IIS60服务器证书安装使用指南

SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-1-IIS6.0服务器证书安装使用指南上海数字证书认证中心有限公司2009/01/05SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-2-文档说明：本文档是IIS6.0SSL双向认证安装使用指南，详细描述了用于IIS6.0服务器的WEB服务器证书的申请、安装、备份、恢复以及SSL双向认证的配置。版本信息：当前版本3.0技术支持中心版权信息：SHECA是上海市数字证书证书认证中心有限公司的注册商标和缩写。UCA是上海市数字证书证书认证中心有限公司研究开发的通用证书系统的商标和缩写。本文的版权属于上海市数字证书证书认证中心有限公司，未经许可，任何个人和团体不得转载、粘贴或发布本文，也不得部分的转载、粘贴或发布本文，更不得更改本文的部分词汇进行转贴。未经许可不得拷贝，影印。Copyright@2008上海数字证书认证中心有限公司SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-3-文档发行说明当您阅读完本文档，您应该能解决如下问题：1、WEB服务器证书的请求文件CSR的产生；2、WEB服务器证书的在线申请；3、WEB服务器证书的安装；4、WEB服务器SSL安全配置；5、WEB服务器证书的导出（备份）和导入（恢复）；6、SSL双向认证的配置；文档书写环境说明：本文档的具体试验环境：WEB服务器：Windows2003EnterpriseServerEdition+IIS6.0客户端：WindowsXPProfessionalVersion+ServicePack3SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-4-WEB服务器证书申请请求文件（CSR）产生1、产生证书请求（CSR）文件开始程序管理工具Internet信息服务管理SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-5-2、鼠标右键单击“默认站点”，并在弹出菜单中选择“属性”SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-6-3、在默认WEB站点属性窗口选择“目录安全性”SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-7-4、在“安全通讯”栏目中用鼠标点击“服务器证书”，出现WEB服务器证书向导2、鼠标单击下一步，选择创建一个新证书，开始证书请求向导SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-8-SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-9-3、选择产生请求文件，不直接发送4、以下根据提示按照您的WEB服务器的实际信息输入SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-10-注意：选择1024位密钥长度SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-11-注意：通用名一定是WEB服务器的域名（FQDN），如果在这一步你输入不正确，那会对您以后正确使用WEB服务器证书有影响。注意：请确保您的以上信息和您提交至上海CA的申请表上的信息一致，否则将会导致不能签发证书。SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-12-注意：请确认证书请求文件（CSR）保存位置注意：确认刚才您输入的信息的正确性SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-13-注意：完成证书申请请求，请求文件为certreq.txt，具体格式类似如下形式：SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-14-WEB服务器证书在线申请Web服务器证书网上申请流程：第一步：登陆，点击证书申请立即申请安全站点证书，请点击；在方框里输入从SHECA证书受理点获取的密码信封序列号和信封密码(注:由于申请的是WEB服务器证书,所以设定的私钥密码不起作用)第二步：完成输入后，进入下一个页面,此时选择勾选“高级选项”，并选择“用户自上送P10证书请求”并在最底部的输入框内贴入证书请求中去除BEGIN以及END的部分内容，如下图所示SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-15-第三步：请耐心等待证书签发.第四步：请选择证书保存的路径，如需保存为PEM格式，则勾选”PEM”，并点击保存证书。SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-16-SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-17-WEB服务器证书的安装1、进入InternetInformationServices管理开始程序管理工具InternetInformationServices管理SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-18-2、鼠标右键单击默认WEB站点，并在弹出菜单中选择属性SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-19-3、在默认WEB站点属性窗口选择目录安全性SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-20-4、在安全通讯栏目中用鼠标点击服务器证书，出现WEB服务器证书向导5、鼠标单击下一步，开始进行WEB服务器正书安装向导，然后按照提示操作SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-21-注意：这个文件是你从SHECA网站申请成功下载的证书SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-22-端口默认的是443，您也可以根据实际情况更改注意：仔细确认WEB服务器证书的具体信息SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-23-注意：完成WEB服务器证书的安装SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-24-WEB服务器SSL安全配置1、进入InternetInformationServices管理开始程序管理工具InternetInformationServices管理SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-25-2、鼠标右键单击默认WEB站点，并在弹出菜单中选择属性SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-26-3、在默认WEB站点属性窗口选择目录安全性SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-27-4、在安全通讯栏目中用鼠标点击编辑，出现安全通讯界面注意：如果您在需要安全通道（SSL）前打上勾，则以后客户端浏览器仅可以通过HTTPS访问您的WEB服务器；如果您在需要128位加密前打上勾，则以后客户端浏览器只有具备128位加密强度之后才可以访问您的WEB服务器；有关浏览器的加密强度请咨询相关软件开发商；客户端证书选项分三种：i.忽略客户端证书：客户端访问WEB服务器的时候不需要提供客户端自己证书ii.接收客户端证书：客户端访问WEB服务器的时候弹出客户端验证窗口，允许客户端选择自己的证书，进行身份验证，然后访问WEB服务器，这时，如果客户端没有自己的证书，访问仍旧可以照常进行iii.需要客户端证书：这里仅当客户端拥有自己的证书，并通过验证之后，访问才可以进行下去允许客户端证书映射，这项功能是将您的WEB服务器上的资源和WINDOWS帐号下的用户通过证书捆绑。SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-28-5、根据实际需要完成了安全通讯的设置SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-29-6、重启您的IIS服务器，通过客户端浏览器访问您的WEB服务器，假如在先前的设置中需要您设置了需要客户端证书的话，这时候会弹出客户端认证窗口，选择您相应的个人证书，确认密钥交换，请单击OK按钮。顺利实现SSL的双向认证，就可以访问https的站点了。基本的WEB服务器安全配置（SSL）已经完成。SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-30-WEB服务器证书的导出（备份）1、进入InternetInformationServices管理开始程序管理工具InternetInformationServices管理SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-31-2、鼠标右键单击默认WEB站点，并在弹出菜单中选择属性SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-32-3、在默认WEB站点属性窗口选择目录安全性SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-33-4、在安全通讯栏目中用鼠标点击服务器证书，出现WEB服务器证书向导界面5、单击下一步，出现IIS证书向导界面，这时候您有若干种选择来处理您已安装的WEB服务器证书。SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-34-6、我们选择导出当前证书到.pfx文件，这样，我们以后就可以通过这个文件恢复这个WEB服务器证书。选择一个保存路径，单击下一步SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-35-7、输入.pfx文件的保护口令SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-36-8、出现导出证书的简要说明，确认之后，单击下一步9、完成您的WEB服务器证书的备份工作SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-37-注意：请将导出的WEB服务器证书妥善保管，以备不时之需。SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-38-WEB服务器证书的导入（恢复）假如由于系统出了问题，导致IIS崩溃或其他不可测原因迫使你重新安装了IIS或操作系统，那么您可以通过以下方式来恢复您的IISWEB服务器证书。1、进入InternetInformationServices管理开始程序管理工具InternetInformationServices管理SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-39-2、鼠标右键单击默认WEB站点，并在弹出菜单中选择属性SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-40-3、在默认WEB站点属性窗口选择目录安全性SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-41-4、在安全通讯栏目中用鼠标点击服务器证书，出现WEB服务器证书向导界面5、单击下一步，出现IIS证书向导。这里分两种情况：a)仅仅是重新安装了IIS，或者丢失了WEB服务器证书：这时候我们可以选择指派一个已经存在本地容器里的证书b)假如说您重新安装了您的WINDOWS操作系统，那还可以通过导入先前我们备份的WEB服务器证书.pfx文件来恢复您的WEB服务器证书，所以我们这时候选择从一个.pfx文件导入证书SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-42-为了便于以后导出（备份），请在标记证书可导出前打勾。SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-43-输入您在先前导出WEB服务器证书时输入的.pfx保护口令确认端口，默认是443SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-44-请确认证书简要说明完成证书导入（恢复）SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-45-IIS服务器的信任列表添加在SSL双向认证中，假如客户端需要信任其他的根签发的证书，则需要做一下的配置：1、点击“目录安全性”标签中的“编辑”按钮2、勾选“启用证书信任列表”并点击“新建”按钮SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-46-3、点击“下一步”5、点击“从文件中添加”SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-47-6、选择你需要信任的根证书SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-48-7、如图所示，在当前的CTL证书里面会有一个刚才添加的根证书