一、 生成證書請(qǐng)求
1. 生成證書請(qǐng)求文件(CSR)
進(jìn)入IIS管理控制臺(tái),選擇需要配置證書的站點(diǎn),右鍵選擇“屬性”è“目錄安全性”
“服務(wù)器證書”è“新建證書”
為證書輸入名稱,并設(shè)置服務(wù)器證書密鑰對(duì)位長(zhǎng)。EV服務(wù)器證書要求密鑰位長(zhǎng)2048。
輸入公司名稱及部門信息。
公用名稱欄需要填寫完整域名信息
輸入公司所在地國(guó)家、地區(qū)信息
導(dǎo)出證書請(qǐng)求文件
2. 提交證書請(qǐng)求
將證書請(qǐng)求文件certreq.txt提交給聚名,等待證書簽發(fā)。
二、 安裝中級(jí)CA證書
1. 獲取服務(wù)器證書中級(jí)CA證書
為保障服務(wù)器證書在客戶端的兼容性,服務(wù)器證書需要安裝兩張中級(jí)CA證書(首先安裝中間CA證書,安裝成功后再安裝服務(wù)器證書,請(qǐng)注意中級(jí)CA證書與服務(wù)器證書安裝的先后順序;不同品牌證書,可能只有一張中級(jí)證書)。
從郵件中獲取中級(jí)CA證書:
將證書簽發(fā)郵件中的從BEGIN到 END結(jié)束的兩張中級(jí)CA證書內(nèi)容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)分別粘貼到記事本等文本編輯器中,并修改文件擴(kuò)展名,保存為intermediate1.cer和intermediate2.cer文件(如果只有一張中級(jí)證書,則只需保存并安裝一張即可)。
2. 安裝服務(wù)器證書中級(jí)CA證書
點(diǎn)擊開始菜單,在“運(yùn)行”中輸入“mmc”,打開控制臺(tái)窗口。
點(diǎn)擊“文件è添加刪除管理單元”
選擇“證書”,然后點(diǎn)擊“添加”:
選擇“計(jì)算機(jī)帳戶”è“本地計(jì)算機(jī)”
在添加的證書管理單元中,選擇“證書”è“中級(jí)證書頒發(fā)機(jī)構(gòu)”è“證書”
空白處右鍵點(diǎn)“所有任務(wù)”è“導(dǎo)入”,將兩張中級(jí)CA證書intermediate1.cer和intermediate2.cer分別導(dǎo)入。
3. 刪除一張服務(wù)端(EV)根證書
在IIS上安裝服務(wù)器證書,需要檢查服務(wù)器上是否存在一張(EV)服務(wù)器證書根證書。如果存在,需要?jiǎng)h除該證書,否則客戶端IE7以下客戶端將訪問報(bào)錯(cuò)。
選擇“證書”è“受信任的根證書頒發(fā)機(jī)構(gòu)”è“證書”
檢查其中是否存在名稱為“VeriSign Class 3 Public Primary Certification Authority - G5”有效期 2006-11-8 到 2036-7-17的證書,如果存在,請(qǐng)刪除該證書。
選擇證書è第三方根證書頒發(fā)機(jī)構(gòu)è證書
檢查其中是否存在名稱為“VeriSign Class 3 Public Primary Certification Authority - G5”有效期 2006-11-27 到 2036-7-17的證書,如果存在,請(qǐng)刪除該證書
三、 安裝服務(wù)器證書
1. 保存服務(wù)器證書
將證書簽發(fā)郵件中的從BEGIN到 END結(jié)束的服務(wù)器證書內(nèi)容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘貼到記事本等文本編輯器中,并修改文件擴(kuò)展名,保存為server.cer文件。
2. 進(jìn)入IIS控制臺(tái)
進(jìn)入IIS控制臺(tái),并選中需要配置服務(wù)器證書的站點(diǎn),“屬性”è“目錄安全性”
選擇“服務(wù)器證書”è“處理掛起的請(qǐng)求并安裝證書”
選中您的服務(wù)器證書文件
配置默認(rèn)的https訪問端口443,重啟IIS并使用https方式訪問測(cè)試站點(diǎn)證書安裝。
四、 服務(wù)器證書的備份及恢復(fù)
在您成功的安裝和配置了服務(wù)器證書之后,請(qǐng)務(wù)必依據(jù)下面的操作流程,備份好您的服務(wù)器證書,以防證書丟失給您帶來不便。操作流程如下:
1. 服務(wù)器證書的備份
進(jìn)入IIS控制臺(tái),選擇安裝有服務(wù)器證書的站點(diǎn),右鍵選擇“屬性”è“目錄安全性”è“服務(wù)器證書”è“將當(dāng)前站點(diǎn)證書導(dǎo)出到一個(gè).pfx文件”
為導(dǎo)出的證書備份文件設(shè)置一個(gè)保護(hù)密碼
設(shè)置文件導(dǎo)出路徑
2. 服務(wù)器證書的恢復(fù)
進(jìn)入IIS控制臺(tái),選擇安裝有服務(wù)器證書的站點(diǎn),右鍵選擇“屬性”è“目錄安全性”è“服務(wù)器證書”è“從.pfx文件導(dǎo)入證書”
選擇您的服務(wù)器證書備份文件,并輸入備份文件保護(hù)密碼
如果選中“標(biāo)志此密鑰為可導(dǎo)出”則您稍后可以將私鑰從該服務(wù)器導(dǎo)出。不選中此選項(xiàng)時(shí),私鑰將無法從服務(wù)器中導(dǎo)出。建議您將證書備份文件保存好,不勾選此選項(xiàng),這將更有利于服務(wù)器證書密鑰的安全。
配置默認(rèn)的https訪問端口443,重啟IIS并使用https方式訪問測(cè)試站點(diǎn)證書安裝。