6個步驟完成 IIS7.5 安裝 SSL 憑證,讓你擁有 HTTPS 網站

最近有客戶希望將 HTTP 網站升級為 HTTPS 網站,客戶目前伺服器的作業系統環境是 Windows Server 2008 R2,網站伺服器為 Internet Information Server 7.5(IIS7.5),為了日後方便,趁著這次將整個步驟程序,從事前準備、購買 SSL 憑證、網站設定等全部過程,做個完整記錄,做為日後再安裝的參考。

另外作業系統 Windows Server 2008,網站伺服器 IIS7 (Internet Information Server 7)相關設定跟 IIS7.5 大同小異,所以如果網站伺服器是 IIS7 也可以參考本篇去進行相關的設定。

 

1. 前置準備,建立憑證要求(產生 IIS7.5 CSR,憑證簽名申請)

2. 購買憑證及簽發憑證檔案說明

3. 完成憑證要求(完成自我憑證匯入)

4. 匯入中繼憑證、

5. 設定站台繫結

 

1. 前置準備,建立憑證要求(產生 IIS7.5 CSR,憑證簽名申請)

申請(或購買)的 SSL 憑證核發單位,會要求提供 CSR 檔(Certificate Signing Request,憑證簽名申請),所以在申請(或購買) SSL 憑證前,必須先建立一個 CSR 檔,準備提供給申請(或購買)的 SSL 憑證核發單位,再由 SSL 憑證核發單位進行憑證的核發, SSL 憑證核發單位核發後,核發單位會發給我們數個憑證檔。以下提供「建立憑證要求」的步驟。

● 點選「開始」,再選取「管理工具」,接著選取「網際網路資訊服務 (IIS) 管理員」(IIS7.5 管理介面)。

● 在左側的連線(主機名稱)視窗中,點選您想要產生 CSR 的伺服器名稱。

● 在「功能檢視」視窗中,在視窗中找到一個「伺服器憑證」的功能雙擊點開。

● 雙擊開啟「伺服器憑證」視窗後,在右側的「動作」視窗中,再點擊「建立憑證要求」項目

● 接著輸入申請(或購買)的 SSL 憑證核發單位要求提供的相關申購資訊,一般名稱輸入我們的 SSL 網址,組織輸入指定的公司名稱,為了避免節外生枝強烈建議最好全部使用英文名稱。

● 輸入下列分辨名稱屬性:輸入資訊時請不要輸入以下字元: < > ~ ! @ # $ % ^ * / \ ( ) ? &

● 一般名稱:計劃使用憑證的完整網域名稱 (FQDN) 或 URL (一般會使用 SSL 連線的網域範圍)。

為 www.yourname.com 簽發的 SSL 憑證對 shop.yourname.com 無效。 如果您希望 SSL 涵蓋 shop.yourname.com,請確定 CSR 中提交的通用名稱為 shop.yourname.com

如果您申請的是通用憑證,請在通用名稱左側加上星號 (*) (例如 *.yourname.com 或 *.shop.yourname.com)。

● 組織:公司的合法註冊的名稱。 憑證申請中的組織名稱必須是網域名稱的合法註冊人。

如果您以個人名義申請,請在組織欄位中輸入憑證申請人的名稱,並在組織單位欄位中輸入您的商家名稱。

● 組織單位:此欄位填入組織中的單位部門 (例如「工程」或「人力資源」)。

● 縣市/位置:組織註冊所在的城市全名。 請勿使用縮寫。

● 省份:組織所在的州/省全名。 請勿使用縮寫。

● 國家(地區):兩個字母的國際標準化組織 (ISO-) 格式,您組織全法註冊的國家/地區 國碼

:經驗談:為了避免節外生枝強烈建議你全部填寫英文,因為資訊填寫使用中文,國外的 SSL 憑證核發單位需要找尋能閱讀中文的人來翻譯,會花費更多的時間來處理,另外還有一個原因是未來再與 SSL 憑證核發單位溝通文件時,中文資訊憑證核發單位會發生亂碼,而無法溝通,因此綜合這些原因,不要節外生枝,還是建議使用英文吧!

尤其申購的是需要驗證組織的 SSL 憑證,更建議使用英文。

 

● 「密碼編譯服務提供者內容」視窗

● 「密碼編譯服務提供者」選擇「Microsoft RSA SChannel Cryptographic Provider」。

● 「位元長度」選取 「2048」。接著點擊「下一步」

● 接著要輸入要儲存 CSR 檔案的完整路徑和檔案名稱,按下完成就會產生 CSR 檔案。

 

 


 

2. 購買憑證及簽發憑證檔案說明

這時我們就要選擇一家信用可靠的憑證公司,然後向他們購買 SSL 憑證,購買時對方會要求我們提供 CSR 文件,他會再依據這個 CSR 產生合法有效的憑證給我們。要如何選擇 SSL 憑證核發單位,以及如何購買哪一種 SSL 憑證,請參考另一篇完整介紹的文章,快速掌握如何挑選最適合的SSL憑證、比較各種SSL憑證的差別

提示:

如果需要複製 CSR 內容,請在 CSR 檔案,點右鍵使用記事本(或其他的文字編輯程式 ,例如 Notepad)開啟。

開啟檔案後,複製貼上檔案內的所有文字,包括

----BEGIN NEW CERTIFICATE REQUEST----

---END CERTIFICATE REQUEST----

 

完成申購後,憑證單位會寄送附有數個憑證的壓縮檔給我們,解開壓縮檔後,裡面一定會有「自我憑證檔」和「中繼憑證檔」,部分憑證單位也會一併寄送憑證單位的 CA 根憑證,不過一般知名的 CA 根憑證,都已經預設內建在作業系統中,所以通常不用特別安裝。

通常憑證單位在核發憑證時,都會包括以下數個不同的憑證檔案:「自我憑證檔」和「中繼憑證檔」和「根憑證」。

不過,不是每個憑證單位都一樣,所以我們還是要清楚應該如何判斷哪個檔案屬於那種憑證,我們提供下面的截圖,簡單的說明提供給大家參考。

每個憑證檔案用滑鼠雙擊開啟後,切換到 [憑證路徑]頁籤:

● 「根憑證」的判斷:如果只有 1 筆資料那就是「根憑證」。

● 「中繼憑證」的判斷:如果有 2 筆資料,而且會看到第 1 筆資料是上述的「根憑證」,下面還有 1 筆資料,那這個就是「中繼憑證」檔了。

● 「自我憑證」的判斷:如果有 3 筆資料,而且看到前 2 筆資料是上述的「根憑證」和「中繼憑證」,下面還有 1 筆資料,是用起初申請的網域名稱所命名的憑證,那這張就是未來要安裝到 IIS7.5 中的「自我憑證」檔了。

 

 


 

3. 完成憑證要求 ( 安裝自我憑證 )

注意:設定「完成憑證要求」的電腦,必須是當初我們在「建立憑證要求」時,同一台電腦,因為如果是不同一台電腦,會造成無法產生私密金鑰、而無法完成安裝憑證。

● 點選「開始」,再選取「管理工具」,接著選取「網際網路資訊服務 (IIS) 管理員」(IIS7.5 管理介面)。

● 在左側的連線(主機名稱)視窗中,點選您想要產生 CSR 的伺服器名稱。

● 在「功能檢視」視窗中,在視窗中找到一個「伺服器憑證」的功能雙擊點開。

● 雙擊開啟「伺服器憑證」視窗後,在右側的「動作」視窗中,再點擊「完成憑證要求」項目

● 接著在「含有憑證授權單位回應的檔案名稱」欄位,選取輸入憑證單位簽發的「自我憑證」檔案所在的完整路徑。

● 「好記的名稱」顧名思義就是設定一個好記的名稱 :),一般我們會建議使用當初設定申請 SSL 憑證的網域名稱。

● 上述「完成憑證要求」點選確定後。

● 我們就會看到「伺服器憑證」視窗裡面,就會出現剛剛設定的憑證,如果沒有看到,可以試著重新整理,項目出現,就表示我們憑證安裝成功了。

 

 


 

4. 匯出憑證

匯出憑證

 

 


 

5. 匯入中繼憑證

在進行這個步驟之前,我們先簡單的說明一下,什麼是中繼憑證?

中繼憑證是 SSL 根憑證的替身。 由於憑證單位必須將 SSL 的根憑證,放在數層的安全防護之後,因此憑證單位利用中繼憑證,確保根憑證的密鑰絕對無法被存取。

但是,由於根憑證本身簽署了中繼憑證,因此我們只要安裝與維護中繼憑證就可以。

簡單說明中繼憑證後,我們就要開始進行匯入中繼憑證這個步驟了,首先跳離 IIS 管理介面,使用 [開始] / [執行] 並輸入 mmc 開啟主控台,並選取 [檔案] / [新增/移除嵌入式管理單元] 功能

 

選取 [憑證] 管理單元點選 [新增] 按鈕,然後選取 [電腦帳戶] 選項,按下 [下一步] 按鈕,再按 [完成] 按鈕,再按下 [確定] 按鈕加入主控台。

 

接著開啟 [憑證] / [中技憑證授權單位] / [憑證] 點選滑鼠右鍵,選取 [所有工作] / [匯入]

然後在憑證匯入精靈選取「中繼憑證檔」

接著用預設設定即可,直接按 [下一步] 按鈕,再按下 [完成] 按鈕後即安裝成功。

 

 


 

6. 設定站台繫結

最後一個步驟就是要將剛剛完成的憑證繫結到站台去,可以先選取要設定 SSL 的站台,按下滑鼠右鍵並選取 [繫結]

然後點擊 [新增] 按鈕,在類型欄位選取 https,然後再到 SSL 憑證欄位選取你剛剛新增的 [自我憑證],這裡顯示的名稱是你剛剛匯入自我憑證時「好記的名稱」欄位所設定的值。最後按下 [確定] 按鈕即可將 SSL 憑證設定完成。

以上就是我這次安裝 SSL 憑證並繫結至 IIS 站台的完全攻略,相信傻瓜也能安裝成功!

 

相關文章推薦連結:

 

  • Top