IIS6.0服务器证书配置文档.docVIP

IIS6.0 服务器证书安装使用指南 上海数字证书认证中心有限公司 2009/01/05 文档说明： 本文档是IIS6.0 SSL双向认证安装使用指南，详细描述了用于IIS6.0服务器的WEB服务器证书的申请、安装、备份、恢复以及SSL双向认证的配置。 版本信息： 当前版本 3.0 技术支持中心 版权信息： SHECA是上海市数字证书证书认证中心有限公司的注册商标和缩写。 UCA 是上海市数字证书证书认证中心有限公司研究开发的通用证书系统的商标和缩写。 本文的版权属于上海市数字证书证书认证中心有限公司，未经许可，任何个人和团体不得转载、粘贴或发布本文，也不得部分的转载、粘贴或发布本文，更不得更改本文的部分词汇进行转贴。 未经许可不得拷贝，影印。 Copyright @2008 上海数字证书认证中心有限公司 文档发行说明 当您阅读完本文档，您应该能解决如下问题： WEB服务器证书的请求文件CSR的产生； WEB服务器证书的在线申请； WEB服务器证书的安装； WEB服务器SSL安全配置； WEB服务器证书的导出（备份）和导入（恢复）； SSL双向认证的配置； 文档书写环境说明： 本文档的具体试验环境： WEB服务器：Windows 2003 Enterprise Server Edition + IIS 6.0 客户端：Windows XP Professional Version + Service Pack 3 WEB服务器证书申请请求文件（CSR）产生 产生证书请求（CSR）文件 开始(程序(管理工具(Internet 信息服务管理  2、鼠标右键单击“默认站点”，并在弹出菜单中选择“属性”  3、在默认WEB站点属性窗口选择“目录安全性”  4、在“安全通讯”栏目中用鼠标点击“服务器证书”，出现WEB服务器证书向导 鼠标单击下一步，选择创建一个新证书，开始证书请求向导  选择产生请求文件，不直接发送 以下根据提示按照您的WEB服务器的实际信息输入 注意：选择1024位密钥长度 注意：通用名一定是WEB服务器的域名（FQDN），如果在这一步你输入不正确，那会对您以后正确使用WEB服务器证书有影响。 注意：请确保您的以上信息和您提交至上海CA的申请表上的信息一致，否则将会导致不能签发证书。 注意：请确认证书请求文件（CSR）保存位置 注意：确认刚才您输入的信息的正确性 注意：完成证书申请请求，请求文件为certreq.txt，具体格式类似如下形式： WEB服务器证书在线申请 Web服务器证书网上申请流程： 第一步：登陆，点击证书申请( 立即申请安全站点证书，请点击； 在方框里输入从SHECA证书受理点获取的密码信封序列号和信封密码 (注:由于申请的是WEB服务器证书,所以设定的私钥密码不起作用) 第二步：完成输入后，进入下一个页面,此时选择勾选“高级选项”，并选择“用户自上送P10证书请求”并在最底部的输入框内贴入证书请求中去除BEGIN以及END的部分内容，如下图所示 第三步：请耐心等待证书签发 .第四步：请选择证书保存的路径，如需保存为PEM格式，则勾选”PEM”，并点击保存证书。 WEB服务器证书的安装 进入Internet Information Services管理 开始(程序(管理工具(Internet Information Services管理  鼠标右键单击默认WEB站点，并在弹出菜单中选择属性  在默认WEB站点属性窗口选择目录安全性  在安全通讯栏目中用鼠标点击服务器证书，出现WEB服务器证书向导 鼠标单击下一步，开始进行WEB服务器正书安装向导，然后按照提示操作 注意：这个文件是你从SHECA网站申请成功下载的证书 端口默认的是443，您也可以根据实际情况更改 注意：仔细确认WEB服务器证书的具体信息 注意：完成WEB服务器证书的安装 WEB服务器SSL安全配置 进入Internet Information Services管理 开始(程序(管理工具(Internet Information Services管理  鼠标右键单击默认WEB站点，并在弹出菜单中选择属性  在默认WEB站点属性窗口选择目录安全性  在安全通讯栏目中用鼠标点击编辑，出现安全通讯界面 注意： 如果您在需要安全通道（SSL）前打上勾，则以后客户端浏览器仅可以通过HTTPS访问您的WEB服务器； 如果您在需要128位加密前打上勾，则以后客户端浏览器只有具备128位加密强度之后才可以访问您的WEB服务器；有关浏览器的加密强度请咨询相关软件开发商； 客户端证书选项分三种： 忽略客户端证书：客户端访问WEB服务器的时候不需要提供客户端自己证书 接收客户端证书：客户端访问WEB服务器的时候弹出客