在IIS中部署HTTPS服务器的详细方法.doc

部署HTTPS服务器的方法Add by 排骨大仙 2011年8月2日写一个在IIS中部署HTTPS服务的方法，以及使用心得，供参考。本文档为IIS6和IIS7版本。其他版本的IIS请无视。本版本示例使用CFCA证书，其他证书可以参考。IIS61. 安装IIS环境（Windows2003+IIS6）按照图上所示安装即可。安装完成后可以启动IIS服务，在系统盘下也会有X:inetpubAdminScripts文件夹。请检查是否拥有以上功能。2. 申请证书（已有服务器证书可以跳过）右击一个网站，选择属性，弹出一个对话框（如图所示，然后选择服务器证书）下一步直到以上对话框，选择新建证书。接着一直下一步，如果需要填写某些内容，请如实填写，直到选择文件名。要求输入文件名时，我们指定一个文件名，如C:certRequest.txt，点击完成，我们就能在C盘中找到此文件了。文件的内容如上图所示。我们需要的部分只是红框内部分，将其复制下来，然后我们打开CFCA的证书申请网站（/tongyi/）,如图所示选择Web服务器证书下载，然后下一步，继续，直到弹出如图所示内容，在红圈内粘贴刚刚复制下来的内容，然后输入两码（用户参考号、用户授权码），注意选择下拉框为PKCS#7的证书，然后点击下一步，就会提示完成证书申请，同时得到一串字符串。将字符串保存下来。存成一个CER文件，如: C:certResponse.cer，以便查找。我们重新选择服务器证书，会弹出一个如上图所示对话框。我们选择处理挂起的请求，点击下一步，找到刚刚保存的文件，点击完成，证书就被安装到服务器上了。3. 导出证书导出证书的目的是备份证书，防止服务器证书遗失。点击开始运行，在对话框中输入“MMC”，会弹出以下窗口。选择文件添加删除管理单元，如图所示在弹出对话框中，选择“添加”，弹出以下对话框。选择“证书”，点击添加，然后选择“计算机账户”，然后一直下一步，确定，直到界面显示如下：展开“证书”“个人”“证书”，会在右边显示一个服务器证书，右击菜单，所有任务。可以看到导出，将其导出就好。4. 导入证书很简单了，略，在IIS中导入证书。5. 配置HTTPS网站如上图所示，右击一个网站，然后点击属性。在弹出的对话框中，点击“目录安全性”选项卡，然后点击“服务器证书”点击下一步后，选择分配现有证书，然后继续点下一步选中安装的证书，然后点击下一步。一直下一步，直到完成。点击编辑按钮。依照上图所示，即可建立双向SSL验证通道6. 关闭CRL检查如果遇到403.13错误，而自己的证书又确实没有问题。则是由于CRL检查无法通过造成的。开始运行cmd使用CD命令进入AdminScripts文件夹。示例：cd C:InetpubAdminScripts输入：cscript adsutil.vbs set w3svc/certcheckmode 1注释：CertCheckMode值为0，强制检测CRLCertCheckMode值为1，强制不检测CRLIIS71. 安装IIS环境在windows2008环境中使用IIS7 需要安装一个服务器角色，其中，红框内所示功能必须安装，否则无法绕过CRL证书检查。安装完成后可以启动IIS服务，在系统盘下也会有X:inetpubAdminScripts文件夹。请检查是否拥有以上功能。2. 申请证书（已有服务器证书可以跳过）首先打开IIS服务器，然后选中服务器名称（如红色箭头所示）,右侧功能视图会有一个服务器证书选项（如红色圈所示）。双击服务器证书，然后点击右边的创建证书申请在弹出对话框中，按照需求输入所需内容。要求输入文件名时，我们指定一个文件名，如C:certRequest.txt，点击完成，我们就能在C盘中找到此文件了。文件的内容如上图所示。我们需要的部分只是红框内部分，将其复制下来，然后我们打开CFCA的证书申请网站（/tongyi/）,如图所示选择Web服务器证书下载，然后下一步，继续，直到弹出如图所示内容，在红圈内粘贴刚刚复制下来的内容，然后输入两码（用户参考号、用户授权码），注意选择下拉框为PKCS#7的证书，然后点击下一步，就会提示完成证书申请，同时得到一串字符串。将字符串保存下来。存成一个CER文件，如: C:certResponse.cer，以便查找。点击进入IIS管理，点击完成证书申请。然后输入一个好记的名称，选择上刚刚保存的文件。点击确定，就可以完成证书的申请和安装了。3. 导出证书导出证书的目的是备份证书，防止服务器证书遗失。点击开始运行，在对话框中输入“MMC”，会弹出以下窗口。选择文件添加删除管理单元，如图所示在弹出对话框中，选择“添加”，弹出以下对话框。选择“证书”，点击添加，然后选择“计算机账户”，然后一直下一步，确定，直到界面显示如下：展开“证书”“个人”“证书”，会在右边显示一个服务器证书，右击菜单，所有任务。可以看到导出，将其导出就好。4. 导入证书很简单了，略，在IIS中导入证书。5. 配置HTTPS网站如图所示，建立一个web网站后，右击网站，然后点击编辑绑定。这时会弹出一个对话框，点击添加按钮继续弹出对话框，在“类型”处选择“https”，并且在“ssl证书”处选择刚刚你安装在服务器上的证书，如果不确定是不是你要的证书，可以点击查看，一切就绪后，点击确定。即为网站绑定了一个服务器证书。选中网站，在右边选择SSL设置，双击进入设置页面。将其设置为要求SSL，必须要求客户证书。则建立起了一个双向的SSL通道，最大限度的保障服务器安全。6. 关闭CRL检查如果遇到403.13错误，而自己的证书又确实没有问题。则是由于CRL检查无法通过造成的。这个时候我们可以关闭CRL检查。开始运行cmd使用CD命令进入AdminScripts文件夹。示例：cd C:InetpubAdminScripts输入：cscript adsutil