IIS6的SSL配置,如何配置SSL到登陆页,如何将SSL证书设置成受信任的证书
一、 申请证书
1. 到受信任的机构申请
略
2. 到自建的证书服务器申请
a. 安装证书服务
通过控制面板中的“添加/删除程序”,选择“添加/删除Windows组件”。在Windows组件向导中找到“证书服务”,安装即可,基本都是下一步(需要系统盘或者指定系统镜像的I386文件夹)。
如果觉得这期间设置有问题,删除此组件重新安装即可(此过程中重新设置)。
安装的过程中会提示需要IIS及ASP,单击“是”即可。
安装完毕,申请证书的地址就是http://你的证书服务器IP/certsrv/
b. 准备证书
到要申请证书的网站,右键点击“属性”→“目录安全性”→“服务器证书”→“新建证书”→“现在准备证书请求,但稍后发送”→设置证书的名称和特定位长,在位长处我们通过下拉菜单选择512→输入单位信息,包括单位和部门→在站点公用名称窗口输入IP(实际环境输入域名)→填写地理信息→设置证书请求的文件名及路劲,保存的文件名为certreq.txt→完成。
c. 申请
访问http://你的证书服务器IP/certsrv/,点击“申请一个证书”→“高级证书申请”→“使用 base64 编码的 CMC 或 PKCS #10 文件提交 一个证书申请,或使用 base64 编码的 PKCS #7 文件续订证书申请。”
用记事本打开上面保存的那个certreq.txt文件,将里面的内容全部复制,粘贴,提交,完成申请。
二、 颁发证书
1. 到信任机构申请的,按对方说明处理即可。
2. 到自建证书服务器申请的,需要到该服务器颁发。
“开始”→“程序”→“管理工具”→“证书颁发机构”
在待申请的证书上单击鼠标右键,弹出菜单中有“所有任务”项,接着选择子项“颁发”。这时这个“待定申请”就会转移到“颁发的证书”节点下。
在“颁发的证书”下找到刚才那个证书,双击打开。并在“证书属性窗口”的详细信息标签中选择“复制到文件”。
在“证书导出向导”中,任意选择一种CER格式导出,比如“DER 编码二进制”并保存成文件。
三、 安装证书
IIS中选择刚才新建过证书的网站,右键 “属性”→“目录安全性”→“服务器证书”,挂起的证书请求窗口中选择“处理挂起的请求并安装证书”选项。通过浏览按钮找到证书,点击“下一步”,完成安装。
四、 配置IIS
配置到整个网站:
点击网站,右键 “属性”→“目录安全性”→“编辑”,勾选“要求安全通道(SSL)”。
配置到网站的某个目录:
点击该网站的指定目录,右键 “属性”→“目录安全性”→“编辑”,勾选“要求安全通道(SSL)”。
配置到网站的某个页面(比如登陆页):
点击该网站的指定页面,右键 “属性”→“目录安全性”→“编辑”,勾选“要求安全通道(SSL)”。
五、 添加自签发的 SSL 证书为受信任的根证书(IE)
因为是自己签发的安全证书而不是经过认证的机构签发的,所以 Windows 无法自动信任该证书:此 CA 根目录证书不被信任。
要启用信任,请将该证书安装到“受信任的根证书颁发机构”存储区。单击“安装证书”按钮即可打开 Windows 证书导入向导,单击“ 下一步”即可开始安装证书。然后系统会询问该证书的存储位置。因为是未经认证的组织或个人自己签发的证书,如果选择让 Windows “根据证书类型,自动选 择证书存储”的话,一般会给存储到“中级证书颁发机构”中。以后加密访问该网站的时候还是会收到安全警告。 根据我们的需要 —— 以后打开自己的网站时候不会再发出安全警告,而且又是自己签发的证书,信任不成问题,咱就直接给添加到“受信任的根证书颁发机构”存储中。
点选“将所有的证书放入下列存储(P)”,然后单击“浏览(R)”,打开“选择证书存储”窗口来选择。有些时候可能需要选择“显示物理存储区(S)”,然后勾选“受信任的根证书颁发机构”下面的“本地计算机(Local Computer)”来存储。剩下的就是确认几次,任务完成!然后关闭浏览器重新打开,就可以试试效果了。
其他:403.4自动跳转到https是用js实现自动跳转到https链接,但是实际登陆页如果是https,不做处理的话后续页面也会是https,需要使用js或者后台代码将页面跳转到http的(登陆信息不会丢失)。
补充:证书服务器与web服务器不能是同一台电脑,如果证书服务器在internet不可见,那么即使在IE中添加信任也无效。
参考: