How TO:架設 Certificate Services & 設定IIS網站SSL,part I
利用假日的時間,在Windows Server 2003上架設 Certificate Services,並設定IIS網站SSL。
截了一些圖,順便做個筆記。
一、架設Certificate Services
二、產生憑證申請
三、向CA申請憑證
四、CA核發憑證
五、下載憑證
六、將憑證安裝至IIS的網站上
運作方式上,應該有兩台機器,一台是CA,一台是我們自己的機器(Web Server),
如果想在Web Server上面裝CA,也是可以。
一、架設Certificate Services
在要安裝CA的那一台機器,先到控制台->新增或移除程式->新增或移除Windows元件:
勾選Certificate Services,並按確定。
(如果沒有安裝IIS,同時必須要勾選IIS)
選擇獨立根CA
輸入CA的名稱,取正式一點的名稱
都用預設值
開始安裝
安裝完畢
這個時候,我們自己架設的CA已經架設完畢。
控制台->系統管理工具->憑證授權單位,可以看到CA發出的授權等等,目前都是空的。
二、產生憑證申請
在我們自己的機器,打開IIS的管理介面,在網站上按右鍵->內容
選擇目錄安全設定->伺服器憑證
下一步
建立新憑證
準備要求但稍後傳送
為您的網站取一個正式的名稱,位元長度選擇預設的512
輸入公司正式的名稱及部門名稱
這個名稱算是整個申請步驟最重要的一步:
如果我網站的位址是www.xxx.aa.cc,就要在這裡輸入www.xxx.aa.cc。
輸入後未來若更改,就要再跟CA申請一次(如果是跟CA公司買,就要再付一次錢啦!)
不要輸入www.xxx.aa.cc/bbb/這種目錄名稱。
輸入所在位置
IIS將會產生一個憑證的要求,把他存起來。
如果資料沒問題的話,就按下一步
完成。申請憑證要求的檔案已經建立完成。
此時去剛剛存檔的地方,把那個文字檔打開,
裡面應該會看到一堆亂碼,待會需要用到這個喔!!
下一步:三、向CA申請憑證
我們剛剛已經產生完憑證申請的檔案了。
所以接下來就要跟CA申請憑證了。
一、架設Certificate Services
二、產生憑證申請
三、向CA申請憑證
四、CA核發憑證
五、下載憑證
六、將憑證安裝至IIS的網站上
三、向CA申請憑證
在我們的機器上,輸入CA的網址:http://ca機器名稱/CertSrv/,點選「要求憑證」。
點選「進階憑證要求」。
點選「用 Base-64 編碼的 CMC 或 PKCS #10 檔案來提交憑證要求,或用 Base-64 編碼的 PKCS #7 檔案提交更新要求」
把我們之前產生的那個文字檔貼上來
申請完了,接下來就等CA把憑證發給我們。我們在回來這裡下載。
回到CA的首頁:http://ca機器名稱/CertSrv/,點選「檢視擱置中的憑證要求狀態」
可以看到我們剛剛提出的申請,點選「已儲存要求的憑證」。
可以看到我們的申請還在擱置中,代表還沒處理好。繼續等吧。
四、CA核發憑證
因為我們的CA是自己架設的,如果我們不去核發憑證,是不會有人幫我們發行的。
在CA那台機器上,控制台->系統管理工具->憑證授權單位,擱置的要求裡面,多了一個我們剛剛提出的申請。
在要發行的項目上面,按右鍵->所有工作->發行。
剛剛那個項目就已經跑到「已發出的憑證」裡面了
這個時候,憑證已經發出了,我們就要上去CA把憑證抓下來囉!!
下一步:五、下載憑證
當CA已經發行完憑證之後,我們就要來下載憑證,
並安裝到我們的IIS上面。
一、架設Certificate Services
二、產生憑證申請
三、向CA申請憑證
四、CA核發憑證
五、下載憑證
六、將憑證安裝至IIS的網站上
五、下載憑證
在我們自己的機器,回到CA的首頁:http://CA名稱/CertSrv/,點選「檢視擱置中的憑證要求狀態」
一樣點選我們申請的憑證
此時看到的畫面已經變成「憑證已發出」,點選「Base64編碼」,並點選「下載憑證」,
將下載一個crv檔,請將這個檔案保存好,如果不見我們又要再跟CA申請一次了。
六、將憑證安裝至IIS的網站上
在我們自己的機器,點選網站->右鍵內容->「網站」,這個時候SSL連接埠還是空白的
點選「目錄安全設定」->「伺服器憑證」
下一步
點選「處理擱置要求及安裝憑證」
選取我們剛剛從CA下載的憑證,下一步
會看到我們之前填寫的內容,下一步
完成
「SSL連接埠」已經變成443了。
輸入我們網站的網址,記住,用https的方式來連線喔。
會出現警告視窗(這一部分就先不談了),按「是」
IE的右下角出現了一個鎖的圖案,代表我們現在已經用SSL的方式連線囉!!
成功!!
留言列表
wwtech (0)
