文章主要介紹了在win2008 r2 英文版 IIS7.5上配置Https,SSL的方法,在非伺服器、而且沒有證書頒發機構(Certificate Authority簡稱CA)的開發環境中,配置HTTPS,SSL用於測試或學習 。
本博文目的:在非伺服器、而且沒有證書頒發機構(Certificate Authority簡稱CA)的開發環境中,配置HTTPS,SSL用於測試或學習
一、建造測試網站
1.在桌面上建立個資料夾,然後再在資料夾裡新建個html檔案
2.開啟IIS,新增網站,如圖:
3.訪問網站http://localhost:8090,如圖:
二、建立證書
IIS裡的Server Certificates提供了5種建立證書的方法,見下圖:
1.其中Create a Self-Signed Server Certificate選項,建立自簽名伺服器證書,目的在於:
a)解決第三方證書問題。
b)遠端管理 IIS。
c)在伺服器與一組有限的已知使用者之間建立安全的私有通道,例如軟體測試環境中的私有通道。
d)測試依賴 SSL 設定的功能。
使用該功能,證書的Common Name(CN)預設是電腦名+域名,即Computer Name+ Domain,見下圖:
2.Create Certificate Request選項則提供了可自定義建立證書的方式,見下圖:
點選"Next":
這裡提供了2種加密方式:RSA和DH SChannel。點選"Next":
選擇一個檔名,如圖:
最後點選"Finish"。
開啟剛才的檔案MyCert.txt,裡面內容如下:
這個檔案是用於匯入到CA裡生成證書用的,但關鍵是我的電腦裡沒有CA,windows元件裡也沒有CA的安裝選項,也就是說我現在無法制作這個證書了。這時,一個給力的工具就要閃亮登場了——SelfSSL。
三、使用SelfSSL.exe生成證書
下載並安裝IIS 6.0 Resource Kit Tools:http://www.microsoft.com/en-us/download/details.aspx?id=17275
或到指令碼之家下載://www.jb51.net/softs/140452.html
安裝好之後,點選“開始”-“所有程式”-“IIS Resources”-“SelfSSL”,開啟SelfSSL,介面如下:
其中/S:site id可以從 IIS根目錄->Sites 裡看到,如下圖:
還有/P:port指https的port,而非http的port。在本例中,指https的預設埠443(當然你也可以指定其他埠),而不是localhost:8090裡的8090。
接下來,在SelfSSL裡輸入命令:selfssl.exe /N:CN=localhost /K:1024 /V:365 /S:2 /P:443,回車之後,見下圖:
選擇Y並回車,如圖:
回到IIS,開啟Server Certificates,發現證書已建立成功,如圖:
四、繫結證書到網站上
回到IIS,選中站點,右鍵,選擇Edit Bindings,如圖:
點選Add按鈕
選擇Type為https的,並Edit,在彈出的介面裡的SSL Certificate下,選擇我們剛才建立的證書,如圖:
再次回到IIS,選中站點,選擇SSL Settings,如圖:
開啟SSL Settings之後,做出如下選擇:
再一次開啟我們的網站,發現提示該網站不安全,見下圖:
當然,你如果設定SSL Settings如下,則開啟網站的時候是這樣的:
我們建立的證書,Issued To,Issued By都是同一個,這種叫做根證書,該證書需要存放在Trusted Root Certification Authorities目錄下,網站才會被信任,這可以透過certmgr.msc檢視。那麼如何讓SSL驗證透過呢,即如何讓鎖形安全標誌出來呢,有兩種方法:
1.點選圖中紅色框處:
出現下面的小彈出框:
點選上圖中的“View certificates”:
點選上圖中的“Install Certificate”:
點選“Next”:
點選上圖中的“Browse”:
選擇上圖中的“Show physical stores”,並選擇“Trusted Root Certification Authorities”:
然後一路點選ok和完成,直到出現“The import was successful”。
這時,我們開啟Certmgr.msc,發現證書已成功匯入。
此時,開啟網站連結https://localhost,發現鎖形安全標誌已出現:
2.回到IIS,開啟Server Certificates,選中我們建立的證書,右鍵,匯出證書,見圖:
點選OK之後,會在C盤目錄下看到MySSLTest.pfx檔案。
在 開始-執行 裡輸入certmgr.msc,開啟Certificate Manager,找到Trusted Root Certification Authorities目錄,
並右鍵,選擇All Tasks,然後選擇Import:
選擇我們剛剛儲存的檔案MySSLTest.pfx:
點選Next,輸入密碼:
點選Next:
一路點選Next和Finish,直到出現“The import was successful”:
此時,開啟網站連結https://localhost,發現鎖形安全標誌已出現:
全文完