一、SSL認證
也就是我們常說的伺服器認證,為的是啟動加密傳輸協議https,步驟如下:
1、生成證書請求
進入IIS,選擇伺服器的伺服器證書設定選項,
建立證書申請,填值如圖所示
選擇加密服務提供程式,並設定證書金鑰長度,EV證書需選擇位長2048
完成之後,會保留一條請求記錄,如圖
生成的證書請求檔案(txt),需要提交給CA組織,獲取證書
PS:因為證書有實效,到時需要更新,所以拿到證書後和請求檔案放在一塊,才不會亂,如:
2、安裝證書
安裝伺服器證書中級CA證書
點選“開始”=>“執行”=>“mmc” ,開啟控制檯
點選“檔案”=>“新增/刪除管理單元” ,找到“證書”點選“新增“ , 選擇“計算機賬戶”,點選“下一步” , 點選“證書(本地計算機)”,完成
雙擊開啟剛新增的管理單元,選擇“中級證書頒發機構”=>“證書”
所有任務=>匯入intermediate.crt
選擇“將所有的證書放入下列儲存”,點選“下一步”,點選“完成”
匯入中級CA證書完成
3、刪除服務端一張(EV)根證書 (這步其實可以忽略了)
在IIS上安裝伺服器證書,需要檢查伺服器上是否存在一張(EV)伺服器證書根證書。如果存在,需要刪除該證書,否則客戶端IE7以下客戶端將訪問報錯。
1)選擇 證書=>受信任的根證書頒發機構=>證書
檢查其中是否存在名稱為“VeriSign Class 3 Public Primary Certification Authority - G5”有效期 2006-11-8 到 2036-7-17的證書,如果存在,請刪除該證書。
2)選擇 證書=>第三方根證書頒發機構=>證書
檢查其中是否存在名稱為“VeriSign Class 3 Public Primary Certification Authority - G5”有效期 2006-11-27 到 2036-7-17的證書,如果存在,請刪除該證書
4、在IIS匯入伺服器證書
在上文生成的請求記錄處,點選“完成證書申請”
選中證書檔案,併為證書設定好記名稱,並完成證書的匯入
至此,完成!!
二、url重定向
目的是http自動轉到https,為什麼把這兩個模組放到一塊?
因為我們伺服器認證完,肯定是為了啟用https協議,但是之前系統可能已經在內部推廣使用了。
為避免啟用https後,別人儲存的http的連結打不開,需要我們幫忙重定向。
所以,基本上進行伺服器認證後,就需要進行URL 重定向了。
廢話少說,我們直接看落實步驟!!!
1、需要安裝--url 重寫2.0
(如果已經有了,跳過這個步驟)
兩個方式:1)透過 【web平臺安裝程式】進行安裝,直接搜尋安裝即可
2)直接下載安裝
2、進行配置
在進行配置之前,我們需要知道,重寫可以指定整個IIS站點池,也可以具體到某一個站點,
正常情況下,我們具體到站點會好一點,至於為啥下面會說到(預防出錯)
開啟【URL重寫】-> 新增規則 -> 空白規則
(.*)就行,試過 https://192.168.31.238:3101/(.*) 即使測試中能匹配出來,也無法正常重定向過去,很奇怪(所以這裡我才說具體到站點上配置,讓有需要的站點進行重定向就行)
這一步是為了告訴IIS Https的url無需重定向,不然會產生Https轉Https轉Https轉Https轉Https轉Https轉Https(根本停不下來)
操作型別:重寫 / 重定向 均可
重定向型別:303