IIS 服务器证书指南

IIS服务器证书指南中国互联网络信息中心(CNNIC)地址：北京中关村南四街四号中国科学院软件园1号楼一层7*24小时客户服务咨询电话：86-10-58813000传真：86-10-58812666邮政地址：北京349信箱6分箱CNNIC邮政编码：100190网址：://一、创建新的证书请求文件1.开启证书向导右击需要申请SSL证书的网站属性，选择“目录安全性”一栏，如图1所示。图1点击“安全通信”框中的“服务器证书”就开始证书向导。如图2所示。IIS服务器证书配置指南中国互联网络信息中心3/14按提示填写信息缺省为“新建证书”，点击“下一步”即可，如图3所示。IIS服务器证书配置指南中国互联网络信息中心4/14按照默认选择“现在准备证书请求，但稍后发送”，直接点击“下一步”，如下图4所示。图4输入新证书的名称，一个您认为好记的名称，可以是中文或英文。选择密钥长度，请选择2048位（CNNIC可信网络服务中心要求域名证书密钥对最少为2048位）,点击“下一步”即可，如图5所示。IIS服务器证书配置指南中国互联网络信息中心5/14输入您单位的名称（中文或英文），也就是营业执照或组织机构代码证上的名称，以及部门信息。如图6所示。图6IIS服务器证书配置指南中国互联网络信息中心6/14公用名称(CommonName)需要输入您要申请域名证书的域名，如果您需要为单域名；如果申请通配域名证书，则输入通配域名的形式；如果申请多域名证书，则输入多域名中第一个域名即可。如图7所示。图7选择国家，缺省为CN（中国），输入申请单位所在省或自治区名称和所在市县名称（中文或英文）。如图8所示IIS服务器证书配置指南中国互联网络信息中心7/14选择路径，保存您的CSR文件，点击“下一步”。图9IIS服务器证书配置指南中国互联网络信息中心8/14中的详细信息，请检查是否正确，此信息将是SSL证书中主题中显示的信息。同时请注意：国家字段只能是国家名称缩写，中国就是CN，而不能是中文：中国。其他所有字段都可以是中文。如果您认为有什么不妥，请点击“上一步”重填。如图10所示。图10到此，您就完成了证书请求文件的生成，同时也生成了证书私钥文件，私钥保存在Windows证书存储区。IIS服务器证书配置指南中国互联网络信息中心9/14文件为文本文件，可以使用记事本等文本查看工具打开刚刚生成的证书请求文件，如下图所示：IIS服务器证书配置指南中国互联网络信息中心10/14二、已安装证书的续费处理如果您是续费用户，如下图12所示，直接选择缺省的“更新当前证书”即可完成新的CSR文件，如果您的证书还没有到期，则不会影响正常使用。图12三、下载服务器证书1)准备下载证书所需信息参考号与授权码：参考号与授权码是下载证书的密码凭证。当申请的证书通过审核时，用户将接收到由CNNIC发送的通过审批的电子邮件通知，该邮件中含有16位的参考号与授权码信息，其中参考号与授权码的前13位为明文显示，后3位为密文显示。审核员会以邮件通知的方式发送后三位的明文显示。2)下载证书登录CNNIC可信网络服务中心网页好，点击页面中部的“可信服务器证IIS服务器证书配置指南中国互联网络信息中心11/14书下载”图片链接进入到证书下载页面后，点击“可信服务器证书第一部分”，如下图所示：根据网页上的提示输入“参考号”和“授权码”，将证书请求文件中除去头尾“-----BEGINNEWCERTIFICATEREQUEST-----”和“-----ENDNEWCERTIFICATEREQUEST-----”的中间部分内容复制到CSR文本框中。结果如下所示：点击“下载”，如果参考号、授权码和CSR均无问题，则显示页面如下所示。IIS服务器证书配置指南中国互联网络信息中心12/14请按页面提示将文本框中的内容拷贝下来，粘贴到一个新建的文本文件中保存，文件名保存为registrars.cer。该文件即为申请的证书，如果该证书丢失，就必须进行证书补办。至此，服务器证书安装第一部分已经完成。如需要安装证书，请参服务器证书安装第二部分安装指南。注意：关于证书的格式转换从CNNIC获得的证书格式为X509格式。该将证书文件的扩展名由txt改为cer或crt后，可在windows中双击打开查看证书的相关信息。显示信息类似下图所示：IIS服务器证书配置指南中国互联网络信息中心13/14提供的图形界面操作工具可以另存为以下两种编码格式：BASE64编码格式：该格式的证书可以用记事本打开DER编码格式：二进制格式在上图中，点击“详细信息”-“复制到文件”后，即可以根据提示点击“下一步”利用证书导出向导导出需要格式的证书，如下图所示：IIS服务器证书配置指南中国互联网络信息中心14/14://一、安装根证书和服务器证书下载根证书及CNNIC中级根证书下载地址：，将CNNIC中级根证书文件名保存为“CNNIC.cer”，将根证书文件名保存为“root.cer”。1.开始安装证书右击需要申请SSL证书的网站属性，再点击“目录安全性”，最下面有一个“安全通信”栏。点击“服务器证书”就开始证书安装向导。2.处理挂起的请求选择“处理挂起的请求”，如下图。若证书已经颁发，一定不可选“删除请求”，否则证书就不能安装成功！！【如果您要删除已经生成CSR和私钥的请求，重新生成CSR和私钥，则选择“删除挂起的请求”】3.选择证书文件IIS服务器证书配置指南中国互联网络信息中心3/7后缀，文件保存在服务器上(PKCS#7格式)，并点击“浏览”选择该证书文件。4.为网站指定一个SSL端口SSL缺省端口为443端口，请不要修改。如果您使用其他端口如：448，则访问时必须输入：。同时，请注意：如果您的服务器需要部署多个SSL，则需要确定一个常用网站使用443端口，而其他网站则使用其他端口，并在网页中设置链接到需要设置的端口中。5.确认证书信息系统会显示详细的证书信息，直接点击“下一步”即可。IIS服务器证书配置指南中国互联网络信息中心4/7完成证书安装显示服务器已经成功安装了证书。7.设置有关参数证书安装成功后，您还需要在“目录安全性”-“编辑”中设置“要求安全通道”，也就是访问此网站必须使用https://，如果不设置此选项，则用户既可以使用http://访问，也可以使用https://访问。8.安装中级根证书通过以上7步已经安装成功网站的域名证书，还需要通过“证书管理器”安装对应的中级根证书。在MMC中添加证书管理器：1)从“开始”菜单，单击“运行”。2)在“打开”框中，键入以下内容：mmc3)单击“确定”。4)在“文件”菜单上，单击“添加/删除管理单元”。5)在“添加/删除管理单元”对话框中，单击“添加”。6)在“可用的独立管理单元”列表中，单击“证书”，然后单击“添加”。7)在“证书管理单元”框中，单击“计算机帐户”，然后单击“下一步”。IIS服务器证书配置指南中国互联网络信息中心5/7)在“选择计算机”框中，单击“本地计算机”，然后单击“完成”。运行MMC管理证书，右击“中级证书颁发机构”-“证书”后的“所有任务”中的“导入”，选择已下载的CNNIC中级根证书，即可安装成功。9.测试是否安装成功在浏览器地址栏输入：(申请证书的域名)测试您的SSL证书是否安装成功，如果成功，则浏览器下方会显示一个安全锁标志。双击安全锁，可查看网站的域名证书。二、备份服务器证书1.开始/运行输入MMC点“确定”，点“文件/添加删除管理单元”2.添加“证书”，在计算机帐户选“本地计算机”，完成，关闭，确定。IIS服务器证书配置指南中国互联网络信息中心6/7点“个人”，选择“证书”，再选中您的服务器证书，右键点“导出”。4.包括私钥一起导出服务器证书5.选择“如果可能，包括证书路径中所有证书“IIS服务器证书配置指南中国互联网络信息中心7/7输入密码，保存成一个pfx文件。备份该pfx文件即可。