IIS70服务器证书安装使用指南

SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-1-IIS7.0服务器证书安装使用指南上海数字证书认证中心有限公司2010/01/05SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-2-文档说明：本文档是WEB服务器SSL双向认证安装使用指南，详细描述了WEB服务器证书的申请、安装、备份、恢复以及SSL双向认证的配置。版本信息：当前版本3.0技术支持中心版权信息：SHECA是上海市数字证书证书认证中心有限公司的注册商标和缩写。UCA是上海市数字证书证书认证中心有限公司研究开发的通用证书系统的商标和缩写。本文的版权属于上海市数字证书证书认证中心有限公司，未经许可，任何个人和团体不得转载、粘贴或发布本文，也不得部分的转载、粘贴或发布本文，更不得更改本文的部分词汇进行转贴。未经许可不得拷贝，影印。Copyright@2008上海数字证书认证中心有限公司SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-3-文档发行说明当您阅读完本文档，您应该能解决如下问题：1、WEB服务器证书的请求文件CSR的产生；2、WEB服务器证书的在线申请；3、WEB服务器证书的安装；4、WEB服务器SSL安全配置；5、WEB服务器证书的导出（备份）和导入（恢复）；6、SSL双向认证的配置；文档书写环境说明：本文档的具体试验环境：WEB服务器：Windows7旗舰版+IIS7.0客户端：Windows7旗舰版SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-4-WEB服务器证书申请请求文件（CSR）产生1、产生证书请求（CSR）文件开始所有程序管理工具IISmanager服务器证书2、界面左侧点击“创建证书申请”3、在可分辨名称属性中输入用户信息（其中通用名称为用户的域名或者IP）注意：请确保您的以下填写的信息和您提交至上海CA的申请表上的信息一致，否则将会导致不能签发证书。SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-5-4、选择加密服务提供程序以及密钥长度5、鼠标单击下一步，将证书申请制定一个文件名并保存下来。SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-6-SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-7-注意：完成证书申请请求，请求文件为certreq.txt，具体格式类似如下形式：SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-8-WEB服务器证书在线申请第一步：登陆，点击证书申请立即申请安全站点证书，请点击；在方框里输入从SHECA证书受理点获取的密码信封序列号和信封密码(注:由于申请的是WEB服务器证书,所以设定的私钥密码不起作用)第二步：完成输入后，进入下一个页面,此时选择勾选“高级选项”，并选择“用户自上送P10证书请求”并在最底部的输入框内贴入证书请求中去除BEGIN以及END的部分内容，如下图所示SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-9-第三步：请耐心等待证书签发.第四步：请选择证书保存的路径，如需保存为PEM格式，则勾选”PEM”，并点击保存证书。SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-10-WEB服务器证书的安装1、进入InternetInformationServices管理开始所有程序管理工具IISmanager完成证书申请2、选择从SHECA网站上签发得到的证书，并输入一个好记的名称此时，您已经成功将服务器证书安装到IIS服务器当中。SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-11-WEB服务器SSL安全配置1、操作页面中选择“绑定…”2、选择“添加”SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-12-3、将类型选择为Https,并设置IP地址以及端口，并选择需要绑定的证书。4、选定所需要绑定服务器证书的网站，选择SSL设置5、勾选“要求SSL”，并根据您的实际情况选择是否需要客户端证书的认证。SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-13-注意：如果您在要求SSL前打上勾，则以后客户端浏览器仅可以通过HTTPS访问您的WEB服务器；客户端证书选项分三种：i.忽略客户端证书：客户端访问WEB服务器的时候不需要提供客户端自己证书ii.接收客户端证书：客户端访问WEB服务器的时候弹出客户端验证窗口，允许客户端选择自己的证书，进行身份验证，然后访问WEB服务器，这时，如果客户端没有自己的证书，访问仍旧可以照常进行iii.必须客户端证书：这里仅当客户端拥有自己的证书，并通过验证之后，访问才可以进行下去6、重启您的IIS服务器，通过客户端浏览器访问您的WEB服务器，假如在先前的设置中需要您设置了需要客户端证书的话，这时候会弹出客户端认证窗口，选择您相应的个人证书，确认密钥交换，请单击OK按钮。顺利实现SSL的双向认证，就可以访问https的站点了。基本的WEB服务器安全配置（SSL）已经完成。SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-14-WEB服务器证书的导出（备份）1、进入InternetInformationServices管理开始所有程序管理工具IISmanager服务器证书2、选中需要导出的服务器证书，在右侧的操作框中点击“导出”3、选择导出证书的位置，并设置证书保护密码。SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-15-注意：请将导出的WEB服务器证书妥善保管，以备不时之需。SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-16-WEB服务器证书的导入（恢复）假如由于系统出了问题，导致IIS崩溃或其他不可测原因迫使你重新安装了IIS或操作系统，那么您可以通过以下方式来恢复您的IISWEB服务器证书。1、进入InternetInformationServices管理开始所有程序管理工具IISmanager服务器证书2、选择需要导入的服务器证书，并输入密码（如需允许导出证书，请勾选）此时您的服务器证书已经导入到服务器内，请按照服务器证书部署的相关步骤进行部署。