图解配置IIS5的SSL安全访问..docVIP

图解配置IIS5的SSL安全访问 2007-09-26 20:49 作者：mikespook 版本：1.0 最后更新：2004-12-22 16:04 按部就班——图解配置IIS5的SSL安全访问... 1 写在前面的... 1 第一步：??????? 准备工作... 1 第二步：??????? IIS创建证书... 3 第三步：??????? 向“证书颁发机构”申请证书... 8 第四步：??????? 颁发证书... 10 第五步：??????? 安装证书，配置SSL. 12 第六步：??????? 完成... 14 写在前面的 这几天自己的商城写完了，准备搞搞IIS5的SSL访问。查了一圈资料，发现多数文章都如出一辙。虽然写得很详细，但是东一榔头，西一棒槌，让我摸不着头脑。罢！罢！罢！直接看帮助，学着配吧。没想到顺利得很，一遍搞掂。就此写文一篇，以帮助跟我有一样困惑的朋友。 在看本文之前我先和读者做一个约定。我假设你会使用鼠标和键盘，并且能够对Windows 2000 Server进行基本的操作（我只想在本文里说明如何配置IIS5的SSL安全访问，对于如何双击图标我不想涉及。）。同时你的计算机上也正确安装有IIS和浏览器（这个是Windows 2000 Server的标准配置，如果你使用的是Windows 2000 Professional版本就不用阅读本文了，因为这个版本不支持IIS的SSL访问。）。 第一步：???? 准备工作 首先你应该有一台你自己的计算机，而且需要有鼠标、键盘或者你能够从其他具有鼠标键盘的计算机访问它。不要拿东西扔我，多数服务器是没有鼠标和键盘的^_^。这台计算机应该安装有Windows 2000 Server或者Windows 2000 Advance Server。其他版本的Windows要么不支持IIS的SSL访问，要么就是跟本文讨论的配置方法有出入，比如Windows 2003的IIS6。 然后就是需要检查你的计算机有没有安装“证书服务”，如果已经安装了该组件，你可以跳过本步骤。 在“控制面板”à“添加/删除程序”中点击“添加/删除Windows组件”，找到“证书服务”，在其前面打钩。如图1。 图1 注意，这个服务有两个子选项“证书服务Web注册支持”和“证书服务颁发机构(CA)”。为了方便期间，这两个功能都需要安装。 图2。 点击下一步，“Windows组件向导”会引导你完成该服务的安装。在安装过程中会出现“证书颁发机构类型”的选择，这里务必要选择独立根（图3）。当然，如果你是在域中的话，请不要继续阅读。因为那需要创建的是企业根或者企业从属根。 图3 当完成了“证书服务” 的安装后，你的“控制面板”à“管理工具”中就会多出一个“证书颁发机构”这样一个图标。 图4 准备工作到此结束。 第二步：???? IIS创建证书 完成了上面的准备，现在就可以让IIS来申请证书了。在“控制面板”à“管理工具”中进入“Internet 服务管理器”。鼠标右键点击你需要配置的站点，在弹出的菜单中选择“属性”（如果你跟我一样是左手使用鼠标，那就点击鼠标左键。）。这时就会打开如图5的“属性”对话框。在“目录安全性”中点击“服务器证书”按钮（图6）。 图5 图6 这时就会有“IIS证书向导”来一步一步提示你完成证书的申请（图7）。 图7 点击“下一步”选择“创建一个新证书”并继续（图8）。需要说名的是另外两种方式“分配一个已存在的证书”和“从密钥管理器备份文件导入一个证书”也可以正确的配置IIS的SSL访问，但是和本问所讲顺序有所不同，这里不再赘述。 图8 继续创建证书，“选择现在准备请求，但稍后发送”。实际上你也只能选择这个选项，另外一个选项“立即发送请求到一个在线证书颁发机构”多数情况下不可用（图9）。我也没有查到在什么时候可用，什么时候不可用的资料。个人猜测大概是在安装“证书服务”的时候如果选择了XXXXXXXXXXXXX或XXXXXXXXXX，这里可能就可以直接申请。如果真是我猜测的这样，那后面那些麻烦的过程都可以略过不谈了。^_^ 图9 继续“下一步”，会要求你输入一个容易记忆的名称来标识你的证书。同时会要求你选择“位长”，实际上就是加密强度。“位长”越大，越安全。当然这是以牺牲性能为代价的（图10）。 图10 接下来是输入组织和部门，这个将会出现在你的证书中，并且当他人查看你的证书的时候会显示出来（图11）。最好还是使用合法的名称，别伪造别人的证书哦。比如我输入的组织是“mikespook swill”，部门因为是为我的商城申请的，所以我输入“XYShop”。 图11 在输入站点公用名称时要注意，最好是使用你将绑定的域名。否则在别人访问你的站点，弹出证书确认对