本文介绍如何为在 Microsoft Internet 信息服务 (IIS) 中与您的网站交互的所有客户启用安全套接字层 (SSL)。
原始产品版本: Internet 信息服务
原始 KB 编号: 298805
概括
本文包含以下主题:
如何设置和启用服务器证书,以便您的客户可以确信您的网站是有效的,并且他们发送给您的任何信息都是私密和保密的。
如何使用第三方证书启用安全套接字层 (SSL),以及用于生成用于获取第三方证书的证书签名请求 (CSR) 的过程的一般概述。
如何为您的网站启用 SSL 连接。
如何对所有连接强制使用 SSL,并在客户端和网站之间设置所需的加密长度。
您可以使用 Web 服务器的 SSL 安全功能进行两种类型的身份验证。您可以使用服务器证书允许用户在传输个人信息(如信用卡号)之前验证您的网站。您还可以使用客户端证书验证在您的网站上请求信息的用户。
本文假设您将使用第三方证书颁发机构 (CA) 为您的 Web 服务器提供身份验证。
要启用 SSL 服务器证书验证并提供客户所需的安全级别,您应该从第三方 CA 获取证书。第三方 CA 颁发给您的组织的证书通常与 Web 服务器绑定,更具体地说,与要绑定 SSL 的网站绑定。您可以使用 IIS 服务器创建自己的证书,但是如果这样做,您的客户端必须隐式信任您作为证书颁发机构。
本文假设以下情况:
您已安装 IIS。
您已创建并发布了希望使用 SSL 保护的网站。
获取证书
要开始获取证书的过程,您必须生成 CSR。您可以通过 IIS 管理控制台执行此操作;因此,必须先安装 IIS,然后才能生成 CSR。CSR 基本上是您在服务器上生成的证书,当您从第三方 CA 请求证书时,它会验证有关您服务器的计算机特定信息。CSR 只是一条使用公钥/私钥对加密的加密文本消息。
通常,您生成的 CSR 中包含有关您的计算机的以下信息:
组织
组织单位
国家/地区
州/省
城市/地区
通用名称
通用名称通常由主机名称和它所属的域组成,例如xyz.com。在这种情况下,计算机是 .com 域的一部分,名为XYZ。这可能是您公司域的根服务器,或者只是一个网站。
生成 CSR
访问 IIS Microsoft 管理控制台 (MMC)。为此,右键单击“我的电脑”并选择“管理”。这将打开计算机管理控制台。展开“服务和应用程序”部分。找到 IIS 并展开 IIS 控制台。
选择要安装服务器证书的特定网站。右键单击该网站并选择“属性”。
选择目录安全选项卡。在安全通信部分,选择服务器证书。这将启动 Web 服务器证书向导。选择下一步。
选择创建新证书,然后选择下一步。
选择立即准备请求,但稍后发送,然后选择下一步。
在名称字段中,输入一个您能记住的名称。它将默认为您为其生成 CSR 的网站的名称。
生成 CSR 时,需要指定位长。加密密钥的位长决定了您发送给第三方 CA 的加密证书的强度。位长越高,加密越强。大多数第三方 CA 都喜欢最低 1024 位。
在组织信息部分,输入您的组织和组织单位信息。这些信息必须准确,因为您要将这些凭据提交给第三方 CA,并且您必须遵守他们的证书许可。选择下一步以访问您的站点的通用名称部分。
您的站点通用名称部分负责将证书绑定到您的网站。对于 SSL 证书,请输入主机名称和域名。对于 Intranet 服务器,您可以使用托管站点的计算机的 NetBIOS 名称。选择下一步以访问地理信息。
输入您所在国家或地区、州或省份以及城市或地区信息。请完整拼写出您所在的州或省份以及城市或地区。请勿使用缩写。选择“下一步”。
将文件保存为 .txt 文件。
确认您的请求详细信息。选择下一步完成,然后退出 Web 服务器证书向导。
请求证书
提交申请的方法有很多种。请联系您选择的证书提供商,了解要使用的方法并确定最适合您需求的证书级别。根据选择向 CA 发送申请的方法,您可以发送“生成 CSR”部分第 10 步中的 CSR 文件,或者您可能必须将此文件的内容粘贴到申请中。此文件将被加密,并包含内容的页眉和页脚。申请证书时,必须同时包含页眉和页脚。您的 CSR 应类似于以下内容:
-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----
安装证书
一旦第三方 CA 完成了您的服务器证书请求,您将通过电子邮件或下载站点收到该证书。该证书必须安装在您想要提供安全通信的网站上。
要安装证书,请按照以下步骤操作:
将从 CA 获得的证书下载或复制到 Web 服务器。
按照生成 CSR部分所述打开 IIS MMC。
访问要安装证书的网站的“属性”对话框。
选择目录安全选项卡,然后选择服务器证书。这将启动 Web 服务器证书向导。选择下一步。
选择处理待处理的请求并安装证书,然后选择下一步。
浏览到您在步骤 1 中保存的证书的位置。选择下一步两次,然后选择完成。
强制 SSL 连接
现在已安装服务器证书,您可以强制与 Web 服务器的客户端进行 SSL 安全通道通信。首先,您需要启用端口 443 以与网站进行安全通信。为此,请按照以下步骤操作:
在计算机管理控制台中,右键单击要强制实施 SSL 的网站,并选择“属性”。
选择“网站”选项卡。在“网站标识”部分,验证“SSL 端口”字段是否填充了数值 443。
选择高级。您应该会看到两个字段。网站的 IP 地址和端口应该已列在此网站的多个身份 字段中。在此网站的多个 SSL 身份字段下,如果端口 443 尚未列出,请选择添加。选择服务器的 IP 地址,然后在 SSL 端口 字段中输入数值443。选择确定。
现在已启用端口 443,您可以强制实施 SSL 连接。为此,请按照以下步骤操作:
选择目录安全选项卡。在安全通信部分,编辑现在可用。选择编辑。
选择需要安全通道 (SSL)。
笔记
如果您指定 128 位加密,使用 40 位或 56 位强度浏览器的客户端将无法与您的网站通信,除非他们升级其加密强度。
打开浏览器并尝试使用标准http://协议连接到 Web 服务器。如果强制使用 SSL,您将收到以下错误消息:
必须通过安全通道查看该页面。
您尝试查看的页面需要在地址中使用“https”。
请尝试以下操作: 在您尝试访问的地址开头输入 https:// 重试。 HTTP 403.4 - 禁止访问:需要 SSL Internet 信息服务。
技术信息(供支持人员使用) 背景:此错误表示您尝试访问的页面受安全套接字层 (SSL) 保护。
现在您仅可使用https://协议即可连接到您的网站。