证书服务配置客户端证书申请IIS站点SSL设置(doc 19页)

Windows CA 证书服务器配置(二) —- 申请数字证书在IE地址栏中输入证书服务系统的地址，进入服务主页：点击‘申请一个证书'进入申请页面：如果证书用作客户端身份认证,则可点击‘Web浏览器证书’或‘高级证书申请'，一般用户申请‘Web浏览器证书’即可,‘高级证书申请'里有更多选项，也就有很多专业术语，高级用户也可点击进入进行申请。

这里我们以点击申请‘Web浏览器证书'为例：申请‘Web浏览器证书’,‘姓名’是必填项，其他项目可不填，但由于CA服务器的管理员是根据申请人的详细信息决定是否颁发的，所以请尽量多填，并且填写真实信息，因为CA管理员会验证申请人的真实信息,然后进行颁发.需注意的一点是，‘国家（地区）’需用国际代码填写，CN代表中国。

如果想查看更多选项,请点击‘更多选项'：在‘更多选项’里，默认的CSP为Microsoft Enhanced Cryptographic Provider v1.0，选择其他CSP不会对认证产生影响。

默认情况下‘启用强私钥保护’并没有勾选上，建议将它勾选上，点击提交后就会让申请人设置证书的安全级别，如果不将安全级别设置为高级并用口令进行保护，则只要机器上装有该证书,任何人都可以用它作为认证，所以建议将证书设置为高级安全级别,用口令进行保护.以下将作相应操作，点击‘提交’：单击‘是':单击‘设置安全级别'：将安全级别设置为‘高’,单击‘下一步’后会弹出口令设置窗口：输入口令,对证书进行加密,并记住密码,因为在以后调用该证书的时候，浏览器会弹出输入密码的窗口。

单击‘完成’:单击‘确定'，浏览器页面跳向如下：到这一步，申请人已经向CA服务器发送证书信息，并等待CA管理员对其进行核对,然后决定是否要颁发,如果CA管理员核对信息后决定颁发此证书，则申请人在其颁发之后再次访问该系统：点击‘查看挂起的证书申请状态’：该页面证明CA管理员已经颁发了申请人的证书，点击进入证书安装页面：点击‘安装此证书’:您应该已经信任CA机构，所以请单击‘是’：您已经成功安装数字证书。

1）安装证书颁发机构组件打开【控制面板－>添加或删除程序】，选择“添加/删除windows组件”，选择“证书服务”安装。

2）打开IIS，右击需要申请SSL证书的网站，选择“属性”，点击“目录安全性”选项卡，在“安全通信”栏中，点击“服务器证书”，开始证书申请向导。

选择“创建一个新证书”，按照默认步骤执行，完成了IIS证书向导配置工作，并按照要求将相应的证书文件certreq.txt保存好。

3）提交证书申请打开http://localhost/CertSrv/ ,把刚才申请的证书提交证书颁发机构，如下图所示：选择“申请证书”，点击“下一步”，选择“高级申请”，点击“下一步”，选择“使用base64编码的PKCS＃10文件”，点击“下一步”，把第二步生成的certreq.txt文件内容复制粘贴到这里，然后点击“提交”。

4）颁发证书打开【管理工具－>证书颁发机构】，点击“待定申请”项，可以看到刚才的申请单，如下图所示：在证书上，右键选择“所有任务－>颁发”，则证书就转移到了“颁发的证书”项下。

到此为止，证书已经申请，并且颁发成功。

5）应用证书（下载证书）访问http://localhost/CertSrv/，把刚才申请的证书下载到本地。

选择“检查挂起的证书”，点击“下一步”，选择“Base 64 编码”下载到本地保存为certnew.cer文件。

6）安装证书打开IIS，右击网站，选择“属性”，点击“目录安全性”选项卡，在“安全通信”栏中点击“服务器证书”，系统打开向导，点击“下一步”，如图所示：选择“处理挂起的请求并安装证书”，点击“下一步”，点击“浏览”选择该证书文件certnew.cer，点击“下一步”，出现“证书注册”警告选择“是”，点击“下一步”设置SSL端口，点击“下一步”系统会显示详细的证书信息，直接点击“下一步”即可完成向导。

7）设置SSL网站打开IIS，右击网站，选择“属性”，点击“目录安全性”选项卡，在“安全通信”栏中点击“编辑”，如下图所示：勾选“申请安全通道（SSL）”，点击“确定”。

构建安全的 应用程序身份验证、授权和安全通信有关构建安全的 应用程序的起点和完整概述，请参见登陆页面。

总结IIS 支持客户端证书身份验证。

本“如何做”说明如何将Web 应用程序配置为需要客户端证书。

它还说明如何在客户端计算机上安装证书，以及在调用Web 应用程序时如何使用证书。

如何做：设置客户端证书为了执行授权，Web 服务经常需要能够对它们的调用方（其它应用程序）进行身份验证。

客户端证书为Web 服务提供了一种非常好的身份验证机制。

如果您使用客户端证书，您的应用程序也会得益于客户端应用程序和Web 服务之间的安全通道创建（使用安全套接字层[SSL]）。

这样您就可以安全地在Web 服务之间传送保密信息。

SSL 确保消息的完整性和机密性。

本“如何做”包括调用配置为需要客户端证书的Web 服务的分步指导。

注意：本“如何做”中的信息也适用于由IIS 承载的远程组件。

要求以下各项介绍了推荐的硬件、软件、网络基础结构、技巧和知识以及您需要的服务包。

●带Service Pack 2 的Microsoft® Windows® 2000 Server 操作系统●Microsoft Visual Studio® .NET 开发系统●访问证书颁发机构(CA) 以生成新的证书●一个已安装了服务器证书的Web 服务器有关安装 Web 服务器证书的更多信息，请参见本指南“参考”部分的“如何做：在Web服务器上设置SSL”。

本“如何做”中的过程还要求您具有使用Microsoft Visual C#™ 开发工具进行 Web 开发的知识。

总结本“如何做”包括如下过程：1. 创建简单的Web 应用程序2. 将Web 应用程序配置为需要客户端证书3. 需要并安装客户端证书4. 验证客户端证书操作1. 创建简单的Web 应用程序u 创建简单的Web 应用程序1. 启动Visual Studio .NET，创建一个名为SecureApp的新C# Web 应用程序。

windows server 2012+IIS8.0安装配置ssl证书方法(温馨提示：安装ssl证书前请先备份您需要修改的服务器配置文件)1.1 ssl证书安装环境简介安装windows server 2012 IIS8.0操作系统服务器一台;web站点一个;SSL证书一张(备注：本指南使用域名OV SSL证书进行操作)1.2 网络环境要求请确保站点是一个合法的外网可以访问的域名地址，可以正常通过或进行正常访问。

2.1 获取ssl证书成功在沃通CA申请SSL证书后，会得到一个有密码的压缩包文件，输入证书密码后解压得到五个文件：for Apache、for IIS、for Ngnix、for Other Server，这个是证书的几种格式，解压for IIS压缩包，会得到一个.pfx格式的证书，IIS8.0上需要用到pfx格式的证书。

2.2 导入ssl证书开始-〉运行-〉MMC，启动控制台程序->选择菜单“文件-〉添加/删除管理单元”->列表中选择“证书”->点击“添加”->选择“计算机帐户” ->点击完成。

在控制台的左侧显示证书树形列表，选择“个人”- “证书”，右键单击，选择“所有任务-〉导入”，根据“证书导入向导”的提示，将.pfx格式文件导入，注意导入过程选择“根据证书内容自动选择存储区”。

(注意导入过程中需要输入密码)导入成功后，刷新，可以看到如下图所示的证书信息图：2.3 分配服务器证书打开IIS8.0管理器面板，找到待部署证书的站点，点击“绑定”如图3选择“绑定”->“添加”->“类型选择https” ->“端口443” ->“ssl证书【导入的证书名称】” ->“确定”，SSL缺省端口为443端口，(请不要随便修改。

如果您使用其他端口如：8443，则访问时必须输入：https://:8443)。

如下图：2.4 测试是否安装成功重启IIS8.0服务，在浏览器地址栏输入：https:// (申请证书的域名)测试您的ssl证书是否安装成功，如果成功，则浏览器下方会显示一个安全锁标志。

windows服务器ssl证书创建、安装及配置⽅法⽤IIS发布https⽹站，SSL的安全服务配置步骤：⽣成申请证书请求获取及安装中级CA证书安装服务器证书及配置绑定⼀、⽣成证书请求进⼊IIS控制台在“开始”菜单上，依次单击“所有程序”、“附件”和“运⾏”。

在“打开”框中，键⼊ inetmgr，然后单击“确定”。

点击对应机器主页，然后选择“服务器证书”。

创建证书请求进⼊服务器证书配置页⾯，并选择“创建证书申请”，填写相关信息，点击“下⼀步”。

选择加密服务提供程序，并设置证书密钥长度，EV证书需选择位长2048，点击“下⼀步”。

保存证书请求⽂件到.txt⽂件（如申请证书，如将此⽂件提交给相关机构）。

⼆、安装服务器证书获取证书在提交申请之后，会收到证书签发的邮件，在邮件中获取证书⽂件。

将证书签发邮件中的包含服务器证书代码的⽂本复制出来（包括“—–BEGIN CERTIFICATE —–”和“—–END CERTIFICATE—–”）粘贴到记事本等⽂本编辑器中并修改⽂件名，保存为为server.cer。

中级CA证书：将证书签发邮件中的从BEGIN到 END结束的两张中级CA证书内容（包括“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”）分别粘贴到记事本等⽂本编辑器中，并修改⽂件扩展名，保存为intermediate1.cer和intermediate2.cer⽂件(如果您的服务器证书只有⼀张中级证书，则只需要保存并安装⼀张中级证书)。

安装中级CA证书在“开始”菜单上，依次单击“所有程序”、“附件”和“运⾏”。

在“打开”框中，键⼊ mmc，然后单击“确定”。

打开控制台，点击“⽂件”之后点击“添加/删除管理单元”。

点击“证书”，然后点击“添加“。

选择“计算机账户”，点击“下⼀步” 。

选择“本地计算机”，点击“完成”。

点击“证书(本地计算机)”，选择“中级证书颁发机构”，“证书”。

Windows 2008-IIS 7.0-SSL操作大全制作CSR请求文件1.启动IIS管理器，点击开始菜单->所有程序->管理工具->Internet信息服务(IIS)管理器：2.选择“服务器证书”：3.在右边窗口，选择“创建证书申请”：4.输入证书请求信息，通用名称请输入完整的域名（包含主机名），企业名称可以用中文，国家代码一般用CN（请按照ISO 3166-1 A2）：5.选择加密服务程序和密钥长度，加密服务程序选择缺省的Microsoft RSA Schannel Cryptographic Provider，加密长度一般可以为1024位，如果申请EV证书至少2048位6.选择CSR文件的名称，然后“完成”安装证书文件当您收到迅通诚信的邮件后，您就可以安装并使用您的服务器证书了。

将邮件中的证书内容拷贝粘贴到一个纯文本文件中（包含-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----），存成一个server.cer 文件，如下图所示：1.启动IIS管理器，点击开始菜单->所有程序->管理工具->Internet信息服务(IIS)管理器：2.选择“服务器证书”：3.在右边窗口，选择“完成证书申请”3.输入CA签好的证书文件(刚才保存好的server.cer)4.证书导入成功，如下图：5.证书导入成功，如下图：6.将SSL证书和网站绑定，先选择需要使用证书的网站，点击“SSL设置”7.添加一个新的绑定：8.将类型改为HTTPS，端口改为443，然后选择刚才导入的SSL证书，点击“确定”，则SSL证书安装完成。

SSL设置参数详解1.启动IIS管理器，点击开始菜单->所有程序->管理工具->Internet信息服务(IIS)管理器：2.启动IIS管理器，选择网站，双击“SSL设置”3.显示SSL高级设置，如下图：4.“要求SSL”选项，如果没有选中，则用户可以通过HTTPs，也可以通过HTTP来访问，如果“要求SSL”被选中，则用户必须通过HTTPS访问，若用户通过HTTP访问，会出现如下提示：5.“客户证书”有3个选项：忽略、接受、必需。

∙分别在两台计算机上执行Microsoft® BizTalk Server 2010 和Microsoft BizTalk 2010 Accelerator for RosettaNet (BTARN) 的完全安装。

有关详细信息，请参阅安装说明。

重要提示∙本教程使用两台计算机而不是一台具有环回协议的计算机来模拟现实方案。

本教程用占位符作为计算机名。

您必须用自己选择的实际计算机名来取代相应的占位符。

例如，如果正在运行您的Contoso 解决方案的计算机叫做Contoso，则凡是在教程中出现\\<contoso_计算机>的地方一律替换为Contoso。

∙本教程使用证书改进Contoso 和Fabrikam 之间的安全通信。

您必须生成所需证书，并将其安装在各自的计算机上。

本部分的内容∙步骤 1：创建证书颁发机构∙步骤 2：创建公用和私用证书∙步骤 3：导入公用和私用证书∙步骤 4：在 IIS 中启用安全套接字层步骤1：创建证书颁发机构在本主题中，您将安装证书服务Windows 组件。

并使用该组件生成在Contoso 组织与Fabrikam 组织之间进行安全通信所需的证书。

每个贸易合作伙伴都将拥有一个专用的通信加密证书和一个用于标识身份的专用签名证书。

此外，合作伙伴将彼此共享公钥证书，以便在实现3A2 合作伙伴流程接口(PIP) 时实现安全通信。

安装证书服务器1.单击“开始”，指向“设置”，然后单击“控制面板”。

双击“添加或删除程序”。

2.在“添加或删除程序”对话框中，单击“添加/删除Windows 组件”。

3.在“Windows 组件向导”页的“组件”部分中，选择“证书服务”，单击“是”，然后单击“下一步”，启动“配置组件向导”。

注意4.在“CA 类型”页中，确保“独立根CA”已选中，然后单击“下一步”。

5.在“CA 标识信息”页的“此CA 的公用名称”框中，键入Contoso-FabrikamCA，然后单击“下一步”。

实训5：配置数字证书服务实训环境1．一台Windows Server 2016 DC，主机名为DC。

2．一台Windows Server 2016服务器并加入域，主机名为Server1。

3．一台Windows 10客户端并加入域，主机名为Win10。

实训操作假设你是一家公司的网站管理员，需要你完成以下工作：1．在DC上部署企业根CA。

打开“服务器管理器”，单击“添加角色和功能”，打开“添加角色和功能向导”窗口。

逐步单击“下一步”，在“服务器角色”界面中，勾选“Active Directory 证书服务”复选框，然后单击“下一步”。

在“AD CS角色服务”界面中，勾选“证书颁发机构”和“证书颁发机构Web注册”复选框，然后单击“下一步”。

其中“证书颁发机构Web注册”角色，可以实现通过浏览器向CA进行证书申请的网站功能。

4．最后在“确认”界面中，单击“安装”，开始安装证书服务。

完成安装后，单击“配置目标服务器上的Active Directory证书服务”。

在“AD CS配置”向导中的“角色服务”界面，勾选“证书颁发机构”和“证书颁发机构Web注册”。

在“AD CS配置”向导中的“设置类型”界面，选择“企业CA”。

在“AD CS配置”向导中的“CA类型”界面，选择“根CA”。

全部保持默认设置并单击“下一步”，最后单击“配置”按钮，完成证书服务的配置“证书服务”安装完成后，可以在“服务器管理器”的“工具”菜单中，打开“证书颁发机构”管理工具进行查看。

当域内的用户向企业根CA申请证书时，企业根CA会通过Active Directory 得知用户的相关信息，并自动核准、发放用户所要求的证书。

企业根CA默认的证书种类很多，而且是根据“证书模板”来发放证书的。

例如，图中右方的“用户”模板内提供了可以用于将文件加密的证书、保护电子邮件安全的证书与验证客户端身份的证书。

Windows server 2016通过组策略，让域内的所有用户与计算机自动信任由企业根CA所发送的证书。

SSL证书生成及配置方法如下：
获取证书：可以通过购买或免费获取证书。

在某些网站上可以免费申请到一些证书，如Let's Encrypt，这些证书可以提供基本的SSL加密功能。

如果需要更高级别的证书，可能需要购买。

安装证书：安装证书的过程通常包括以下几个步骤：
获取证书文件和私钥文件，这两个文件通常由证书颁发机构（CA）提供。

将证书文件上传到服务器上，并确保服务器能够访问到该文件。

在服务器上配置SSL证书，这通常涉及到编辑服务器的配置文件，如Nginx 或Apache的配置文件。

在配置文件中指定SSL证书的位置和私钥的位置，并启用SSL加密。

保存配置文件并重新启动服务器，使配置生效。

验证和测试：在配置SSL证书后，应该进行验证和测试，以确保SSL证书已经正确安装并且能够提供有效的SSL加密。

可以通过使用浏览器或其他工具来测试SSL证书是否有效。

需要注意的是，SSL证书的生成和配置涉及到网络安全和数据隐私等方面的问题，需要谨慎处理。

建议在进行相关操作前，了解相关的安全标准和最佳实践，并寻求专业人士的帮助和建议。

iis建立站点的基本步骤IIS建立站点的基本步骤IIS（Internet Information Services）是一种Web服务器软件，用于在Windows操作系统上托管网站。

如果你想要在Windows上搭建自己的网站，那么建立一个IIS站点是必不可少的。

下面将介绍IIS建立站点的基本步骤。

一、安装IIS在开始之前，你需要确保已经安装了IIS。

如果没有安装，可以按照以下步骤进行：1. 打开“控制面板”并选择“程序和功能”。

2. 点击“打开和关闭Windows功能”。

3. 在弹出的窗口中找到“Internet Information Services”并勾选它。

4. 点击“确定”并等待安装完成。

二、创建站点1. 打开IIS管理器。

在Windows操作系统中，可以通过以下方式打开IIS管理器：- 打开“控制面板”，选择“管理工具”，然后选择“Internet Information Services（IIS）管理器”。

- 或者，在运行框中输入inetmgr命令。

2. 添加站点。

- 在左侧导航栏中右键单击“网站”，然后选择“添加网站”。

3. 配置站点设置。

- 输入网站名称和物理路径。

- 选择IP地址和端口号。

- 选择主机名（如果有）。

- 选择SSL证书（如果需要）。

4. 配置应用程序池。

- 应用程序池是一组应用程序的进程，它们共享相同的配置和资源。

在创建站点时，可以选择现有的应用程序池或创建新的应用程序池。

- 选择“应用程序池”选项卡并点击“添加应用程序池”按钮。

- 输入名称并选择.NET Framework版本和管理模式。

- 点击“确定”。

5. 配置权限。

- 在站点上右键单击并选择“属性”。

- 选择“安全性”选项卡，并配置所需的权限。

6. 测试站点。

- 在浏览器中输入站点URL并访问网站。

三、发布网站1. 将网站文件复制到物理路径中。

2. 配置文件夹权限。

- 右键单击物理路径，选择“属性”，然后选择“安全性”选项卡。

Win2003证书服务配置/客户端(服务端)证书申请/IIS站点SSL设置转载自“菩提树下的杨过”一．CA证书服务器安装1．安装证书服务之前要先安装IIS服务并且保证“WEB服务扩展”中的“Active Server Pages”为允许状态2．在“控制面板”中运行“添加或删除程序”，切换到“添加/删除Windows组件”页3．在“Windows组件向导”对话框中，选中“证书服务”选项，接下来选择CA类型，这里选择“独立根CA”4．然后为该CA服务器起个名字(本例中的名字为CntvsServer)，设置证书的有效期限，建议使用默认值“5年”即可，最后指定证书数据库和证书数据库日志的位置后，就完成了证书服务的安装。

5.安装完成后，系统会自动在IIS的默认站点，建几个虚拟目录CertSrc,CertControl,CertEnroll二．客户端证书申请1. 运行Internet Explorer浏览器，在地址栏中输入“http://证书服务器IP/CertSrv/default.asp”。

证书申请页面，输入相应的申请信息，然后点击［申请一个证书］。

接下来选择"Web浏览器证书"填写相关信息2. 系统将处理您提交的申请，此过程可能要等待10秒钟左右。

建议最好记下申请ID（本例为4）三。

客户端证书的颁发打开“管理工具”选择“证书颁发机构”，打开"挂起的申请",右击-->"颁发"四。

客户端证书的下载及安装1.运行Internet Explorer浏览器，在地址栏中输入“http://证书服务器IP/CertSrv/default.asp”,选择“查看挂起的证书申请状态”2.找到自己申请的证书3.安装证书安装完成后，可到IE里查看刚刚安装好的证书五.服务器证书的申请1.以IIS的默认站为例，先右击站点，打开网站属性-->目录安全性-->服务器证书2.按IIS证书向导一步步提交服务器证书申请六。

在IIS中部署HTTPS服务添加证书服务器选择CA类型在IIS中部署HTTPS服务非常简单，所需要的就是在Web服务器上具有服务器身份验证证书，并将证书绑定在Web站点。

如果Web服务器属于活动目录并且活动目录中具有在线的企业证书颁发机构，则可以在配置过程中在线申请并自动安装Web服务器证书，否则你需要离线申请Web服务器证书。

申请Web服务器证书的步骤如下：在Web服务器上运行管理工具下的Internet信息服务管理控制台，在左面板展开Web站点节点，然后右击需要部署HTTPS服务的网站，在此我右击默认网站，选择属性；在默认网站属性对话框，点击目录安全性标签，然后点击服务器证书按钮；在欢迎使用Web服务器证书向导页，点击下一步；在服务器证书页，选择新建证书，点击下一步；如果已经具有其他的服务器身份验证证书，则可以选择分配现有证书来将现有证书分配给此Web站点；接下来的操作步骤我根据证书申请方式的不同，分别进行介绍：离线申请证书如果活动目录中没有在线的企业证书颁发机构或者Web服务器并不位于活动目录环境中，那么你必须离线申请Web服务器证书。

在延迟或立即请求页，选择现在准备证书请求，但稍后发送，然后点击下一步；在名字和安全性设置页，在名称栏为新证书输入一个容易分辨的名字，然后点击下一步；在单位信息页，在单位和部门栏中分别输入相关信息，然后点击下一步；在站点公用名称页，输入Web站点的FQDN ，然后点击下一步；在地理信息页，输入你的相关信息，然后点击下一步；在证书请求文件名页，输入证书申请请求保存到的文件名，在此我接受默认设置c:\certreq.txt，点击下一步；在请求文件摘要页回顾你的设置，然后点击下一步；在完成Web服务器证书向导页，点击完成，此时，证书请求信息保存到了c:\certreq.txt文件中。

现在我们访问证书颁发机构的Web注册登录页面，如下图所示，点击申请一个证书链接；然后点击高级证书申请链接；然后再点击使用 base64编码的CMC 或PKCS #10文件提高一个证书申请，或使用base64编码的PKCS#7文件续订证书申请，在提交一个证书申请或续订申请页，你可以点击浏览要插入的文件来插入前面保存的证书申请信息文件的内容，不过有时IE的安全设置会阻止这一行为，你可以打开证书申请信息文件，然后将所有内容复制到保存的申请文本框中，如下图所示，然后在证书模板栏选择Web服务器，再点击提交；机构管理控制台中手动颁发证书。

iis ssl证书路径SSL证书是用于保护网站数据传输安全的重要工具，通常部署在InternetInformationServices(IIS)服务器上。

在使用IIS的SSL证书时，需要指定证书的路径，以便服务器能够正确加载和使用证书。

一、证书路径的构成证书路径是指证书文件的存储位置和文件名。

在IIS中，常见的证书文件路径有以下几种：1.本地计算机证书：通常位于服务器的"C:\ProgramFiles\InternetInformationServices\SSLCA证书\certs"目录下。

如果是自签证书，证书文件通常以.cer或.pem格式存储在此目录下。

2.远程证书：如果服务器通过证书颁发机构（CA）申请了SSL证书，证书文件可能位于远程服务器上。

这种情况下，需要指定证书文件的完整路径和文件名。

例如，“C:\path\to\remote\certificate.cer”。

二、路径的指定方法在IIS中，可以通过以下方法指定SSL证书的路径：1.本地计算机证书路径（1）打开IIS服务器管理器，找到要配置SSL的网站。

（2）在网站属性页中，选择"HTTPS"选项卡。

（3）在"SSL设置"区域，找到"服务器证书"选项，选择"查看证书"。

（4）在证书查看器窗口中，选择证书存储位置（例如，"个人"或"受信任的根证书颁发机构"），并找到证书文件。

（5）将证书文件的完整路径和文件名复制到"证书路径"文本框中。

2.远程证书路径（1）确保远程证书已正确安装到目标服务器上。

（2）在IIS服务器上访问目标网站时，出现提示框要求输入远程服务器的用户名和密码。

（3）在提示框中输入正确的用户名和密码后，会出现远程服务器的SSL设置页面。

（4）在页面中找到"服务器证书"选项，并选择"配置SSL证书"。

SSL加密服务器证书在IIS中的应用配置应用实验实验目的：实验内容：试验方法：实验步骤：步骤如下：1、登录Windows Server2003，在“控制面板”中安装IIS6.0，如图：2、安装并配置证书颁发机构，也是在“控制面板”中添加“证书服务”功能组件，如图：下一步：选择“独立根CA”，下一步：填写“此CA的公用名称”，下一步：设置证书数据库的几个文件夹，记住该文件夹所在的位置，下一步：在安装证书服务的时候我们首先要停止IIS，我们选“是”,直至安装完成。

3、创建证书请求Web服务器需要为证书创建一个请求，在这个过程中Web服务器也将为自己创建一个密钥对，而公钥将是证书的一部分。

下面是证书请求的一个过程：打开IIS管理器，如图：右击“默认站点”，选择“属性”，选择“目录安全性”选择“服务器证书”，这里我们新建一个证书，下一步：下一步：设置新证书的名称“chunlin_cer”，位长为默认的1024，下一步：填写单位的相关信息，以便与其他单位的证书分开，下一步：使用默认公用名称即可，下一步，填写地理信息，下一步，这里是将我们上面证书请求的内容保存为一个文本文件，以作后用，下一步，直至完成。

4、提交证书请求将Web服务器证书请求提交到证书服务器。

步骤如下：打开IE浏览器，登录到证书请求服务器中，http://localhost/certsrv，如图：进入证书服务页面，如图：我们选择“申请一个证书”，然后再选择“高级证书申请”如图：我们选择其中的第二项，我们进入“提交一个证书申请或续订申请”页面，如图：我们将前面生成的文本文件c:\certreq.txt文件内容复制到保存申请的文本框中，提交，如图：至此证书提交过程完成。

5、颁发证书通常在颁发证书之前有个证书服务器的所有者履行验证过程进入办法机构页面，如图选中上图右边窗口中的挂起申请条目，选择任务中的颁发，如图：这时我们已经将申请确认并颁发成功，选中“颁发的证书”，我们会在右边窗口中看到已经颁发完成的证书记录，如图：6、下载证书在IE浏览器中输入http://localhost/certsrv，如图：选择“查看挂起的证书申请状态”，通过查看证书申请后是不是已经被核实后颁发，如图：选择“Base 64编码”，点击下载证书，我们将下载已经颁发的证书，如图：保存命名为“certnew.cer”的证书到桌面，如图：7、配置WEB站点安装SSL证书下面我们来配置默认Web站点安装SSL证书。

Windows Server 2008上使用IIS搭建WEB服务器、客户端的数字证书应用（一）一、什么是数字证书及作用？数字证书就是互联网通讯中标志（证明）通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。

它是由一个由权威机构-----CA 机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。

数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。

最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。

常用的密钥包括一个公开的密钥和一个私有的密钥即一组密钥对，当信息使用公钥加密并通过网络传输到目标主机后，目标主机必需使用对应的私钥才能解密使用。

使用它主要是为了提高IT系统在敏感数据应用领域的安全性，为用户业务提供更高安全保障；注：数字证书，下面均简称证书；二、如何搭建证书服务器？搭建证书服务器步骤如下：1、登陆Windows Server 2008服务器；2、打开【服务器管理器】；（图2）3、点击【添加角色】，之后点击【下一步】；（图3）4、找到【Active Directory证书服务】勾选此选项，之后点击【下一步】；（图4）5、进入证书服务简介界面，点击【下一步】；（图5）6、将证书颁发机构、证书颁发机构WEB注册勾选上，然后点击【下一步】；（图6）7、勾选【独立】选项，点击【下一步】；（由于不在域管理中创建，直接默认为：“独立”）(图7)8、首次创建，勾选【根CA】，之后点击【下一步】；（图8）9、首次创建勾选【新建私钥】，之后点击【下一步】；（图9）10、默认，继续点击【下一步】；（图10）11、默认，继续点击【下一步】；（图11）12、默认，继续点击【下一步】；（图12）13、默认，继续点击【下一步】；（图13）14、点击【安装】；（图14）15、点击【关闭】，证书服务器安装完成；（图15）Wind ows Server 2008上使用IIS如何配置WEB服务器上证书应用（SSL应用）？此应用用于提高WEB站点的安全访问级别；配置后应用站点可实现安全的服务器至客户端的信道访问；此信道将拥有基于SSL证书加密的HTTP安全通道，保证双方通信数据的完整性，使客户端至服务器端的访问更加安全；注：以证书服务器创建的WEB站点为示例，搭建WEB服务器端SSL证书应用步骤如下：1、打开IIS，WEB服务器，找到【服务器证书】并选中；（图1）2、点击【服务器证书】，找到【创建证书申请】项；（图2）3、单击【创建证书申请】，打开【创建证书申请】后，填写相关文本框，填写中需要注意的是：“通用名称”必需填写本机IP或域名，其它项则可以自行填写；注：下面的192.168.1.203为示例机IP地址，实际IP地址需根据每人主机IP自行填写；填写完后，单击【下一步】；（图3）4、默认，点击【下一步】；（图4）5、选择并填写需要生成文件的保存路径与文件名, 此文件后期将会被使用；（保存位置、文件名可以自行设定），之后点击【完成】，此配置完成，子界面会关闭；（图5）6、接下来，点击IE（浏览器），访问：http://192.168.1.203/certsrv/；注：此处的192.168.1.203为示例机IP地址，实际IP地址需根据每人主机IP自行填写；（图6-1）此时会出现证书服务页面；此网站如果点击【申请证书】，进入下一界面点击【高级证书申请】，进入下一界面点击【创建并向此CA提交一个申请】，进入下一界面，此时会弹出一个提示窗口：“为了完成证书注册，必须将该CA的网站配置为使用HTTPS身份验证”；也就是必须将HTTP网站配置为HTTPS的网站，才能正常访问当前网页及功能；（图6-2）在进行后继内容前，相关术语名词解释：HTTPS（全称：Hypertext Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。

配置IIS服务器证书
一、导入服务器证书
1、运行MMC
2、选择-添加/删除管理单元
3、点击-添加
4、选择-证书
5、选择-计算机账户
6、选择-本地计算机
7、导入-服务器证书
8、导入根证书
9、导入黑名单，与上步相似。

注意：导入根证书和黑名单也可按如下步骤操作：
在根证书或黑名单文件图标上点击右键，选择安装证书，如下图：
二、配置IIS服务器
1、运行Internet 信息服务程序。

2、选择要配置的站点的Web属性。

3、选择目录安全性选项卡
4、点击服务器证书，弹出Web服务器证书向导，点击下一步。

5、在向导中选择分配一个已存在的证书，点击下一步。

6、选择上面导入的服务器证书，点击下一步，完成证书与服务器的绑定。

7、选择Web站点属性选项卡，在SSL端口中添入443，这是安全通信的默认端口。

8、选择目录安全性选向卡，点击编辑按钮，出现安全通道对话框。

9、选择申请安全通道
10、启用客户证书映射
如果要启用的客户端证书不是Base64编码格式的,可以在证书导出向导中将其导出为此格式。

选择申请客户证书，选中启用客户证书映射，点击编辑。

在一对一选项卡中，点击添加，选择要映射的Base64编码格式的客户端证书。

注意：此处的账号必须取消下次登陆时更改密码选项。

此项必须取消
三、客户端操作
只有客户端证书被服务器映射了的客户，才能正确访问该网站，否则会出现如下错误提示：
不许匿名访问
如果服务器不允许匿名访问，则没有被映射的用户会出现下面的提示：。

在windows2003的IIS6上建立httpsSSL加密的方法在windows2003的IIS6上建立https SSL加密的方法一、先决条件：要想成功架设SSL安全站点关键要具备以下几个条件。

1、需要从可信的证书办法机构CA获取服务器证书。

2、必须在WEB服务器上安装服务器证书。

3、必须在WEB服务器上启用SSL功能。

4、客户端（浏览器端）必须同WEB服务器信任同一个证书认证机构，即需要安装CA证书。

二、准备工作：在实施SSL安全站点之前需要我们做一些准备工作。

第一步：默认情况下IIS6组件是安装在windows2003中的，如果没有该组件请自行安装。

第二步：我们建立的IIS站点默认是使用HTTP协议的，打开浏览器在地址处输入“http://本机IP”（不含引号）就可以访问。

（如图1）图1第三步：安装证书服务，通过控制面板中的添加/删除程序，选择添加/删除windows组件。

在windows组件向导中找到“证书服务”，前面打勾后点“下一步”。

（如图2）图2 点击看大图小提示：证书服务有两个子选项“证书服务Web注册支持”和“证书服务颁发机构(CA)”。

为了方便这两个功能都需要安装。

第四步：系统会弹出“安装证书服务后计算机名和区域成员身份会出现改变，是否继续”的提示，我们选“是”即可。

（如图3）图3第五步：在windows组件向导CA类型设置窗口中选择独立根CA。

（如图4）第六步：CA识别信息处的CA公用名称输入本地计算机的IP地址，如10.91.30.45，其他设置保留默认信息即可。

（如图5）图5第七步：输入证书数据库等信息的保存路径，仍然选择默认位置系统目录的system32下的certlog即可。

（如图6）图6 点击看大图第八步：下一步后出现“要完成安装，证书服务必须暂时停止IIS服务”的提示。

选择“是”后继续。

（如图7）图7第九步：开始复制组件文件到本地硬盘。

（如图8）图8第十步：安装过程中会出现缺少文件的提示，我们需要将windows2003系统光盘插入光驱中才能继续。

关于IIS的SSL服务配置随着Windows Server 2003操作系统的推出，Windows平台的安全性和易用性大大增强，然而，在默认情况下，IIS使用HTTP协议以明文形式传输数据，没有采取任何加密措施，用户的重要数据很容易被窃取，如何才能保护局域网中的这些重要数据呢?下面笔者就介绍一下如何使用SSL增强IIS服务器的通信安全。

一、什么是SSLSSL（Security Socket Layer）全称是加密套接字协议层，它位于HTTP协议层和TCP协议层之间，用于建立用户与服务器之间的加密通信，确保所传递信息的安全性，同时SSL安全机制是依靠数字证书来实现的。

SSL基于公用密钥和私人密钥，用户使用公用密钥来加密数据，但解密数据必须使用相应的私人密钥。

使用SSL安全机制的通信过程如下：用户与IIS服务器建立连接后，服务器会把数字证书与公用密钥发送给用户，用户端生成会话密钥，并用公共密钥对会话密钥进行加密，然后传递给服务器，服务器端用私人密钥进行解密，这样，用户端和服务器端就建立了一条安全通道，只有SSL允许的用户才能与IIS服务器进行通信。

提示：SSL网站不同于一般的Web站点，它使用的是“HTTPS”协议，而不是普通的“HTTP”协议。

因此它的URL（统一资源定位器）格式为“https://网站域名”。

二、安装证书服务要想使用SSL安全机制功能，首先必须为Windows Server 2003系统安装证书服务。

进入“控制面板”，运行“添加或删除程序”，接着进入“Windows组件向导”对话框，勾选“证书服务”选项，点击“下一步”按钮，接着选择CA类型。

这里选择“独立根CA”，点击“下一步”按钮，为自己的CA服务器取个名字，设置证书的有效期限，最后指定证书数据库和证书数据库日志的位置，就可完成证书服务的安装。

三、配置SSL网站1.创建请求证书文件完成了证书服务的安装后，就可以为要使用SSL安全机制的网站创建请求证书文件。

IIS安装与SSL协议分析雍有敏于IIS上添加SSL协议的方法：1.申请证书：本次使用了ZXCA 《自信》数字证书工具，省去了申请的过程。

2.安装证书：于服务器证书中添加。

3.于网站中更改SSL设置刷新后生效。

客户端登陆截图：SSL协议分析：SSL安全加密的实现手段主要是依靠数字证书。

其实现机制是：当用户和web服务器建立连接后，服务器会把数字证书与公用密钥一同发送给客户端；客户端收到后会生成会话密钥，并用公用密钥进行加密，然后传递给服务器；服务器端用私人密钥进行解密。

这样，客户端和服务器端就建立了一条安全通道，只有SSL允许的用户才能与IIs服务器进行通信。

具体过程如下。

(1)Client Hello：客户端将其SSL版本号、加密设置参数、与session 有关的数据以及其它一些必要信息(加密算法和能支持的密钥大小)发送服务器。

(2)Server Hello：服务器将其SSL版本号、加密设置参数、与session 有关的数据以及其它一些必要信息发送给客户端。

(3)Certificate(可选)：服务器发一个证书或一个证书链到客户端，证书链开始于服务器公共钥匙并结束于证明权威的根证书。

该证书用于向客户端确认服务器的身份，该消息是可选的。

如果配置服务器的SSL 需要验证服务器的身份，会发送该消息。

多数电子商务应用都需要服务器端作身份验证。

(4)Certificate Request(可选)：如果配置服务器的SSL需要验证用户身份，还要发出请求要求浏览器提供用户证书。

多数电子商务不需要客户端身份验证，不过，在支付过程中经常需要客户端身份验证。

(5)Server Key Exchange(可选)：如果服务器发送的公共密钥对加密密钥的交换不是很合适，则发送一个服务器密钥交换消息。

(6)ServerHelloDone：通知客户端，服务器已经完成了交流过程的初始化。

(7)Certificate(可选)：客户端发送客户端证书给服务器。