iis配置指南iis配置指南.doc

IIS5.0 服务器证书安装配置指南  一、概述 3 二、应用环境 3 三、生成证书请求（CSR） 4 3.1 下载证书 9 五、安装服务器证书颁发CA 的证书链 10 六、安装服务器证书 14 七、启用服务器证书 16 八、测试服务器证书成功安装 19 九、配置服务器实现客户端提交数字证书 20 9.1 在服务器端配置CTL（证书信任列表） 20 9.2 在客户端利用有效证书安全登录 23 十、服务器证书的备份和恢复 25 10.1 启用证书管理器 25 10.2 备份证书 28 10.3 恢复证书 31 十一、更新服务器证书 38 一、概述 数字证书又称为数字标识（Digital Certificate，Digital ID）。它提供了一种在Internet 上身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件，与司机驾照或日常生活中的身份证相似。在网上进行电子商务活动时，交易双方需要使用数字证书来表明自己的身份，并使用数字证书来进行有关的交易操作。通俗地讲，数字证书就是个人或单位在Internet 的身份证。数字证书主要包括三方面的内容：证书所有者的信息、证书所有者的公开密钥和证书颁发机构的签名。 服务器数字证书与SSL 协议、数字签名等技术结合，可以方便的满足网上商厦、网上招标系统、办公自动化系统、网管系统等各种应用的安全需求： 实现安全登录，有效控制客户身份与权限使用这种新型的用户登录及身份确认技术，按证书分配权限，解决密码登录方式繁琐、不安全的弊端，有效防止他人冒充登录、防止用户抵赖等。 建立安全WEB 站点，保证网站真实性 防止黑客克隆真正网站的网页，然后通过一些黑客技术，冒充您想访问的真正网站，从而获得用户的登录密码和网上的支付账号。服务器证书利用数字签名技术，使用户能够以可靠的方式确认网站的真实性与唯一性，解决网上交易可能存在的诈骗。 保证信息的保密性 通过SSL 协议，建立加密的安全通道，实现信息的加密传递，保护机密数据。 保证信息的完整性 通过数字摘要、数字签名等技术，发送方发送的信息在传递过程中即使仅仅被改动了一个标点符号，接收方也会收到警告信息，从而保证收发信息的完整性。此技术可应用于网上交易表单签名、网上炒股的数字签单、代码签名等。 本文主要解决在IIS5.0 的环境下如何安装服务器证书，从而实现安全WEB 站点、安全登录等功能的问题。 二、应用环境 系统环境 Windows 2000 Server； IIS5.0；IE 5.0 证书类型 三、生成证书请求（CSR） 1. 打开IIS 服务管理器，打开Web 站点的属性，选择目录安全性属性页，点击服务器证书。 图1：生成证书请求文件（1） 2. 启Web 服务器证书向导，点击下一步。 图2：生成证书请求文件（2） 3. 在弹出的窗口中选择“创建一个新证书”，点击下一步。 图3：生成证书请求文件（3） 4. 在弹出的窗口点击下一步。 图4：生成证书请求文件（4） 5. 输入新证书的名称（只是为了记忆方便），密钥位长可以选择512 或1024，建议选择1024，以加强系统安全性，点击下一步。 图5：生成证书请求文件（5） 6. 如实填写组织及部门名称，建议使用英文填写，否则容易产生乱码。点击下一步。 图6：生成证书请求文件（6） 7. 按要求输入真实信息，特别注意，通用名可填写域名或IP 地址（取决于您的WEB 服务器是用域名访问还是用IP 访问），通常按用户常用的方式填写，点击下一步。 图7：生成证书请求文件（7） 8. 填入您的地理位置信息，点击下一步。 图8：生成证书请求文件（8） 9. 输入证书请求文件的路径及名称，点击下一步。 图9：生成证书请求文件（9） 10. 系统显示摘要，确认无误，点击下一步。 图10：生成证书请求文件（10） 11. 点击完成，完成证书请求。 图11：生成证书请求文件（11） 3.1 下载证书 按步骤完成证书申请后，系统会自动将证书业务受理号和密码发送到用户电子邮箱中。然后用户如实填写书面申请表，并提交给RA 点进行身份审核、交费，身份审核通过后用户将会收到一封通知已经签发证书的电子邮件，邮件包含证书，下载证书文件，并在本地计算机上保存）。 下载证书 五、安装服务器证书颁发CA 的证书链 1. 下载CA 证书链文件：在大庆石油管理局CA中心网站上的服务器证书申请的首页，点击下载证书链， 并将该根证书链安装在本地计算机上。 安装证书链（2） 4. 出现证书导入向导，点击下一步。 安装证书链（3） 5. 出现证书存储对话框，选择将所有的证书放入下列存储区，再点击浏览。 安装证书链（4） 6. 出现选择要使用的证书存储对话框，选中显示物理存储区，双击受信任的根证书颁发机构，选中本地计