現在到處是劫持網址加廣告的，這樣通過https訪問，就不用擔心了，比較適合對安全級別要求高的網站，當然老站更需要開啟https了。

無廢話圖文教程，教你一步一步搭建CA服務器，以及讓IIS啟用HTTPS服務。

一、架設證書服務器（CA服務）

1.在系統控制面板中，找到“添加/刪除程序”，點擊左側的“添加/刪除windows組件”，在列表中找到“證書服務”，安裝之。

2.CA類型，這里有四種選擇，這里以“獨立根CA”為介紹。

3.CA識別信息，這里可以為你的CA服務器起個名字。

4.證書數據庫設置，用于保存證書的相關數據庫和日志文件，這個默認就行了。

5.安裝完成后，在 控制面板 - 管理工具 中就可以打開 證書頒發機構，這個工具是用于審核證書用的，后面會提到。

6.安裝完成后，在IIS中，還會增加三個相關的目錄，其中的“CertSrv”就是證書申請的頁面了。

7.打開相應的頁面，可以看到如下圖，至此，CA服務器基本已架設完成。

二、讓IIS開啟HTTPS（SSL）功能

1.在IIS中的“默認網站”右鍵，選擇“屬性”，可看到網站屬性，點擊“目錄安全性”標簽頁，點擊“服務器證書”按鈕。

2.選擇“新建證書”，下一步

3.選擇“現在準備證書請求，但稍后發送”，下一步

4.單位信息，這里需要自己填寫，至于寫什么，自己可以決定，這些信息會在證書中顯示。

5.名稱和安全性，名稱默認是IIS網站的名稱，密鑰長度默認為1024位，下一步

6.站點公用名稱，這個默認是服務器的機器名，請注意，如果IIS是對象服務的，此處必須填寫對應的域名。

7.地理信息，隨便填吧，下一步

8.證書請求文件名，默認是保存在C盤下，打開后會看到如下一串加密的字符串。

9.先將證書的加密串復制下來，前往前面提到的證書申請的頁面，選擇“申請一個證書”

10.證書的申請方式，選擇“高級證書申請”

11.選擇“使用base64……”

12.將證書串填入文本框中，并“提交”，至此，完成了證書的申請。（先別急著關IE，點右上的“主頁”等著吧）

13.回到證書頒發機構工具中，選擇左邊的“掛起的申請”，可以看到里面有一條申請記錄，申請ID就是你剛才申請的ID。

選中記錄，右鍵 - 所有任務 - 頒發，這樣即可以頒發證書了。

點擊“頒發的證書”就可以看到剛剛頒發的證書了。

14，再回到證書申請頁面，選擇“查看掛起的證書申請的狀態”

15.在這個頁面可以看到你之前申請的所有證書，多個的話有多條鏈接），點擊其中一條。

16.在這里，如果已經頒發的證書，就可以看到證書下載頁面了，一般選擇Base64編碼，下載證書。

下載證書鏈的話，可以把根CA的證書也一起下載。

17.回到IIS，目錄安全性的那個頁面，還是點擊“服務器證書”，此時界面已改變，選擇“處理掛起的請求并安裝證書”，下一步

18.選擇剛下載的證書，下一步

19.填寫SSL使用的端口，一般默認是443，不需要修改。至此，便完成了證書的申請。

20.如果要強制使用HTTPS訪問網站的話，在“目錄安全性”標簽頁中，點擊“編輯”按鈕。

21.鉤選”要求安全通道（SSL）”一項

22，此時，我們再刷新一下證書申請頁面，就可以看到403.4的錯誤頁面了，因為我們強制要求使用HTTPS來訪問網站了。

注意：如果不是整個網站要求使用HTTPS的話，也可以針對一個虛擬目錄進行設置，方法同上。

23.修改為HTTPS訪問后，會提示安全警報，這里提示證書名與站點名不匹配，那是因為我們使用localhost來訪問了。

還記得上面申請證書時，提到的公用名稱嗎？就是這個了，當時我們填的是機器名，所以和localhost當然不匹配。

這也是為什么如果IIS有對外的話，要填域名的原因了，否則就會提示此安全警報了。

此處只需要將地址修改為：https://dier-vm03/certsrv，就不會提示安全警報了。

 24.擴展一下，不是每個用戶都是懂技術的，當普通用戶看到403.4錯誤，要求就不懂得加個S就能訪問，那腫么辦？

其實很簡單，在“自定義錯誤”標簽頁中，找到403.4指向的頁面文件的位置，然后進去打開來。加一段腳本就搞定了。

其實就是利用javascript判斷是不是使用http的，如果是就自動跳轉到https

<script type="text/javascript">var url = window.location.href;if(url.indexOf("http:") > -1) window.location.href = url.replace("http:","https:");</script>

  好了，無廢話的圖文教程至此全部完成。-