【IT168专稿】证书是安全套接字层(SSL)加密的一部分。利用服务器证书,用户可以在传输敏感数据(例如信用卡号码)之前确认Web服务器的标识。服务器证书还包含服务器的公钥信息,因而可以在对数据进行加密后再发送回服务器。
(一)配置Internet服务器证书
Internet服务器证书由公共证书颁发机构(CA)颁发。若要获取Internet服务器证书,首先要向CA发送申请,然后安装从CA发送来的Internet服务器证书。
申请Internet服务器证书
如果必须向请求Web服务器内容的客户端证明该服务器的身份,就需要申请Internet服务器证书。Internet服务器证书由公共证书颁发机构(CA)颁发。
1.打开IIS管理器,然后导航至您要管理的级别。
2.在"功能视图"中,双击"服务器证书"。
3.在"操作"窗格中,单击"创建证书申请"。
4.在"申请证书"向导的"可分辨名称属性"页上,键入以下信息,然后单击"下一步"。
-在"通用名称"文本框中,为证书键入一个名称。
-在"组织"文本框中,键入将使用该证书的组织的名称。
-在"组织单位"文本框中,键入组织中将使用该证书的组织单位的名称。
-在"城市/地点"文本框中,键入您的组织或组织单位所在的城市或地点的非缩略名称。
-在"省/市/自治区"文本框中,键入您的组织或组织单位所在的省/市/自治区的非缩略名称。
-在"国家/地区"文本框中,键入您的组织或组织单位所在的国家/地区的名称。
5.在"加密服务提供程序属性"页的"加密服务提供程序"下拉列表中,选择"MicrosoftRSASChannel加密提供程序"或"MicrosoftDHSChannel加密提供程序"。默认情况下,IIS7.0使用MicrosoftRSASChannel加密提供程序。
6.在"位长"下拉列表中,选择提供程序可以使用的位长。默认情况下,RSASChannel提供程序使用的位长为1024。DHSChannel提供程序使用的位长为512。位长越长,安全性就越强,但也会使性能受到不同程度的影响。
7.单击"下一步"。
8.在"文件名"页上的"为证书申请指定一个文件名"文本框中,键入一个文件名;您也可以单击该页上的浏览按钮(...)来定位文件,然后单击"完成"。
9.将证书申请发送至公共CA。
安装Internet服务器证书
当收到来自您向其发送证书申请的公共证书颁发机构(CA)的响应时,必须通过在Web服务器上安装服务器证书来完成此过程。
3.在"操作"窗格中,单击"完成证书申请"。
4.在"完成证书申请"页的"包含证书颁发机构响应的文件名"文本框中,键入包含CA响应的文件的路径,或者单击浏览按钮("…")搜索该文件。
5.在"好记名称"文本框中,为证书键入一个好记的名称,然后单击"确定"。
(二)在IIS7.0中创建域服务器证书
域证书是一种内部证书,无需由外部证书颁发机构(CA)颁发。如果你的Windows域包含用作CA的服务器,则可以创建域证书。这种方式有助于降低证书的颁发成本,并且方便了证书的部署。
3.在"操作"窗格中,单击"创建域证书"。
4.在"创建证书"向导的"可分辨名称属性"页上,键入以下信息,然后单击"下一步":
-在"通用名称"框中,为证书键入一个名称。
-在"组织"框中,键入将使用此证书的组织的名称。
-在"组织单位"框中,键入该组织中将使用此证书的组织单位名称。
-在"城市/地点"框中,键入您的组织或组织单位所在的城市或地点的非缩略名称。
-在"省/市/自治区"框中,键入您的组织或组织单位所在的省/市/自治区的非缩略名称。
-在"国家/地区"框中,键入您的组织或组织单位所在的国家/地区的名称。
5.在"联机证书颁发机构"页中的"指定联机证书颁发机构"框中,键入您的Windows域中证书颁发机构(CA)服务器的名称,或单击"选择"以在此域中搜索CA服务器。
注:只有在此域中存在正确配置的证书颁发机构时,"选择"按钮才会启用。
6.在"好记名称"框中,为证书键入一个好记的名称,然后单击"完成"。必须为证书提供一个好记的名称。
(三)在IIS7.0中创建自签名的服务器证书
如果要实现以下一种或多种目的,就需要为本地计算机创建自签名证书:
-解决第三方证书问题。
-远程管理IIS。
-在服务器与一组有限的已知用户之间创建安全的私有通道,例如软件测试环境中的私有通道。
-测试依赖SSL设置的功能。
1.打开IIS管理器,然后导航至要管理的级别。
3.在"操作窗格中,单击"创建自签名证书"。
4.在"创建自签名证书"页的"为证书指定一个好记名称"框中,为证书键入一个好记的名称,然后单击"确定"。
(四)查看服务器证书列表
通过查看证书列表,可以选择要导入或删除的证书。服务器管理员可以查看Web服务器上的所有证书。站点管理员可以查看与其站点关联的绑定和证书。站点的绑定信息只能在站点级别查看。
1.打开IIS管理器,然后导航至您要管理的级别
2.在"功能视图"中,双击"服务器证书"。IIS随即会显示一个服务器证书列表。
(五)查看服务器证书
通过查看证书,可以获取有关其属性的详细信息。这些属性包括:
-证书颁发者
-证书接受者
-证书的有效日期范围
-加密算法
-受信任状态
3.选择一个证书,然后在"操作"窗格中单击"查看"。
4.在"证书"属性页上,执行下列一项或多项操作:
-单击"常规"选项卡以确定证书颁发者、证书接受者及其有效日期范围。
-单击"详细信息"选项卡以查找加密算法、公钥和序列号等信息。
-单击"证书路径"选项卡以确定该证书到最高级别的证书(由内部或外部证书颁发机构颁发的证书)的路径,以及证书是否可信。
5.单击"确定"关闭"证书"属性页。
(六)导入服务器证书
如果要将丢失或损坏的服务器证书还原为之前备份的证书,或者安装由其他用户或证书颁发机构(CA)发送给您的证书,就需要导入服务器证书。
如果服务器证书具有关联的密码,则必须知道该密码才能导入该服务器证书。
3.在"操作"窗格中,单击"导入"。
4.在"导入证书"对话框中,请执行下列操作:
-在"证书文件"框中键入文件名,或者单击浏览按钮(...)导航至存储已导出证书的文件的名称。
-如果在导出证书的过程中使用了密码,请在"密码"框中键入密码。
-如果希望能够导出此证书,请选中"允许导出此证书";如果不希望再次导出此证书,则清除"允许导出此证书"。
5.单击"确定"。
(七)导出服务器证书
如果要将源服务器中的证书应用于目标服务器,或者要备份证书及其关联私钥,请从源服务器中导出相应证书。
3.选择一个证书,然后在"操作"窗格中单击"导出"。
4.在"导出证书"对话框中,执行以下操作:
-在"导出至"框中键入一个文件名,或单击浏览按钮(…)导航到存储要导出的证书的文件的名称。
-在"确认密码"框中重新键入该密码,然后单击"确定"。
(八)删除服务器证书
如果出现以下一种或多种情况,请删除证书:
-您以唯一用户或共享用户身份取得计算机的所有权,而此计算机的证书已分配给不再使用此计算机的用户。
-您认为计算机的安全可能已受到威胁,并且相应证书在证书吊销列表(CRL)中。
-您认为证书已损坏。
具体步骤如下:
3.选择您要删除的服务器证书,然后在"操作"窗格中单击"删除"。