-
新建网站
在搭建网站证书之前,我们先搭建好我们的网站
1、网站基本搭建
为我们的项目新建一个网站,按照如下的步骤来
1,打开IIS,右键单击网站弹出菜单,选择网站(如图1.1.1)
图1.1.1
2,如图1.1.2所示,点击下一步
、
图1.1.2
3,如图1.1.3所示,填写一个网站名,然后点击下一步
图1.1.3
4,如图1.1.4所示,给网站指定一个端口号(注意我们的网站最好不要默认的端口号80)
图1.1.4
5,如图1.1.5所示,路径要选择我们ToolPlatform目录下网页所在的目录
图1.1.5
6,如图1.1.6所示,给网站配置一个读取的权限
图1.1.6
7,如图1.1.7所示,最后点击完成,我们的网站就基本上创建好了。
图1.1.7
2、设置网站属性
1,右键单击创建好的网站名,弹出网站操作菜单,如图1.2.1所示
图1.2.1
2,选择"属性"菜单项,弹出网站属性窗口,设置"主目录"、"文档"、"Asp.NET"选项,按图1.2.2至图1.2.4中红色圈中的值设置
图1.2.2
图1.2.3
图1.2.4
3
、网站权限设置
1,右键单击创建好的网站名,弹出网站操作菜单,选择权限,如图1.3.1所示
图1.3.1
2,弹出网站目录权限设置页面,如图1.3.2
所示,点击添加按钮
图1.3.3
3,添加IIS_WPG、IUSER-xxx(xxx代表主机名)修改权限;以IIS_WPG为例;如图1.3.3为添加窗口,点击"高级"按钮
图1.3.3
4,如图1.3.4所示,点击"立即查找"
图1.3.4
5,如图1.3.5所示,点击"IIS_WPG",然后点击"确定"
图 1.3.5
6,如图1.3.6所示,点击"确定"
图 1.3.6
7,如图1.3.7所示,"IIS_WPG"已经成功被添加进来了。注意修改"IIS_WPG"的权限
图1.3.7
8,同样的方法增加如图1.3.8窗口中来宾账户(IUSR_xxx)
图1.3.8
-
服务端证书搭建
1、证书请求文件的生成
1,在弹出菜单中选择"属性",然后切换到"目录安全性"标签页,接着点击"服务器证书"按钮(如图2.1.1和图2.1.2)。
图2.1.1
图2.1.2
2,在web向导窗口,选择下一步,如图2.1.3
图2.1.3
3,在"IIS证书向导"窗口中选择"新建证书"选项,点击"下一步",选中"现在准备证书请求,但稍后发送"。如图2.1.4和图2.1.5所示。
图2.1.4
图2.1.5
4,接着在"名称"栏中为该证书起个名字,在"位长"下拉列表中选择"密钥的位长",这里要注意,位长不能设置的过大,否则会影响通信质量;接着设置证书的单位、部门、和地理信息. 在站点"公用名称栏"中输入该网站的域名(如图2.1.6,图2.1.7,图2.1.8和图2.1.9)
图2.1.6
图2.1.7
图2.1.8
图2.1.9
5,然后指定证书请求文件的保存位置,这里笔者将该证书请求文本文件保存在"c:/certreq.txt"。这样就完成了证书请求文件的生成(如图2.1.10,图2.1.11,图2.1.12和图2.1.13)。
图2.1.10
图2.1.11
图2.1.12
图2.1.13
2、安装证书服务
完成了证书请求文件的生成后,就可以开始申请IIS网站证书了。但这个过程需要证书服务(Certificate Services)的支持。Windows 2003系统默认状态没安装此服务,需要手工添加
1,在"控制面板"中运行"添加或删除程序",切换到"添加/删除Windows组件"页,如图2.2.1。
图2.2.1
2,在"Windows组件向导"对话框中,选中"证书服务"选项,接下来选择CA类型,选择"是",如图2.2.2所示。
图2.2.2
3,这里选择"独立根CA",如图2.2.3
图2.2.3
4,然后为该CA服务器起个名字,设置证书的有效期限,建议使用默认值"5年"即可(如图2.2.4)
图2.2.4
5,最后指定证书数据库和证书数据库日志的位置后,选择"是" ,就完成了证书服务的安装。如图2.2.5和图2.2.6所示。
图2.2.5
图2.2.6
注意:这一步可能需要到装系统的ISO 镜像文件
3、申请IIS网站证书
1,运行 IE浏览器,在地址栏中输入
"http://127.0.0.1/CertSrv/default.asp"。
接着在"Microsoft 证书服务"欢迎窗口中点击"申请一个证书"链接。如图2.3.1所示。
图2.3.1
注意:这里的http:// 后面跟的IP地址根据服务器网站的IP地址而定,这里我们的网站部署在本地服务器上,所以IP是127.0.0.1
2,然后在证书申请类型中点击"高级证书申请"链接,在高级证书申请窗口中点击"使用BASE64编码的 CMC或PKCS#10文件提交…."链接(如图2.3.2和图2.3.3)
图2.3.2
图2.3.3
3,接着将证书请求文件的内容复制到"保存的申请"输入框中,这里我们的证书请求文件内容保存在"c:/ certreq.txt",最后点击"提交"按钮。(如图2.3.4、图2.3.5和图2.3.6)
图2.3.4
图2.3.5
图2.3.6
4、颁发IIS网站证书
1,虽然完成了IIS网站证书的申请后,但这时它还处于挂起状态,需要颁发后才能生效。在"控制面板→管理工具"中,运行"证书颁发机构"程序。(如图2.4.1)
图2.4.1
2,在"证书颁发机构"左侧窗口中展开目录,选中"挂起的申请"目录,在右侧窗口找到刚才申请的证书,鼠标右键点击该证书,选择"所有任务→颁发"。(如图2.4.2和图2.4.3)
图2.4.2
图2.4.3
3,接着点击 "颁发的证书"目录,打开刚刚颁发成功的证书,右键选择"打开",在 "证书"对话框中切换到"详细信息"标签页(如图2.4.4,图2.4.5和图2.4.6所示)
图2.4.4
图2.4.5
图2.4.6
3,点击"复制到文件"按钮,弹出证书导出对话框,一路下一步(如图2.4.7,图2.4.8和图2.4.9)
图2.4.7
图2.4.8
图2.4.9
4,在"要导出的文件"栏中指定文件名,这里我们保存证书路径为"c:/of.cer",最后点击"完成"。(如图2.4.10,图2.4.11和图2.4.12)
图2.4.10
图2.4.11
图2.4.12
5、导入IIS网站证书
1,在IIS管理器的"目录安全性"标签页中,点击"服务器证书"按钮(如图2.5.1)
图2.5.1
2,点击"下一步"这时弹出"挂起的证书请求"对话框,选择"处理挂起的请求并安装证书"选项(如图2.5.2和图2.5.3)
图2.5.2
图2.5.3
3,点击"下一步"后,指定好刚才导出的IIS 网站证书文件的位置,接着指定SSL使用的端口,建议不要使用默认的"443",最后点击"完成"按钮。(如图2.5.4,图2.5.5,图2.5.6和图2.5.7)
图2.5.4
图2.5.5
图2.5.6
图2.5.7
6、配置IIS服务器
1,完成了证书的导入后,IIS网站这时还没有启用SSL安全加密功能,需要对IIS服务器进行配置。选择需要加密访问的站点目录(如果希望全站加密,可以选择整个站点),这里以整个站点为例。右键单击打开属性页(如图2.6.1)
图2.6.1
2,在"目录安全性"标签页点击安全通信栏的"编辑"按钮
图2.6.2
3,选中"要求安全通道(SSL)"和"要求128位加密"选项,并且选择客户端证书,最后点击"确定"按钮即可(如图2.6.3)。
图2.6.3
7、导出根证书
1,打开IE浏览器,找到工具下的Interne选项(如图2.7.1所示)
图2.7.1
2,在Interne选项卡上选择"内容",点击"证书"(如图2.7.2)
图2.7.2
3,在证书选项卡点击"受信任的根证书颁发机构",找到根证书名称。点击该证书,然后再点击"导出"按钮。(如图2.7.3)
图2.7.3
4,点击下一步(如图2.7.4)
图2.7.4
5,这一步,我们可以直接写"c:\root.cer"(如图2.7.5)
图2.7.5
6,最后点击完成,最后在C盘我们就可以看到导出的根证书(如图2.7.6和图2.7.7)
图2.7.6
图2.7.7
三、客户端证书搭建
客户端证书的搭建根证书的搭建是差不多的。首先要做的事情是申请一个证书。
1、申请证书
1,按照申请根证书的步骤,打开申请证书的页面,点击"申请一个证书",如图3.1.1
图3.1.1
2,选择"web浏览器证书,如图3.1.2
图3.1.2
3,打开"更多选项"和"请使用高级证书",如图3.1.3和图3.1.4
图3.1.3
图3.1.4
4,"姓名"是指登陆的用户名,"密钥大小"要选2048,把"标志密钥为可导出"勾上。最后点击提交(如图3.1.5)。此时我们就能成功的申请了客户端证书(如图3.1.6)。
图3.1.5
图3.1.6
2、颁发证书
1,如图3.2.1所示,进入到颁发证书的窗口
图3.2.1
2,在证书颁发的窗口,点击"挂起的证书",可以看到刚才申请的客户端证书。此时就可以按照图3.2.2所示,颁发该证书了。
图3.2.2
3、安装证书
1,打开证书申请的页面,如图3.3.1所示,点击"查看挂起的证书申请的状态"
图3.3.1
2,在查看证书页面,如图3.3.2所示,点击"客户端身份验证证书….."
图3.3.2
3,点击"安装此证书",如图3.3.3所示。
图3.3.3
4,弹出一个警告窗口,选择"是",如图3.3.4。成功安装了证书之后,就会显示如图3.3.5的页面。
图3.3.4
图3.3.4
4、导出证书
1,从IE浏览器进入到证书窗口,点击个人(如图3.4.1)。在个人证书窗口,可以看到之前安装的客户端证书。
图3.4.1
2,导出证书的步骤,跟导出根证书的步骤是差不多的。但是有个导出证书密钥的步骤,这个步骤,默认是不导出证书密钥的,为了安全起见,我们要选择导出密钥,如图3.4.2所示。
图3.4.2
3,导出的格式选择默认的格式,如图3.4.3。
图3.4.3
4,设置证书密码,如图3.4.4所示。
图3.4.4
5,如图3.4.5所示,收到写入文件名。文件名必须以.pfx结尾。
图3.4.5
6,点击图3.4.6窗口的"完成"过后,到c盘下去查看,就可以看到demo.pfx证书了,如图3.4.7。
图3.4.6
图3.4.7