iis7.5上配置ssl.docx

分别在两台计算机上执行 Microsoft BizTalk Server 2010 和 Microsoft BizTalk 2010 Accelerator for RosettaNet (BTARN) 的完全安装。有关详细信息，请参阅安装说明。重要提示必须确保 BTARN 的附加配置已经完成。其中包括启动 BTARN 业务流程。有关详细信息，请参阅“Microsoft BizTalk 2010 Accelerator for RosettaNet 的附加配置”。 本教程使用两台计算机而不是一台具有环回协议的计算机来模拟现实方案。本教程用占位符作为计算机名。您必须用自己选择的实际计算机名来取代相应的占位符。例如，如果正在运行您的 Contoso 解决方案的计算机叫做 Contoso，则凡是在教程中出现 的地方一律替换为 Contoso。 本教程使用证书改进 Contoso 和 Fabrikam 之间的安全通信。您必须生成所需证书，并将其安装在各自的计算机上。本部分的内容 步骤 1：创建证书颁发机构 步骤 2：创建公用和私用证书 步骤 3：导入公用和私用证书 步骤 4：在 IIS 中启用安全套接字层 步骤 1：创建证书颁发机构在本主题中，您将安装证书服务 Windows 组件。并使用该组件生成在 Contoso 组织与 Fabrikam 组织之间进行安全通信所需的证书。每个贸易合作伙伴都将拥有一个专用的通信加密证书和一个用于标识身份的专用签名证书。此外，合作伙伴将彼此共享公钥证书，以便在实现 3A2 合作伙伴流程接口 (PIP) 时实现安全通信。安装证书服务器1. 单击“开始”，指向“设置”，然后单击“控制面板”。双击“添加或删除程序”。2. 在“添加或删除程序”对话框中，单击“添加/删除 Windows 组件”。3. 在“Windows 组件向导”页的“组件”部分中，选择“证书服务”，单击“是”，然后单击“下一步”，启动“配置组件向导”。注意如果“证书服务”Windows 组件已选中，请跳过此过程的其他操作。 4. 在“CA 类型”页中，确保“独立根 CA”已选中，然后单击“下一步”。5. 在“CA 标识信息”页的“此 CA 的公用名称”框中，键入 Contoso-FabrikamCA，然后单击“下一步”。6. 在“证书数据库设置”页中，保留默认值，然后单击“下一步”。7. 当向导提示您停止 Internet 信息服务 (IIS) 时，请单击“是”。8. 当“配置组件向导”提示您启用 Active Server Pages 时，请单击“是”。9. 单击“完成”关闭“Windows 组件向导”。注意您只需将一台计算机用作证书颁发机构。而不必在第二台计算机上重复此步骤。本教程将 Contoso 计算机用作证书颁发机构。 安装 Windows Server 2008 的根证书颁发机构 (CA)1. 打开服务器管理器，在“角色”中单击“添加角色”，单击“下一步”，然后单击“Active Directory 证书服务”复选框。两次单击“下一步”。2. 在“选择角色服务”页上，单击“证书颁发机构和证书颁发机构 Web 注册”。单击“下一步”。3. 在“指定安装类型”页上，单击“独立”。单击“下一步”。 4. 在“指定 CA 类型”页上，单击“根 CA”。单击“下一步”。5. 在“设置私钥”页上，单击“新建私钥”。单击“下一步”。6. 在“为 CA 配置加密”页上，单击“下一步”。7. 在“配置 CA 名称”页的“此 CA 的公用名称”框中，键入“Contoso-FabrikamCA”，然后单击“下一步”。 8. 在“设置有效期”页上，单击“下一步”。9. 在“配置证书数据库”页上，单击“下一步”。10. 在“确认安装选项”页上，单击“安装”。配置此 CA 的网站以使用 HTTPS 身份验证1. 在您用作证书颁发机构的计算机上，单击“开始”，指向“所有程序”，再指向“管理工具”，然后单击“Internet 信息服务(IIS)管理器”。2. 在“Internet 信息服务(IIS)管理器”对话框中，右键单击“默认网站”，然后从弹出菜单中选择“编辑绑定”。3. 在“网站绑定”对话框中，单击“添加”。4. 在“添加网站绑定”对话框中，从“类型”下拉列表中选择“https”，从“SSL 证书”下拉列表中选择该证书，然后单击“确定”。5. 单击“关闭”，以关闭“网站绑定”对话框。下载 CA 证书1. 在 Internet Explorer 中，找到并打开 http:/certsrv/Default.asp。2. 在 Default.asp 页中，单击“下载 CA 证书、证书链或 CRL”。3. 请确保已在“CA 证书”列表中选中“当前Contoso-FabrikamCA”，然后单击“下载 CA 证书”。4. 将该证书保存为 Contoso 和 Fabrikam 计算机上的 C:CertsContoso-FabrikamCA.cer。将 CA 证书导入受信任根证书授权机构存储区1. 单击“开始”，再单击“运行”，键入“cmd”，然后单击“确定”。2. 在命令提示符处，转到 :Program FilesMicrosoftBizTalk 2010 Accelerator for RosettaNetSDK，然后按 Enter。3. 在命令提示符处，键入 CertWizard /Rootkey :CertsContoso-FabrikamCA.cer，然后按 Enter。重要提示此步骤在 Contoso 和 Fabrikam 计算机上都要执行。 启用自动颁发证书1. 在用作证书颁发机构的计算机上，单击“开始”，依次指向“程序”和“管理工具”，然后单击“证书颁发机构”。2. 在“证书颁发机构”对话框中，用鼠标右键单击“Contoso-FabrikamCA”，然后单击“属性”。3. 在“Contoso-FabrikamCA 属性”对话框的“策略模块”选项卡中，单击“属性”。4. 在“属性”对话框中，选择“按照证书模板中的设置”，然后单击“确定”。5. 单击“确定”关闭“Contoso-FabrikamCA”对话框。6. 关闭“证书颁发机构”对话框。注意通过启用自动颁发证书，证书服务可将证书颁发过程自动化。必须重新启动证书服务才能应用此更改。 您可能需要将根证书 Contoso-FabrikamCA.cer 安装在 Current UserTrusted Root Certification authorities 中。 步骤 2：创建公用和私用证书在此步骤中，您使用在步骤 1：创建证书颁发机构 RN3 中创建的证书颁发机构来生成 Contoso 和 Fabrikam 组织所使用的公用和私用证书。生成 Contoso 和 Fabrikam 加密证书1. 在用作证书颁发机构的计算机上，在 Internet Explorer 中找到并打开 http:/certsrv。2. 在“欢迎”页上，单击“申请一个证书”。3. 在“申请一个证书”页上，单击“高级证书申请”。4. 在“高级证书申请”页上，单击“创建并向此 CA 提交一个申请”。5. 在“高级证书申请”页上，执行下列操作：使用的项 执行的操作 名称 键入 Fabrikam 加密。电子邮件 键入 。公司 键入 Fabrikam。部门 键入测试。城市 键入测试。省/市/自治区 键入测试。国家/地区 键入 US。需要的证书类型 从下拉列表中选择“电子邮件保护证书”。密钥用法 选择“交换”选项。附加密钥选项 请选中以下选项： 标记密钥为可导出 将证书存储在本地计算机证书存储中 友好名称 键入 Fabrikam 加密。6. 单击“提交”，然后在“Web 访问确认”对话框中单击“是”。7. 在“证书已颁发”页上，单击“安装此证书”。8. 重复步骤 1 到步骤 7，将“识别信息”部分的“名称”框中的信息与“友好名称”框中的信息更改为“Contoso 加密”。生成 Contoso 和 Fabrikam 签名证书1. 在 Internet Explorer 中，找到并打开 http:/certsrv。2. 在“欢迎”页上，单击“申请一个证书”。3. 在“申请一个证书”页上，单击“高级证书申请”。4. 在“高级证书申请”页上，单击“创建并向此 CA 提交一个申请”。5. 在“高级证书申请”页上，执行下列操作：使用的项 执行的操作 名称 键入 Fabrikam 签名。电子邮件 键入 。公司 键入 Fabrikam。部门 键入测试。城市 键入测试。省/市/自治区 键入测试。国家/地区 键入 US。需要的证书类型 从下拉列表中选择“电子邮件保护证书”。密钥用法 选择“签名”选项。附加密钥选项 请选中以下选项： 标记密钥为可导出 将证书存储在本地计算机证书存储中 友好名称 键入 Fabrikam 签名。6. 单击“提交”，然后当询问是否请求证书时单击“是”。7. 在“证书已颁发”页上，单击“安装此证书”。8. 重复步骤 1 到步骤 7，将“识别信息”部分的“名称”框中的信息与“友好名称”框中的信息更改为“Contoso 签名”。生成用作加密证书和签名证书的私用证书1. 单击“开始”，再单击“运行”，键入 MMC，然后单击“确定”。2. 在“控制台 1”窗口中的“文件”菜单上，单击“添加/删除管理单元”。3. 在“添加/删除管理单元”对话框中的“独立”选项卡上，单击“添加”。4. 在“添加独立管理单元”对话框中，从“可用的独立管理单元”列表中选择“证书”管理单元，然后单击“添加”。5. 在“证书管理单元”对话框中，选择“我的用户帐户”，然后单击“下一步”。6. 在“选择计算机”对话框中，单击“完成”。7. 在“添加独立管理单元”对话框中，单击“关闭”。8. 在“添加/删除管理单元”对话框中，单击“确定”。9. 在“控制台 1”窗口中，展开“证书(本地计算机)”，再展开“个人”，然后单击“证书”。10. 在右侧窗格中，用鼠标右键单击“Fabrikam 加密”证书，指向“所有任务”，然后单击“导出”。11. 在“欢迎使用证书导出向导”页上，单击“下一步”。12. 在“导出私钥”页上，选择“是，导出私钥”，然后单击“下一步”。13. 在“导出文件格式”页上，确保只选择了“个人信息交换”选项，然后单击“下一步”。14. 在“密码”页上的“密码”框和“确认密码”框中，键入 mysecret，然后单击“下一步”。15. 在“要导出的文件”页上，单击“浏览”。16. 在“另存为”对话框中，使用 :CertsFabrikam Private Encryption.pfx 文件路径保存该证书。17. 在“要导出的文件”页上，单击“下一步”。18. 在“正在完成证书导出向导”页上，单击“完成”。19. 在“证书导出向导”的指示导出成功的弹出框中，单击“确定”。20. 对于“Fabrikam 签名”证书，请重复步骤 10 到步骤 19，并使用 Fabrikam Private Signature.pfx 文件名。21. 对于“Contoso 签名”证书和“Contoso 加密”证书，请分别重复步骤 10 到步骤 19，并分别使用 Contoso Private Signature.pfx 和 Contoso Private Encryption.pfx 文件名。生成用作加密证书和签名证书的公用证书1. 在“控制台 1”窗口中，展开“证书 - 当前用户”，再展开“个人”，然后单击“证书”。2. 右键单击“Fabrikam 加密”证书，指向“所有任务”，然后单击“导出”。3. 在“欢迎使用证书导出向导”页上，单击“下一步”。4. 在“导出私钥”页上，选择“不，不要导出私钥”，然后单击“下一步”。5. 在“导出文件格式”页上，单击“下一步”。6. 在“要导出的文件”页上，单击“浏览”。7. 在“另存为”对话框中，在“保存于”中输入“:Certs”，在“文件名”中输入“Fabrikam Public Encryption.cer”，在“保存类型”中输入“*.cer”，然后单击“保存”。8. 在“要导出的文件”页上，单击“下一步”。9. 在“正在完成证书导出向导”页上，单击“完成”。10. 在“证书导出向导”的指示导出成功的弹出框中，单击“确定”。11. 对于“Fabrikam 签名”证书，请重复步骤 1 到步骤 9，并使用 Fabrikam Public Signature.cer 文件名。12. 对于“Contoso 签名”证书和“Contoso 加密”证书，请分别重复步骤 1 到步骤 9，并分别使用 Contoso Public Signature.cer 和 Contoso Public Encryption.cer 文件名。步骤 3：导入公用和私用证书在此步骤中，您将在步骤 2：创建公用和私用证书 RN3 中创建的证书导入 Contoso 和 Fabrikam 计算机。每台计算机将导入自己的私用证书和对方组织的公用证书。注意您必须将 Fabrikam 私用证书和 Contoso 公用证书传输至 Fabrikam 计算机以导入它们。此步骤假设您将这些证书存放在 Fabrikam 计算机的 C:Certs 文件夹中。 在 Contoso 计算机上导入 Contoso 私用证书1. 在 Contoso 计算机上，单击“开始”，再单击“运行”，键入“cmd”，然后单击“确定”。2. 在命令提示符处，转到 :Program FilesMicrosoft BizTalk 2010 Accelerator for RosettaNetSDK，然后按 Enter。3. 在命令提示符处，键入 CertWizard /Privatekey :CertsContoso Private Encryption.pfx，然后按 Enter。4. 在“请为证书文件输入密码”提示符处，键入 mysecret，然后按 Enter。5. 在“Enter password for identity HostSvc”提示符处，键入 HostSvc 帐户密码，然后按 Enter。注意如果您的 BizTalkServerApplication 在非 HostSvc 的帐户名下运行，则提示符会有所不同。 6. 在“此本组织证书将用于”提示符处，键入“D”，然后按 Enter。CertWizard 会将证书导入用户帐户（BizTalkServerApplication 和 BizTalkServerIsolatedHost 主机在该用户帐户下运行）的 “个人”“证书”存储区中。7. 为 Contoso Private Signature.pfx 证书重复步骤 3-6，在“This home certificate will be used for”提示符（在步骤 6 中出现）处键入“S”来指定它是签名证书。在 Contoso 计算机上导入 Fabrikam 公用证书1. 在 Contoso 计算机上，单击“开始”，再单击“运行”，键入“cmd”，然后单击“确定”。2. 在命令提示符处，转到 :Program FilesMicrosoft BizTalk 2010 Accelerator for RosettaNetSDK，然后按 Enter。3. 在命令提示符处，键入 CertWizard /Publickey :CertsFabrikam Public Encryption.cer，然后按 Enter。4. 为 Fabrikam Public Signature.cer 证书重复步骤 3。在 Fabrikam 计算机上导入 Fabrikam 私用证书1. 将以下文件从 Contoso 计算机复制到 Fabrikam 计算机上的 :Certs 文件夹：Contoso Public Encryption.cer、Contoso Public Signature.cer、Fabrikam Private Encryption.pfx 和 Fabrikam Private Signature.pfx。2. 在 Fabrikum 计算机上，单击“开始”，再单击“运行”，键入“cmd”，然后单击“确定”。3. 在命令提示符处，转到 :Program FilesMicrosoft BizTalk 2010 Accelerator for RosettaNetSDK，然后按 Enter。4. 在命令提示符处，键入 CertWizard /Privatekey :CertsFabrikam Private Encryption.pfx，然后按 Enter。5. 在“请为证书文件输入密码”提示符处，键入 mysecret，然后按 Enter。6. 在“Enter password for identity HostSvc”提示符处，键入 HostSvc 帐户密码，然后按 Enter。注意如果您的 BizTalkServerApplication 在非 HostSvc 的帐户名下运行，则提示符会有所不同。 7. 在“此本组织证书将用于”提示符处，键入“D”，然后按 Enter。CertWizard 会将证书导入用户帐户（BizTalkServerApplication 和 BizTalkServerIsolatedHost 主机在该用户帐户下运行）的 “个人”“证书”存储区中。8. 对于 Fabrikam Private Signature.pfx 证书，重复步骤 4-7，在步骤 6 中，在“此本组织证书将用于”提示符处键入“S”来指定它是签名证书。在 Fabrikam 计算机上导入 Contoso 公用证书1. 在 Fabrikum 计算机上，单击“开始”，再单击“运行”，键入“cmd”，然后单击“确定”。2. 在命令提示符处，转到 :Program FilesMicrosoft BizTalk 2010 Accelerator for RosettaNetSDK，然后按 Enter。3. 在命令提示符处，键入 CertWizard /Publickey :CertsContoso Public Encryption.cer，然后按 Enter。4. 为 Contoso Public Signature.cer 证书重复步骤 3。步骤 4：在 IIS 中启用安全套接字层安全套接字层 (SSL) 是一个协议，旨在增强客户端与服务器之间通信通道的安全性。通过在 Microsoft Internet 信息服务 (IIS) 7.5/7.0 中启用 SSL，Contoso 和 Fabrikam 组织在通信中对所有的数据传输使用身份验证和加密。在此步骤中，您将学习如何在 IIS 7.5/7.0 中启用 SSL。注意在 Contoso 和 Fabrikam 计算机上都必须执行此步骤。 准备新服务器证书1. 单击“开始”，指向“管理工具”，然后单击“Internet 信息服务(IIS)管理器”。2. 在 Internet 信息服务的左侧窗格中，展开“ (本地计算机)”，再展开“网站”，用鼠标右键单击“默认网站”，然后单击“属性”。3. 在“默认网站”对话框的“目录安全性”选项卡中，单击“服务器证书”，启动“IIS 证书向导”。4. 在“欢迎使用 Web 服务器证书向导”页上，单击“下一步”。5. 在“服务器证书”页上，选择“创建一个新证书”，然后单击“下一步”。6. 在“延迟或立即请求”页上，单击“下一步”。7. 在“命名和安全设置”页上，单击“下一步”，保持默认值不变。8. 如果您使用的是 Contoso 计算机，则在“组织信息”页的“组织”框中键入 Contoso，如果使用的是 Fabrikam 计算机，则在此处键入 Fabrikam，在“组织单位”框中，键入“测试”，然后单击“下一步”。9. 在“站点的公用名称”页的“公用名”框中，键入计算机的名称，然后单击“下一步”。10. 在“地理信息”页的“州/省”框中，键入您所属的州/省；在“市/县”框中键入您所属的市/县，然后单击“下一步”。11. 在“证书请求文件名”页的“文件名”框中，保留默认值“C:certreq.txt”，然后单击“下一步”。12. 在“请求文件摘要”页，单击“下一步”。13. 在“正在完成 Web 服务器证书向导”页上，单击“完成”关闭“IIS 证书向导”。生成新服务器证书1. 在 Internet Explorer 中，定位并打开 http:/CertSrv。注意在步骤 1 中，在 Contoso 或 Fabrikam 计算机上打开 http:/CertSrv。 2. 在“欢迎使用 Microsoft 证书服务向导”页上，单击“申请一个证书”。3. 在“申请一个证书”页上，单击“高级证书申请”。4. 在“高级证书申请”页上，单击“使用 base64 编码的 CMC 或 PKCS #10 文件提交一个证书申请，或使用 base64 编码的 PKCS #7 文件续订证书申请”。5. 在“提交一个证书申请或续订申请”页上，单击“浏览要插入的文件”。注意如果单击链接时接收到安全性错误，请在记事本或其他文本编辑器中打开文件 C:certreq.txt，复制文件内容并将信息粘贴到“保存的申请”框中，然后单击“提交”。然后即可执行步骤 10。 6. 单击“浏览”以打开“选择文件”对话框。7. 在“选择文件”对话框中，定位到 : 文件夹，选择 certreq.txt 文件，然后单击“打开”。8. 在“提交一个证书申请或续订申请”页上，单击“读取”。9. 在“提交一个证书申请或续订申请”页上，单击“提交”以生成新的证书。10. 在“证书颁发”页上，单击“下载证书”。11. 在“文件下载”对话框中，单击“保存”。12. 在“另存为”对话框中，将证书保存到 :CertsSSLCert.cer，然后单击“保存”。13. 单击“关闭”以关闭“下载完毕”对话框。为 IIS 准备新服务器证书1. 单击“开始”，指向“管理工具”，然后单击“Internet 信息服务(IIS)管理器”。2. 在 Internet 信息服务的左侧窗格中单击“(本地计算机)”，在右侧窗格中双击“服务器证书”。从“操作”窗格中选择“创建证书申请”。3. 在“可分辨名称属性”对话框中，在“公用名:”文本框中键入计算机的名称“Contoso”（如果在 Contoso 计算机上）或“Fabrikam”（如果在 Fabrikam 计算机上），在“组织单位:”框中键入“Test”，在“市/县”框中键入您的市/县，在“州/省”框中键入您的州/省，在“国家/地区”下拉列表中选择您的国家/地区，然后单击“下一步”。4. 在“加密服务提供程序属性”对话框中，单击“下一步”。5. 在“文件名”对话框的文本框中指定“C:certreq.txt”，然后单击“完成”。为 IIS 生成新服务器证书1. 在 Internet Explorer 中，找到并打开 http:/CertSrv。注意在步骤 1 中，在 Contoso 或 Fabrikam 计算机上打开 http:/CertSrv。 2. 在“欢迎使用 Microsoft 证书服务向导”页上，单击“申请一个证书”。3. 在“申请一个证书”页上，单击“高级证书申请”。4. 在“高级证书申请”页上，单击“使用 base64 编码的 CMC 或 PKCS #10 文件提交一个证书申请，或使用 base64 编码的 PKC