为在 IIS 中与您的网站进行交互的所有客户启用 SSL

本文介绍如何为与 Microsoft Internet 信息服务(IIS)中的网站进行交互的所有客户启用安全套接字层(SSL)。

原始产品版本:   Internet information Services
原始 KB 数:  298805

总结

本文包含以下主题:

  • 如何设置和启用服务器证书,以便您的客户能够确保您的网站有效,并且他们发送给您的任何信息将保持私密和机密。
  • 如何使用第三方证书来启用安全套接字层(SSL),以及用于生成证书签名请求(CSR)(用于获取第三方证书)的过程的一般概述。
  • 如何为您的网站启用 SSL 连接。
  • 如何为所有连接强制执行 SSL,并在客户端和网站之间设置所需的加密长度。

您可以使用 Web 服务器的 SSL 安全功能进行两种类型的身份验证。 您可以使用服务器证书来允许用户在传输个人信息(如信用卡号)之前对网站进行身份验证。 此外,还可以使用客户端证书对请求网站上的信息的用户进行身份验证。

本文假定您将使用第三方证书颁发机构(CA)为您的 Web 服务器提供身份验证。

若要启用 SSL 服务器证书验证,并提供您的客户所需的安全级别,应从第三方 CA 获取证书。 第三方 CA 颁发给您的组织的证书通常与 Web 服务器关联,更适用于要绑定 SSL 的网站。 您可以使用 IIS 服务器创建自己的证书,但如果您这样做,您的客户端必须将您的客户端隐式信任为证书颁发机构。

本文假定存在以下情况:

  • 已安装 IIS。
  • 您已创建并发布了要使用 SSL 进行保护的网站。

获取证书

若要开始获取证书的过程,必须生成 CSR。 可通过 IIS 管理控制台执行此操作;因此,必须先安装 IIS,然后才能生成 CSR。 CSR 基本上是您在您的服务器上生成的证书,用于在您从第三方 CA 请求证书时验证有关您的服务器的特定于计算机的信息。 CSR 只是使用公钥/私钥对加密的文本消息。

通常情况下,您的计算机的以下信息包含在您生成的 CSR 中:

  • 组织
  • 部门
  • 国家/地区
  • State
  • 地区
  • 公用名

备注

公用名通常由主机名和它所属的域组成,如xyz.com。 在这种情况下,计算机是 .com 域的一部分,并名为XYZ。 它可以是企业域的根服务器,也可以是简单的网站。

生成 CSR

  1. 访问 IIS Microsoft 管理控制台(MMC)。 为此,请右键单击 "我的电脑",然后选择 "管理"。 这将打开 "计算机管理" 控制台。 展开 "服务和应用程序" 部分。 找到 IIS 并展开 IIS 控制台。

  2. 选择要在其上安装服务器证书的特定网站。 右键单击该网站,然后选择 "属性"。

  3. 选择 "目录安全性" 选项卡。在 "安全通信" 部分,选择 "服务器证书"。 这将启动 Web 服务器证书向导。 选择“下一步”。

  4. 选择 "创建新证书",然后选择 "下一步"。

  5. 选择 "立即准备请求",但稍后发送该请求,然后选择 "下一步"。

  6. 在 "名称" 字段中,输入您可以记住的名称。 它将默认为您要为其生成 CSR 的网站的名称。

    备注

    生成 CSR 时,需要指定位长。 加密密钥的位长决定了发送给第三方 CA 的加密证书的强度。 位长越高,加密越强。 大多数第三方 Ca 最喜欢至少1024位。

  7. 在 "组织信息" 部分,输入您的组织和组织单位信息。 这必须准确,因为你要向第三方 CA 提供这些凭据,并且必须遵守证书的许可。 选择 "下一步" 访问网站的 "常用名称" 部分。

  8. 您的网站的 "公用名称" 部分负责将证书绑定到网站。 对于 "SSL 证书",输入具有域名的主机计算机名称。 对于 Intranet 服务器,您可以使用托管网站的计算机的 NetBIOS 名称。 选择 "下一步" 访问地理位置信息。

  9. 输入国家/地区、省市自治区,以及国家或地区信息。 完全拼写你的省/市/自治区、国家或地区;请勿使用缩写。 选择“下一步”。

  10. 将文件另存为 .txt 文件。

  11. 确认请求详细信息。 选择 "下一步" 完成,然后退出 Web 服务器证书向导。

请求证书

有几种不同的方法可以提交请求。 若要使用和确定最佳证书级别以满足您的需求,请与您选择的证书提供商联系。 根据为将请求发送到 CA 而选择的方法,您可以从 "生成 CSR"部分的步骤10中发送 CSR 文件,或者您可能需要将此文件的内容粘贴到请求中。 此文件将被加密,并且将包含一个标题和一个页脚作为内容。 请求证书时,必须同时包含标头和页脚。 你的 CSR 应类似于以下内容:

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

安装证书

第三方 CA 完成对服务器证书的请求后,您将通过电子邮件或下载网站收到。 必须在要提供安全通信的网站上安装证书。

若要安装证书,请按照以下步骤操作:

  1. 将从 CA 获取的证书下载或复制到 Web 服务器。
  2. 按照 "生成 CSR" 一节中的说明打开 IIS MMC。
  3. 访问要在其上安装证书的网站的 "属性" 对话框。
  4. 选择 "目录安全性" 选项卡,然后选择 "服务器证书"。 这将启动 Web 服务器证书向导。 选择“下一步”。
  5. 选择 "处理挂起的请求并安装证书",然后选择 "下一步"。
  6. 浏览到您在步骤1中保存的证书的位置。 选择 "下一步",然后选择 "完成"。

强制实施 SSL 连接

现在已安装服务器证书,您可以对 Web 服务器的客户端实施 SSL 安全通道通信。 首先,需要启用端口443以实现与网站的安全通信。 要实现这一点,请执行下列步骤:

  1. 在 "计算机管理" 控制台中,右键单击要在其上实施 SSL 的网站,然后选择 "属性"。
  2. 选择 "网站" 选项卡。在 "网站标识" 部分中,验证 "SSL 端口" 字段中是否填充了数字值443。
  3. 选择“高级”**。 您应该会看到两个字段。 网站的 IP 地址和端口应已在 "此网站的多个标识" 字段中列出。 在 "此网站的多个 SSL 标识" 字段下,如果未列出端口443,请选择 "添加"。 选择服务器的 IP 地址,并在 "SSL 端口" 字段中键入数值443 。 选择“确定”。

现在启用了端口443,可以强制实施 SSL 连接。 要实现这一点,请执行下列步骤:

  1. 选择 "目录安全性" 选项卡。在 "安全通信" 部分,"编辑" 现在可用。 选择“编辑”****。

  2. 选择 "需要安全通道(SSL)"。

    备注

    如果指定128位加密,则使用40位或56位的客户端的客户端将无法与您的网站通信,除非他们升级其加密强度。

  3. 打开浏览器并尝试使用标准http:// 协议连接到您的 Web 服务器。 如果实施了 SSL,您将收到以下错误消息:

    必须通过安全通道查看页面
    您要查看的页面要求在地址中使用 "https"。
    请尝试以下操作:在你尝试访问的地址的开头键入 https://,然后重试。 HTTP 403.4-禁止访问:需要 SSL Internet 信息服务
    技术信息(针对支持人员)背景:此错误指示您尝试访问的页面受安全套接字层(SSL)保护。

现在,您可以使用https:// 协议连接到您的网站。