下面就以Windows .NET为例,step by step介绍如何为IIS开启SSL通道。
- 1.单击"开始",指向"程序",指向"管理工具",然后单击"Internet服务管理器"。
- 2.扩展域节点。选择"缺省Web页面",然后右击。在子菜单中单击"属性"。
- 3.显示"缺省Web站点属性"对话框。单击"目录安全"选项卡。 注意在"安全通信"下面的"编辑"按钮现在不可用。这将会持续到您请求一个Web服务器证书。
- 4.单击"服务器证书"按钮。 5.启动Web服务器证书向导。单击"下一步"。
- 6.选择"创建一个新证书"选项,单击"下一步"。如果IIS已经有一个证书了,您将看见一个不同的对话框。
- 7.选择"立即发送请求到在线证书机构"按纽。(假设在域中已经有一个配置成发布证书的企业CA,关于如何设置CA服务,请详细参考一下文档:
在WIN2000SERVER/.NET中部署公共密钥CA中心
在讨论PKI/CA之前,我想除了了解相关概念之外,有必要亲手搭建一个CA系统,实践一下,那是最好的。
微软的触角真是无处不在,因为在其WIN2000SERVER中,已经提供了很好的PKI架构,其中就是包含了内置Certificate Authority组件,而且也提供了非常完备的CryptoAPI编程接口。当然,在微软新一代服务器.NET中继续提供对PKI的完全支持。
下面,我就介绍一下如何在Windows2000server/.NET中开启CA服务。
- 1、首先请确认您的服务器已经安装配置了Active Directory服务,这样您就可以给域中的用户颁发数字证书。当然AD服务不是安装CA服务的必要条件,如果仅仅左测试使用,您可以不安装AD服务;
- 2、确保在您的Windows2000server/.NET中开启IIS服务,并且支持ASP,这样您的CA服务可以通过WEB在INTERNET/INTRANET发布;
- 3、开始-->设置-->控制面板-->添加/删除程序-->添加/删除Windows组件-->选中证书服务;
- 4、然后选择合适的CA类型,这里我们选择独立的根CA;
- 5、如果你要改变微软的默认密钥设置,你可以选中高级选项;一般,我们直接进入下一步;
- 6、在这里输入您这个CA的详细信息;
- 7、然后指定存储配置数据、数据库和日志的位置;
完成安装向导,系统开始安装CA服务;
然后,您可以通过如下方式访问认证服务器: http://安装认证服务器IP地址/certsrv 在这里,您可以申请一张证书,查看证书请求状态还有下载根证书。
当您完成证书申请之后,您可以通过打开IE-->工具-->INTERNET选项-->内容-->证书-->个人查看您个人证书。
当然你也可以通过把证书服务加入到MMC来进行证书服务管理,方法如下: 开始-->运行-->mmc-->文件-->添加/删除插件-->添加-->证书 )。单击"下一步"。
|