如何配置证书服务器以便在 IIS 上与 SSL 结合使用
查看本文应用于的产品
我们强烈建议所有运行 Microsoft Windows Server 2003 的用户都将 Microsoft Internet 信息服务 (IIS) 升级到 6.0 版,因为 IIS 6.0 大大增强了 Web 基础结构的安全性。有关与 IIS 安全性相关的主题的更多信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx (http://www.microsoft.com/technet/security/prodtech/IIS.mspx)
概要
您可以使用证书服务器颁发与安全套接字层 (SSL) 一起使用的证书。通常此过程是在本地 Intranet 上完成的,在本地 Intranet 上您能够直接通知客...
您可以使用证书服务器颁发与安全套接字层 (SSL) 一起使用的证书。通常此过程是在本地 Intranet 上完成的,在本地 Intranet 上您能够直接通知客户端信任您的证书。
更多信息
Microsoft Internet Information Server (IIS) 4.0 支持 SSL 3.0 协议,在通信期间 SSL 3.0 协议使用...
Microsoft Internet Information Server (IIS) 4.0 支持 SSL 3.0 协议,在通信期间 SSL 3.0 协议使用证书来标识客户端和服务器,并建立一次性会话密钥来对特定通信会话期间传输的数据进行加密和解密。
您可以使用 Windows NT Option Pack 的组件 Certificate Server 1.0 颁发供客户端使用的证书。
在 SSL 可以使用前,必须在服务器上执行以下任务
在服务器上创建一个根 CA 证书。
在服务器上安装此根 CA 证书。
为服务器创建一个密钥证书申请。
为服务器处理密钥证书申请。
在服务器上安装密钥证书。
保证服务器上目录的安全。
下一步,在客户端执行以下任务:
在客户端上安装此根 CA 证书。
在客户端上安装一个证书。
从客户端连接到安全 SSL 目录。
注意:上面列出的每个任务都与下面一个部分相对应。转到该部分可以了解有关如何执行该特定任务的详细信息。
回到顶端
在服务器上创建一个根 CA 证书
若要在服务器上创建根 CA 证书,只须执行 Windows NT Option Pack 的证书服务器组件的默认安装。默认安装会自动创建一个根 CA 证书。
注意:如果选择使用高级配置,请不要选择“非根 CA”选项。
在服务器上安装根 CA 证书
请浏览到 http://localhost/certsrv/ (http://localhost/certsrv/) ,单击“证书注册工具”链接,然后单击“安装证书颁发机构证书”链接。
单击“刷新”按钮验证显示的信息为当前信息,然后单击“ComputerName\CA-Name 的证书”链接。
在“文件下载”对话框中,选择“从当前位置打开文件”单选按钮,然后单击“确定”。
如果安装的是 Windows NT 4.0 SP4 或 SP5,请执行下列步骤
在“证书”对话框中,单击“安装证书”按钮。
在“证书管理器导入向导”启动时,单击“下一步”。
当系统提示选择证书存储区时,请选择“将所有的证书放入下列存储”单选按钮,然后单击“浏览”。
选择“显示物理存储区”选项,打开“受信任根证书颁发机构”,然后单击“本地计算机”。单击“确定”。
单击“下一步”,然后单击“完成”。单击“确定”关闭该对话框。
重新启动服务器以使根 CA 证书生效。
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
194788 (http://support.microsoft.com/kb/194788/ ) Windows NT Service Pack 4 和客户端证书
如果安装的是 Windows NT 4.0 SP3,请执行下列步骤
在“新站点证书”对话框中,单击“确定”(通常需要所有复选框都处于选中状态)。
当系统提示“是否将下列证书添加到根存储区中?”时,单击“是”。
在命令提示符下,使用 CD 命令将目录切换到 %SystemRoot%\System32\InetSrv 目录(例如,如果系统根目录为 \winnt,则键入 cd \winnt\system32\inetsrv)。
键入 iisca,以同步 IIS 和 Internet Explorer 使用的根 CA 证书存储。
强制重新读取注册表,以便识别新的根 CA 证书。为此,您可以重新启动服务器,也可以停止 IISADMIN 服务及其相关服务(例如 WWW、FTP、NNTP、SMTP 等等),然后重新启动所使用的相关服务。通过执行以下操作可停止和重新启动这些服务:
打开“控制面板”,打开“服务”,然后停止并重新启动这些服务。
在命令提示符下运行 NET STOP 和 NET START 命令。为此,请按照下列步骤操作:
在命令提示符下,键入 net stop iisadmin /y 以停止 IISADMIN 服务及其相关服务。
重新启动您所使用的相关服务。例如,若要重新启动 WWW 服务,请键入 net start w3svc。若要重新启动 FTP,请键入 net start msftpsvc。
为服务器创建密钥证书申请
启动 Internet Service Manager (ISM),它将加载 Microsoft 管理控制台 (MMC) 的 Internet Information Server 管理单元。
右键单击要保护的网站、目录或文件,然后单击“属性”。单击“目录安全性”(或“文件安全性”)选项卡。
在“安全通信”下,单击“密钥管理器”按钮。
注意:如果已安装了一个证书,则该按钮的标签是“编辑”而不是“密钥管理器”。
在“密钥管理器”中,右键单击“WWW”,然后单击“创建新密钥”。
单击“将申请放入将要发送到文件颁发机构的文件中”单选按钮,然后将文件保存到硬盘上。请确保记住该文件的名称和位置。
注意:C:\NewKeyRq.txt 是该文件的默认路径和名称。
按步骤执行完“创建新密钥”对话框的其余部分。
注意:当提示您输入状态时,请确保完全将其拼写出来(不要使用缩写)并使用正确的大小写,这样才能使证书申请与 PKCS #10 兼容。
关闭“密钥管理器”,当系统提示“现在提交所有更改?”时,请确保单击“是”。
在 MMC 中,单击“确定”。
为服务器处理密钥证书申请
打开为服务器请求创建的文本文件(默认情况下为 C:\NewKeyRq.txt)。
选择并复制密钥的文本,从此行开始:
-----BEGIN NEW CERTIFICATE REQUEST-----
并以此行结束:
-----END NEW CERTIFICATE REQUEST-----
(换句话说,包括这两行)。
请浏览到 http://localhost/certsrv/ (http://localhost/certsrv/) ,单击“证书注册工具”链接,然后单击“处理证书申请”链接。
在“Web 服务器注册”页上,将密钥文本粘贴到文本框中,然后单击“提交申请”。
如果出现以下错误消息:
Error!!!Certificate Server is unable to process your request.Last status error code = 57.
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
255981 (http://support.microsoft.com/kb/255981/ ) 为服务器处理密钥证书申请失败
成功处理证书后,单击“下载”按钮。
单击“将文件存入磁盘”单选按钮,然后保存该文件。请确保记住该文件的名称和位置。
注意:Newcert.cer 是该文件的默认名称。
在服务器上安装密钥证书
在 MMC 中,右键单击要保护的网站、目录或文件,然后单击“属性”。单击“目录安全性”(或“文件安全性”)选项卡。
在“安全通信”下,单击“编辑”按钮(请注意,此按钮就是前面的“密钥管理器”更改来的)。现在,单击“密钥管理器”按钮。
在“密钥管理器”中,右键单击新密钥申请(带有红色斜杠的图标),然后单击“安装密钥证书”。
选择证书文件,然后在系统提示时,提供密码。单击“确定”。
在“服务器绑定”对话框中,“任何未分配”应显示在“IP 地址”和“端口号”列下。单击“确定”(除非您希望将密钥分配给特定的 IP 地址和端口号)。
关闭“密钥管理器”并确保在系统提示“现在提交所有更改?”时单击“是”
单击“确定”两次,以返回到 MMC 中。
保证服务器上目录的安全
在 MMC 中,右键单击要保护的网站、目录或文件,然后单击“属性”。
单击“目录安全性”(或“文件安全性”)选项卡。在“安全通信”下,单击“编辑”按钮。
选中“访问该资源时要求安全通道”复选框。
选中“要求客户端证书”单选按钮。
单击“确定”两次,以返回到 MMC 中。
在客户端上安装根 CA 证书
浏览至 http://ServerDomainName/certsrv/,单击“证书注册工具”链接,然后单击“安装证书颁发机构证书”链接。
单击“刷新”按钮验证显示信息是当前信息,然后单击“ServerDomainName\CA-Name 的证书”链接。
在“文件下载”对话框中,选择“从当前位置打开文件”单选按钮,然后单击“确定”。
下一个要显示的对话框将取决于应用到 Windows NT 4.0 的是哪一个 Service Pack。
如果安装的是 SP4 或 SP5
在“证书”对话框中,单击“安装证书”按钮。
在“证书管理器导入向导”启动时,单击“下一步”。
当系统提示选择证书存储区时,请选择“将所有的证书放入下列存储”单选按钮,然后单击“浏览”。
选中“选择物理存储区”复选框,打开“受信任根证书颁发机构”,然后选择“本地计算机”。单击“确定”。
单击“下一步”,然后单击“完成”。单击“确定”关闭该对话框。
重新启动计算机。
如果安装的是 SP3
在“新站点证书”对话框中,单击“确定”(通常需要所有复选框都处于选中状态)。
当系统提示“是否将下列证书添加到根存储区中?”时,单击“是”。
重新启动客户端计算机,以使新的根 CA 证书生效。
在客户端上安装证书
浏览至 http://ServerDomainName/certsrv/,单击“证书注册工具”链接,然后单击“申请客户端身份验证证书”链接。
注意:在 Internet Explorer 中,为了在该网页上下载此 ActiveX 控件,您必须将安全设置为“中”。(Netscape 不使用 ActiveX 控件,所以安全设置对 Netscape 来说不是问题)。
填写“证书注册表”页要求的信息,然后单击“提交申请”按钮。
成功处理证书后,单击“下载”按钮。
如果看到以下消息,请单击“确定”:
您的新证书已经成功安装!
从客户端连接到安全 SSL 目录
浏览至 https://ServerDomainName/SecuredResource
注意:请确保使用 httpS 协议,而不是 http,以便服务器创建安全连接。
如果出现“客户端身份验证”对话框,请选择您刚刚安装的证书(在上面一节中),然后单击“确定”。
现在,您应该已经使用 SSL 建立了从客户端到服务器的安全连接。
参考
有关如何在 IIS 5.0 上实施 SSL 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: 299525 (http://...
有关如何在 IIS 5.0 上实施 SSL 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
299525 (http://support.microsoft.com/kb/299525/ ) 如何使用 IIS 5.0 和 Certificate Server 2.0 设置 SSL
(c) Microsoft Corporation 2000,保留所有权利。由 Microsoft Corporation 的 Kevin Zollman 提供。
回到顶端
--------------------------------------------------------------------------------
这篇文章中的信息适用于:
Microsoft Internet Information Server 4.0
Microsoft Windows NT 4.0
Microsoft Windows NT version 4.0 Option Pack