本篇文章將指導如何在IIS Microsoft server中安裝SSL證書。在安裝證書之前,您需要用IIS生成一個CSR(證書申請請求)將Private Key(證書金鑰)存放在您的伺服器上
如何用Microsoft IIS 伺服器產生CSR
- 從開始中,選取管理工具,接著選取 網際網路資訊服務 (IIS) 管理員。
- 在左側的連線面板中,按一下您想要產生 CSR 的伺服器名稱。
- 在面板中間,按兩下伺服器憑證。
- 在右側的動作面板中,按一下建立憑證申請...。
- 輸入下列名稱內容,接著按一下下一步:
Common Name - 您計劃使用憑證的完整網域名稱 (FQDN) 或 URL (您希望客戶使用 SSL 連線的網站區域)
組織 - 您公司的合法註冊的名稱。 憑證申請中的組織名稱必須是網域名稱的合法註冊人。
組織單位 - 使用此欄位區分組織中的部門 (例如「工程」或「人力資源」)
城市/所在地 - 您組織註冊/所在地城市的全名。 請勿使用縮寫
州/省 - 您組織所在地的州/省全名。 請勿使用縮寫
國家/地區 - 兩個字母的國際標準化組織 (ISO-) 格式,您組織全法註冊的國家/地區 國碼 - 在密碼編譯服務提供者處,請選擇 Microsoft RSA Channel 密碼編譯提供者。
- 在位元長度中,選取 2048 或更多,接著按一下下一步。
- 按一下…,輸入位置和您 CSR 的檔名,接著按一下 結束。
安裝SSL證書在Microsoft IIS
安裝到 IIS 伺服器的憑證格式必須是 *.pfx 的檔案。一般申請的憑證類型格式為 p7b 需轉為 *.pfx 的格式匯入
certificate.crt 憑證本體檔案
private.key 私密金鑰檔案
ca_bundle.crt 中繼憑證檔案
透過 OpenSSL 來產生 *.pfx,指令如下:
openssl pkcs12 -export -in certificate.crt -inkey private.key -certfile ca_bundle.crt -out outputfile.pfx
將憑證嵌入式管理單元加到 Microsoft 管理主控台 (MMC) 內
- 按一下「開始工作列」再按「執行」。
- 在指示內輸入 mmc 後按「確定」。
- 按「檔案」後再按「新增/移除嵌入式管理單元」。
- 按新開啟視窗內的「新增」按鈕。
- 選擇新開啟視窗中的「憑證」後按「新增」。
- 為嵌入式管理單元指定「電腦帳戶」後按「下一步」。
- 按「本機電腦」後按「完成」。
- 按一下「新增獨立嵌入式管理單元」視窗內的「關閉」。
- 按一下「新增/移除嵌入式管理單元」視窗內的「確定」。
匯入中繼 SSL 憑證
- 按一下 MMC 主控台內的「▸」即可展開「憑證 (本機電腦)」。
- 在「中繼憑證授權單位」資料夾上按右鍵,將滑鼠移到「所有工作」上並按「匯入」。
- 按新開啟視窗內的「下一步」。
- 按「瀏覽」並找到之前上傳的中繼憑證檔案,然後按「開啟」。
- 按「下一步」並檢查憑證資訊無誤後,按「完成」。
- 關閉匯入成功的通知訊息。
安裝 SSL 憑證
- 按一下「開始工作列」再按「執行」。
- 在指示內輸入 inetmgr 後按「確定」,啟動網際網路資訊服務 (IIS) 管理員。
- 前往左方「連線」面板下方並按一下您的伺服器名稱。
- 按兩下 IIS 區段之下主要面板內的「伺服器憑證」。
- 前往右方「行動」面板,並按「完成憑證要求」。
- 按新開啟視窗內的「...」瀏覽並找到之前上傳的憑證檔案,然後按「開啟」。
- 新增「易記名稱」,以助您日後可以輕鬆辨識此憑證。
- 按一下「確定」。
繫結 SSL 憑證
- 前往左方「連線」面板並按一下「▸」展開「站台」資料夾。
- 按一下欲安裝 SSL 憑證的網站名稱。
- 前往右方「行動」面板,在下方找到「編輯站台」區段並按「繫結」。
- 按一下新開啟視窗中的「新增」並填寫以下資訊:
- 類型:選擇「https」。
- IP 位址:選擇「全部未指派」。
- 連接埠:輸入 443。
- 主機名稱:此欄位請留白。
- SSL 憑證:選擇您新安裝的 SSL。
- 按「確定」進行確認後,再按「站台繫結」視窗的「關閉」。
重新啟動 IIS
- 前往右方「行動」面板,在下方找到「管理網站」區段並按「重新啟動」。
