制到表单中提交,并记好ID
5.在CA管理控制台中批准刚才的请求.
6.登入CA.的Web页面,下载申请的证书到指定位置(如D\Cert\certnew.cer)
7.IIS6.0中站点属性-->目录安全--安全通信里的服务器证书,按向导选择刚才下载的证书(如D\Cert\certnew.cer)
8.客户端登入CA的Web页,下载CA服务器的证书
9.测试站点,输入https://user.xxx.com/...
完成!
---------------------------------------
 当然如果你只想配置一个基于SSL通信的web站点大可以不必如此麻烦,下面使用.net2.0 SDK的makecert.exe工具生存的自签名证书来设置加密站点.
makecert.exe 在.net2.0 SDK里,通过命令行使用
下面创建一个名为 MySQLServer 证书 并保存到文件 mycert.cer

makecert -r -pe -n CN="MySQLServer" -eku 1.3.6.1.5.5.7.3.1 -ss my -sr localmachine -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12  c:/mycert.cer

命令行开关

-r

创建自我签署的证书。自我签署的证书是指那些不是由证书颁发机构签署的证书。因为它不是由证书颁发机构签署的,所以可用于 SSL 所需的加密,但不可用于服务器身份验证。

-n

指定服务器名称。此名称必须符合 X.500 标准。最简单的方法是指定带有双引号且前面有 CN= 的名称。

-eku

将一些以逗号分隔的增强型密钥用法对象标识符 (OID) 指定到证书中。对于 SQL Server 2005,需要一个对具有 1.3.6.1.5.5.7.3.1 (szOID_PKIX_KP_SERVER_AUTH) OID 的服务器身份验证有效的 SSL 证书。

-ss

指定保存创建的证书的证书存储区。虽然可以将创建的证书保存到证书存储区的任何位置,但我们建议将证书保存在 my 存储区中。

-sr

指定证书所在的证书存储区。位置既可以是 currentuser(默认),也可以是 localmachine。因为此证书是为服务创建的,所以应将它放置在本地计算机中。

-sky

指定证书密钥类型。此开关的值必须为 signatureexchange 或整数(如 4)。对于 RSA 公钥交换算法,此处必需是 exchange。这是用于加密和解密会话密钥的密钥类型。

-sp

指定 CryptoAPI 提供程序名称。对于为 SQL Server 创建的证书,可以将其设置为 Microsoft RSA SChannel Cryptographic Provider

 

执行成功后到c:\盘下安装mycert.cer, 接着就可以在iis里的站点上使用了

posted on 2007-09-21 14:52  遗忘海岸  阅读(1387)  评论(0编辑  收藏  举报