Win2008应用之IIS 7服务器证书配置

证书是安全套接字层 (SSL) 加密的一部分。利用服务器证书，用户可以在传输敏感数据（例如信用卡号码）之前确认 Web 服务器的标识。服务器证书还包含服务器的公钥信息，因而可以在对数据进行加密后再发送回服务器。

　　（一）配置 Internet 服务器证书

　　Internet 服务器证书由公共证书颁发机构 (CA) 颁发。若要获取 Internet 服务器证书，首先要向 CA 发送申请，然后安装从 CA 发送来的 Internet 服务器证书。

　　申请 Internet 服务器证书

　　如果必须向请求 Web 服务器内容的客户端证明该服务器的身份，就需要申请 Internet 服务器证书。Internet 服务器证书由公共证书颁发机构 (CA) 颁发。

　　1.  打开 IIS 管理器，然后导航至您要管理的级别。

　　2.  在"功能视图"中，双击"服务器证书"。

　　3.  在"操作"窗格中，单击"创建证书申请"。

　　4.  在"申请证书"向导的"可分辨名称属性"页上，键入以下信息，然后单击"下一步"。

　　- 在"通用名称"文本框中，为证书键入一个名称。

　　- 在"组织"文本框中，键入将使用该证书的组织的名称。

　　- 在"组织单位"文本框中，键入组织中将使用该证书的组织单位的名称。

　　- 在"城市/地点"文本框中，键入您的组织或组织单位所在的城市或地点的非缩略名称。

　　- 在"省/市/自治区"文本框中，键入您的组织或组织单位所在的省/市/自治区的非缩略名称。

　　- 在"国家/地区"文本框中，键入您的组织或组织单位所在的国家/地区的名称。

　　5.  在"加密服务提供程序属性"页的"加密服务提供程序"下拉列表中，选择"Microsoft RSA SChannel 加密提供程序"或"Microsoft DH SChannel 加密提供程序"。默认情况下，IIS 7.0 使用 Microsoft RSA SChannel 加密提供程序。

　　6.  在"位长"下拉列表中，选择提供程序可以使用的位长。默认情况下，RSA SChannel 提供程序使用的位长为 1024。DH SChannel 提供程序使用的位长为 512。位长越长，安全性就越强，但也会使性能受到不同程度的影响。

　　7.  单击"下一步"。

　　8.  在"文件名"页上的"为证书申请指定一个文件名"文本框中，键入一个文件名；您也可以单击该页上的浏览按钮 (...) 来定位文件，然后单击"完成"。

　　9.  将证书申请发送至公共 CA。

　　安装 Internet 服务器证书

　　当收到来自您向其发送证书申请的公共证书颁发机构 (CA) 的响应时，必须通过在 Web 服务器上安装服务器证书来完成此过程。

　　1.  打开 IIS 管理器，然后导航至您要管理的级别。

　　2.  在"功能视图"中，双击"服务器证书"。

　　3.  在"操作"窗格中，单击"完成证书申请"。

　　4.  在"完成证书申请"页的"包含证书颁发机构响应的文件名"文本框中，键入包含 CA 响应的文件的路径，或者单击浏览按钮（"…"）搜索该文件。

　　5.  在"好记名称"文本框中，为证书键入一个好记的名称，然后单击"确定"。

　　（二）在 IIS 7.0 中创建域服务器证书

　　域证书是一种内部证书，无需由外部证书颁发机构 (CA) 颁发。如果你的 Windows 域包含用作 CA 的服务器，则可以创建域证书。这种方式有助于降低证书的颁发成本，并且方便了证书的部署。

　　1.  打开 IIS 管理器，然后导航至您要管理的级别。

　　2.  在"功能视图"中，双击"服务器证书"。

　　3.  在"操作"窗格中，单击"创建域证书"。

　　4.  在"创建证书"向导的"可分辨名称属性"页上，键入以下信息，然后单击"下一步"：

　　- 在"通用名称"框中，为证书键入一个名称。

　　- 在"组织"框中，键入将使用此证书的组织的名称。

　　- 在"组织单位"框中，键入该组织中将使用此证书的组织单位名称。

　　- 在"城市/地点"框中，键入您的组织或组织单位所在的城市或地点的非缩略名称。

　　- 在"省/市/自治区"框中，键入您的组织或组织单位所在的省/市/自治区的非缩略名称。

　　- 在"国家/地区"框中，键入您的组织或组织单位所在的国家/地区的名称。

　　5.  在"联机证书颁发机构"页中的"指定联机证书颁发机构"框中，键入您的 Windows 域中证书颁发机构 (CA) 服务器的名称，或单击"选择"以在此域中搜索 CA 服务器。

　　注：只有在此域中存在正确配置的证书颁发机构时，"选择"按钮才会启用。

　　6.  在"好记名称"框中，为证书键入一个好记的名称，然后单击"完成"。必须为证书提供一个好记的名称。

　（三）在 IIS 7.0 中创建自签名的服务器证书

　　如果要实现以下一种或多种目的，就需要为本地计算机创建自签名证书：

　　- 解决第三方证书问题。

　　- 远程管理 IIS。

　　- 在服务器与一组有限的已知用户之间创建安全的私有通道，例如软件测试环境中的私有通道。

　　- 测试依赖 SSL 设置的功能。

　　1.  打开 IIS 管理器，然后导航至要管理的级别。

　　2.  在"功能视图"中，双击"服务器证书"。

　　3.  在"操作窗格中，单击"创建自签名证书"。

　　4.  在"创建自签名证书"页的"为证书指定一个好记名称"框中，为证书键入一个好记的名称，然后单击"确定"。
　（四）查看服务器证书列表

　　通过查看证书列表，可以选择要导入或删除的证书。服务器管理员可以查看 Web 服务器上的所有证书。站点管理员可以查看与其站点关联的绑定和证书。站点的绑定信息只能在站点级别查看。

　　1.  打开 IIS 管理器，然后导航至您要管理的级别

　　2.  在"功能视图"中，双击"服务器证书"。IIS 随即会显示一个服务器证书列表。
 　（五）查看服务器证书

　　通过查看证书，可以获取有关其属性的详细信息。这些属性包括：

　　- 证书颁发者

　　- 证书接受者

　　- 证书的有效日期范围

　　- 加密算法

　　- 受信任状态

　　1.  打开 IIS 管理器，然后导航至您要管理的级别。

　　2.  在"功能视图"中，双击"服务器证书"。

　　3.  选择一个证书，然后在"操作"窗格中单击"查看"。

　　4.  在"证书"属性页上，执行下列一项或多项操作：

　　- 单击"常规"选项卡以确定证书颁发者、证书接受者及其有效日期范围。

　　- 单击"详细信息"选项卡以查找加密算法、公钥和序列号等信息。

　　- 单击"证书路径"选项卡以确定该证书到最高级别的证书（由内部或外部证书颁发机构颁发的证书）的路径，以及证书是否可信。

　　5.  单击"确定"关闭"证书"属性页。

　　（六）导入服务器证书

　　如果要将丢失或损坏的服务器证书还原为之前备份的证书，或者安装由其他用户或证书颁发机构 (CA) 发送给您的证书，就需要导入服务器证书。

　　如果服务器证书具有关联的密码，则必须知道该密码才能导入该服务器证书。

　　1.  打开 IIS 管理器，然后导航至您要管理的级别。

　　2.  在"功能视图"中，双击"服务器证书"。

　　3.  在"操作"窗格中，单击"导入"。

　　4.  在"导入证书"对话框中，请执行下列操作：

　　-　在"证书文件"框中键入文件名，或者单击浏览按钮 (...) 导航至存储已导出证书的文件的名称。

　　-　如果在导出证书的过程中使用了密码，请在"密码"框中键入密码。

　　-　如果希望能够导出此证书，请选中"允许导出此证书"；如果不希望再次导出此证书，则清除"允许导出此证书"。

　　5.  单击"确定"。
　（七）导出服务器证书

　　如果要将源服务器中的证书应用于目标服务器，或者要备份证书及其关联私钥，请从源服务器中导出相应证书。

　　1.  打开 IIS 管理器，然后导航至您要管理的级别。

　　2.  在"功能视图"中，双击"服务器证书"。

　　3.  选择一个证书，然后在"操作"窗格中单击"导出"。

　　4.  在"导出证书"对话框中，执行以下操作：

　　- 在"导出至"框中键入一个文件名，或单击浏览按钮 (…) 导航到存储要导出的证书的文件的名称。

　　- 如果要将密码与导出的证书相关联，则在"密码"框中键入密码。

　　- 在"确认密码"框中重新键入该密码，然后单击"确定"。