現(xiàn)在到處是劫持網(wǎng)址加廣告的��,這樣通過https訪問��,就不用擔(dān)心了��,比較適合對(duì)安全級(jí)別要求高的網(wǎng)站,當(dāng)然老站更需要開啟https了��。
無廢話圖文教程��,教你一步一步搭建CA服務(wù)器,以及讓IIS啟用HTTPS服務(wù)��。
一��、架設(shè)證書服務(wù)器(CA服務(wù))
1.在系統(tǒng)控制面板中��,找到“添加/刪除程序”��,點(diǎn)擊左側(cè)的“添加/刪除windows組件”,在列表中找到“證書服務(wù)”��,安裝之��。
2.CA類型��,這里有四種選擇��,這里以“獨(dú)立根CA”為介紹��。
3.CA識(shí)別信息,這里可以為你的CA服務(wù)器起個(gè)名字��。
4.證書數(shù)據(jù)庫(kù)設(shè)置��,用于保存證書的相關(guān)數(shù)據(jù)庫(kù)和日志文件,這個(gè)默認(rèn)就行了��。
5.安裝完成后��,在 控制面板 - 管理工具 中就可以打開 證書頒發(fā)機(jī)構(gòu),這個(gè)工具是用于審核證書用的��,后面會(huì)提到��。
6.安裝完成后��,在IIS中��,還會(huì)增加三個(gè)相關(guān)的目錄��,其中的“CertSrv”就是證書申請(qǐng)的頁面了��。
7.打開相應(yīng)的頁面��,可以看到如下圖,至此��,CA服務(wù)器基本已架設(shè)完成��。
二、讓IIS開啟HTTPS(SSL)功能
1.在IIS中的“默認(rèn)網(wǎng)站”右鍵��,選擇“屬性”��,可看到網(wǎng)站屬性��,點(diǎn)擊“目錄安全性”標(biāo)簽頁��,點(diǎn)擊“服務(wù)器證書”按鈕��。
2.選擇“新建證書”,下一步
3.選擇“現(xiàn)在準(zhǔn)備證書請(qǐng)求��,但稍后發(fā)送”��,下一步
4.單位信息��,這里需要自己填寫��,至于寫什么��,自己可以決定��,這些信息會(huì)在證書中顯示��。
5.名稱和安全性��,名稱默認(rèn)是IIS網(wǎng)站的名稱��,密鑰長(zhǎng)度默認(rèn)為1024位��,下一步
6.站點(diǎn)公用名稱��,這個(gè)默認(rèn)是服務(wù)器的機(jī)器名,請(qǐng)注意��,如果IIS是對(duì)象服務(wù)的��,此處必須填寫對(duì)應(yīng)的域名��。
7.地理信息��,隨便填吧��,下一步
8.證書請(qǐng)求文件名��,默認(rèn)是保存在C盤下,打開后會(huì)看到如下一串加密的字符串��。
9.先將證書的加密串復(fù)制下來,前往前面提到的證書申請(qǐng)的頁面��,選擇“申請(qǐng)一個(gè)證書”
10.證書的申請(qǐng)方式��,選擇“高級(jí)證書申請(qǐng)”
11.選擇“使用base64……”
12.將證書串填入文本框中��,并“提交”��,至此��,完成了證書的申請(qǐng)��。(先別急著關(guān)IE��,點(diǎn)右上的“主頁”等著吧)
13.回到證書頒發(fā)機(jī)構(gòu)工具中��,選擇左邊的“掛起的申請(qǐng)”��,可以看到里面有一條申請(qǐng)記錄��,申請(qǐng)ID就是你剛才申請(qǐng)的ID��。
選中記錄,右鍵 - 所有任務(wù) - 頒發(fā),這樣即可以頒發(fā)證書了��。
點(diǎn)擊“頒發(fā)的證書”就可以看到剛剛頒發(fā)的證書了��。
14��,再回到證書申請(qǐng)頁面��,選擇“查看掛起的證書申請(qǐng)的狀態(tài)”
15.在這個(gè)頁面可以看到你之前申請(qǐng)的所有證書��,多個(gè)的話有多條鏈接)��,點(diǎn)擊其中一條��。
16.在這里,如果已經(jīng)頒發(fā)的證書��,就可以看到證書下載頁面了��,一般選擇Base64編碼��,下載證書��。
下載證書鏈的話��,可以把根CA的證書也一起下載。
17.回到IIS��,目錄安全性的那個(gè)頁面��,還是點(diǎn)擊“服務(wù)器證書”��,此時(shí)界面已改變��,選擇“處理掛起的請(qǐng)求并安裝證書”��,下一步
18.選擇剛下載的證書��,下一步
19.填寫SSL使用的端口��,一般默認(rèn)是443��,不需要修改��。至此��,便完成了證書的申請(qǐng)��。
20.如果要強(qiáng)制使用HTTPS訪問網(wǎng)站的話��,在“目錄安全性”標(biāo)簽頁中��,點(diǎn)擊“編輯”按鈕��。
21.鉤選”要求安全通道(SSL)”一項(xiàng)
22��,此時(shí)��,我們?cè)偎⑿乱幌伦C書申請(qǐng)頁面��,就可以看到403.4的錯(cuò)誤頁面了��,因?yàn)槲覀儚?qiáng)制要求使用HTTPS來訪問網(wǎng)站了��。
注意:如果不是整個(gè)網(wǎng)站要求使用HTTPS的話��,也可以針對(duì)一個(gè)虛擬目錄進(jìn)行設(shè)置��,方法同上��。
23.修改為HTTPS訪問后��,會(huì)提示安全警報(bào)��,這里提示證書名與站點(diǎn)名不匹配��,那是因?yàn)槲覀兪褂胠ocalhost來訪問了。
還記得上面申請(qǐng)證書時(shí)��,提到的公用名稱嗎��?就是這個(gè)了��,當(dāng)時(shí)我們填的是機(jī)器名��,所以和localhost當(dāng)然不匹配��。
這也是為什么如果IIS有對(duì)外的話,要填域名的原因了��,否則就會(huì)提示此安全警報(bào)了��。
此處只需要將地址修改為:https://dier-vm03/certsrv��,就不會(huì)提示安全警報(bào)了��。
24.擴(kuò)展一下��,不是每個(gè)用戶都是懂技術(shù)的��,當(dāng)普通用戶看到403.4錯(cuò)誤��,要求就不懂得加個(gè)S就能訪問��,那腫么辦��?
其實(shí)很簡(jiǎn)單��,在“自定義錯(cuò)誤”標(biāo)簽頁中��,找到403.4指向的頁面文件的位置��,然后進(jìn)去打開來��。加一段腳本就搞定了��。
其實(shí)就是利用javascript判斷是不是使用http的��,如果是就自動(dòng)跳轉(zhuǎn)到https
<script type="text/javascript">var url = window.location.href;if(url.indexOf("http:") > -1) window.location.href = url.replace("http:","https:");</script> 
好了��,無廢話的圖文教程至此全部完成��。-
