針對在 IIS 中與您的網站互動的所有客戶啟用 SSL

本文說明如何針對與 Microsoft Internet Information Services (IIS)中的網站互動的所有客戶,啟用安全通訊端層(SSL)。

原始產品版本:   網際網路資訊服務
原始 KB 編號:  298805

摘要

本文包含下列主題:

  • 如何設定及啟用伺服器憑證,讓客戶確信您的網站是有效的,而且傳送給您的任何資訊都是保密和機密的。
  • 如何使用協力廠商憑證來啟用安全通訊端階層(SSL),以及用來產生憑證簽署要求(CSR)的處理常式(用來取得協力廠商憑證)的一般概況。
  • 如何啟用網站的 SSL 連線能力。
  • 如何針對所有連線強制執行 SSL,以及在用戶端和網站之間設定所需的加密長度。

您可以使用網頁伺服器的 SSL 安全性功能進行兩種驗證類型。 您可以使用伺服器憑證,讓使用者在傳送個人資訊(例如信用卡號碼)之前,先驗證您的網站。 此外,您也可以使用用戶端憑證來驗證要求網站上資訊的使用者。

本文假設您會使用協力廠商憑證授權單位單位(CA)來提供網頁伺服器的驗證。

若要啟用 SSL 伺服器憑證驗證,並提供您的客戶想要的安全性層級,您應該從協力廠商 CA 取得憑證。 協力廠商 CA 所發給組織的憑證通常會與網頁伺服器相關聯,而且更具體地說是您要將 SSL 系結到的網站。 您可以使用 IIS 伺服器建立您自己的憑證,但是如果您這麼做,您的用戶端就必須將您的使用者隱含地信任為憑證授權單位單位。

本文假設如下:

  • 您已安裝 IIS。
  • 您已建立併發布您想要使用 SSL 來保護的網站。

取得憑證

若要開始處理常式以取得憑證,您必須產生 CSR。 您可以透過 IIS 管理主控台來執行這項操作;因此,必須先安裝 IIS,才能產生 CSR。 CSR 基本上是您在伺服器上產生的憑證,可在您向協力廠商 CA 索取憑證時,驗證服務器的電腦特定資訊。 CSR 只是以公/私密金鑰金鑰組加密的加密文字訊息。

在您產生的 CSR 中,通常會包含您電腦的下列相關資訊:

  • 組織
  • 組織單位
  • 國家/地區
  • 狀態
  • 地區
  • 一般名稱

注意

一般名稱通常是由您的主機電腦名稱稱和其所屬的網域所組成,例如xyz.com。 在此情況下,電腦是 .com 網域的一部分,且名為XYZ。 這可能是您公司網域的根伺服器,或是只是網站的根伺服器。

產生 CSR

  1. 存取 IIS Microsoft Management Console (MMC)。 若要這麼做,請以滑鼠右鍵按一下 [我的電腦],然後選取 [管理] 這會開啟 [電腦管理] 主控台。 展開 [服務及應用程式] 區段。 尋找 IIS 並展開 IIS 主控台。

  2. 選取您要安裝伺服器憑證的特定網站。 在網站上按一下滑鼠右鍵,然後選取 [屬性]。

  3. 選取 [目錄安全性] 索引標籤。在 [安全通訊] 區段中,選取 [伺服器憑證]。 這會啟動網頁伺服器憑證嚮導。 選取 [下一步]

  4. 選取 [建立新憑證],然後選取 [下一步]

  5. 選取 [立即準備此要求,但稍後再傳送],然後選取 [下一步]

  6. 在 [名稱] 欄位中,輸入您可以記住的名稱。 它會預設為您要產生 CSR 的網站名稱。

    注意

    當您產生 CSR 時,您必須指定位長度。 加密金鑰的位長度會決定您傳送至協力廠商 CA 的加密憑證強度。 位長度越高,加密越強。 大多數協力廠商 Ca 最少使用1024位。

  7. 在 [組織資訊] 區段中,輸入您的組織和組織單位資訊。 這必須正確,因為您要將這些認證提供給協力廠商 CA,而且您必須遵守憑證的授權。 選取 [下一步] ,存取您網站的 [一般名稱] 區段。

  8. 您的網站的「一般名稱」區段負責將憑證系結至您的網站。 在 [SSL 憑證] 中,輸入具有功能變數名稱的主機電腦名稱稱。 針對內部網路伺服器,您可以使用主控網站之電腦的 NetBIOS 名稱。 選取 [下一步] ,存取地理位置資訊。

  9. 輸入您的國家/地區、省或直轄市,以及國家或地區資訊。 完全拼寫您的省或直轄市和國家或地區;請勿使用縮寫。 選取 [下一步]

  10. 將檔儲存為 .txt 檔案。

  11. 確認您的要求詳細資料。 選取 [下一步] 完成,然後結束網頁伺服器憑證嚮導。

要求憑證

提交要求的方法各有不同。 請與您選擇的憑證提供者聯繫,以供方法使用,並決定最佳的憑證層級以滿足您的需求。 根據為將要求傳送至 CA 所選擇的方法,您可以從 [產生 CSR ] 區段中的步驟10傳送 CSR 檔案,否則您可能必須將此檔案的內容貼到要求中。 此檔案將會加密,並會包含內容的頁首和頁尾。 當您要求憑證時,您必須同時包含頁首和頁尾。 您的 CSR 應該如下所示:

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

安裝憑證

協力廠商 CA 完成伺服器憑證的要求之後,您將會透過電子郵件或下載網站來接收。 憑證必須安裝在要提供安全通訊的網站上。

若要安裝憑證,請遵循下列步驟:

  1. 將您從 CA 取得的憑證下載或複製到網頁伺服器。
  2. 如 [產生 CSR ] 區段中所述,開啟 IIS MMC。
  3. 存取安裝憑證之網站的 [屬性] 對話方塊。
  4. 選取 [目錄安全性] 索引標籤,然後選取 [伺服器憑證]。 這會啟動網頁伺服器憑證嚮導。 選取 [下一步]
  5. 選取 [處理擱置的要求並安裝憑證],然後選取 [下一步]
  6. 流覽至您在步驟1中所儲存之憑證的位置。 選取 [下一步] ,然後選取 [完成]。

強制執行 SSL 連線

安裝伺服器憑證之後,您可以對網頁伺服器的用戶端強制執行 SSL 安全通道通訊。 首先,您必須啟用埠443,以與網站進行安全通訊。 如果要執行這項操作,請依照下列步驟執行:

  1. 在 [電腦管理] 主控台中,以滑鼠右鍵按一下您要強制執行 SSL 的網站,然後選取 [屬性]。
  2. 選取 [網站] 索引標籤。在 [網站識別碼] 區段中,確認 [SSL 埠] 欄位填入的是443的數值。
  3. 選取 [高級]。 您應該會看到兩個欄位。 網站的 IP 位址及埠應該已經列在 [此網站的多個身分識別] 欄位。 在 [此網站的多個 SSL身分識別] 欄位底下,選取 [新增] (如果未列出埠443的話)。 選取伺服器的 IP 位址,並在 [SSL 埠] 欄位中輸入數值443 。 選取 [確定]****。

現在已啟用埠443,您可以強制執行 SSL 連線。 如果要執行這項操作,請依照下列步驟執行:

  1. 選取 [目錄安全性] 索引標籤。在 [安全通訊] 區段中,現在可以使用 [編輯]。 選取 [編輯]****。

  2. 選取 [需要安全通道(SSL)]。

    注意

    如果您指定128位加密,使用40位或56位實力瀏覽器的用戶端將無法與您的網站通訊,除非他們升級其加密強度。

  3. 開啟您的瀏覽器,並嘗試使用標準的HTTP:// 通訊協定來連接至您的網頁伺服器。 如果已強制執行 SSL,您會收到下列錯誤訊息:

    頁面必須透過安全通道查看
    您要查看的頁面需要在位址中使用「HTTPs」。
    請嘗試下列方法:在您嘗試到達之位址的開頭輸入 HTTPs://,然後再試一次。 HTTP 403.4-禁止訪問: SSL 必要的 Internet Information Services
    技術資訊(適用于支援人員)背景:此錯誤表示您嘗試存取的頁面以安全通訊端層(SSL)保護。

現在您可以使用HTTPs:// 通訊協定,只連接至網站。