How To:在網頁伺服器上設定 SSL
發佈日期: 2004 年 5 月 28 日
本頁內容
目標
透過此單元即可:
| • | 取得 SSL 憑證。 |
| • | 在 IIS 伺服器上安裝 SSL 憑證。 |
| • | 設定虛擬目錄,以要求 SSL。 |
適用於
本單元適用於下列產品及技術:
| • | Microsoft Windows® XP 或 Windows 2000 Server (含 Service Pack 3) 及更新的作業系統 |
| • | Microsoft Internet Information Services 5.0 |
| • | Microsoft 憑證服務 (如果您需要產生自己的憑證) |
如何使用本單元
若要充分瞭解此單元:
| • | 您必須具有設定 IIS 的經驗。 |
| • | 如果您要產生自己的憑證,則必須具有對「憑證授權單位 (CA)」(如「Microsoft 憑證服務」) 的存取權。 |
| • | 如果您不想產生自己的憑證,則必須決定從哪個商業 CA 要求用戶端憑證。大部份 CA 都對此服務收費。 |
| • | 請閱讀第 4 單元<安全通訊>。當中提供了 SSL 的簡介,並描述了其最常用的情況。 |
摘要
「安全通訊端層 (SSL)」是提供驗證、機密性與資料完整性的一組密碼編譯技術。SSL 最常用於 Web 瀏覽器與網頁伺服器間,以建立安全通訊通道。亦可用於確保用戶端應用程式與 Web 服務間通訊的安全。
若要支援 SSL 通訊,必須使用 SSL 憑證設定網頁伺服器。本單元描述如何取得 SSL 憑證,以及如何設定 Microsoft® Internet Information Services (IIS),以使用 SSL 來支援與 Web 瀏覽器及其他類型應用程式間的安全通訊。
產生憑證要求
本程序會建立新的憑證要求,該要求可傳送至「憑證授權單位 (CA)」進行處理。如果成功的話,則 CA 會傳回包含有效憑證的檔案給您。
| • | 產生憑證要求 1. | 啟動 IIS Microsoft Management Console (MMC) 嵌入式管理單元。 | 2. | 展開網頁伺服器名稱,並選取要安裝憑證的網站。 | 3. | 在網站上按一下滑鼠右鍵,再按 [內容]。 | 4. | 按一下 [目錄安全設定] 索引標籤。 | 5. | 在 [安全通訊] 中按一下 [伺服器憑證] 按鈕,以啟動 [Web 伺服器憑證精靈]。 注意:如果無法使用 [伺服器憑證],可能是因為您已選取虛擬目錄、目錄或檔案。請返回步驟 2 並選取網站。 | 6. | 按 [下一步],以跳過 [歡迎使用] 對話方塊。 | 7. | 按一下 [建立新憑證],再按 [下一步]。 | 8. | 對話方塊中有下列兩個選項: | • | 準備要求,但於稍後傳送
此選項始終可用。 | | • | 立即傳送要求到線上憑證授權
僅當網頁伺服器能夠存取設定成發行網頁伺服器憑證之 Windows 2000 網域中的一或多個「Microsoft 憑證」伺服器時,此選項才可用。稍後在要求的過程中,您會有機會從清單中選取要向其傳送要求的授權單位。 |
按一下 [準備要求,但於稍後傳送],再按 [下一步]。 | 9. | 在 [名稱] 欄位中鍵入憑證的描述性名稱,並在 [位元長度] 欄位中鍵入金鑰的位元長度,再按 [下一步]。
精靈會使用目前網站的名稱作為預設名稱。它並非用於憑證,而是充當協助系統管理員的易記名稱。 | 10. | 在 [組織] 欄位中鍵入組織名稱 (如 Contoso),並在 [組織單位] 欄位中鍵入組織單位 (如「銷售部門」),再按 [下一步]。 注意:此資訊將置於憑證要求中,所以請確定它是正確無誤的。CA 會驗證此資訊並將其置於憑證中。瀏覽網站的使用者會想要查看此資訊,以決定他們是否應該接受憑證。 | 11. | 在 [公用名稱] 欄位中輸入網站的公用名稱,再按 [下一步]。 重要事項:公用名稱是憑證所有資訊中最重要的資訊之一。它是網站的 DNS 名稱 (即使用者瀏覽網站時鍵入的名稱)。如果憑證名稱與網站名稱不符,則會在使用者瀏覽至該網站時報告憑證問題。 如果您的網站位於網路上,且命名為 www.contoso.com,則這就是您應該指定的公用名稱。 如果網站位於內部網路,且使用者是以電腦名稱進行瀏覽,請輸入該電腦的 NetBIOS 或 DNS 名稱。 | 12. | 在 [國家/地區]、[省/州] 與 [城市/位置] 欄位中輸入適當的資訊,再按 [下一步]。 | 13. | 輸入憑證要求的檔案名稱。 檔案所包含的資訊與下列類似。 -----BEGIN NEW CERTIFICATE REQUEST-----
MIIDZjCCAs8CAQAwgYoxNjA0BgNVBAMTLW1penJvY2tsYXB0b3Aubm9ydGhhbWVy...
-----END NEW CERTIFICATE REQUEST-----
這是憑證要求的 Base 64 編碼表示法。要求中包含輸入精靈的資訊、公開金鑰以及使用私密金鑰簽署的資訊。 此要求檔案會傳送至 CA。然後,CA 會使用憑證要求中的公開金鑰資訊,來驗證用私密金鑰簽署的資訊。CA 也會驗證要求所提供的資訊。 在您將要求提交至 CA 之後,CA 會傳回包含憑證的檔案。然後您就可以重新啟動「Web 伺服器憑證精靈」。 | 14. | 按 [下一步]。精靈會顯示憑證要求中所包含的資訊摘要。 | 15. | 按 [下一步],再按 [完成],以結束要求程序。該憑證要求現在可以傳送到 CA 進行驗證及處理。從 CA 接收到憑證回應之後,即可再次使用「IIS 憑證精靈」繼續在網頁伺服器上安裝憑證。 |
|
提交憑證要求
本程序會使用「Microsoft 憑證服務」來提交上一個程序所產生的憑證要求。
| • | 提交憑證要求 1. | 使用 [記事本] 開啟上一個程序所產生的憑證檔案,並將其全部內容複製到剪貼簿上。 | 2. | 啟動 Internet Explorer,並巡覽至 http://hostname/CertSrv,其中 hostname 是執行「Microsoft 憑證服務」的電腦名稱。 | 3. | 按一下 [要求憑證],再按 [下一步]。 | 4. | 在 [選擇要求類型] 頁面上按一下 [進階要求],再按 [下一步]。 | 5. | 在 [進階憑證要求] 頁面上按一下 [使用 base64 編碼 PKCS#10 檔案,提交憑證要求],再按 [下一步]。 | 6. | 在 [提交已儲存的要求] 頁面上按一下 [Base64 編碼憑證要求 (PKCS #10 或 #7)] 文字方塊,再按 CTRL+V,以貼上您先前複製到剪貼簿中的憑證要求。 | 7. | 在 [憑證範本] 下拉式方塊中按一下 [Web 伺服器]。 | 8. | 按一下 [提交]。 | 9. | 關閉 Internet Explorer。 |
|
發行憑證
| • | 發行憑證 1. | 從 [系統管理工具] 程式群組中啟動 [憑證授權單位] 工具。 | 2. | 展開您的憑證授權單位,再選取 [擱置要求] 資料夾。 | 3. | 選取您剛剛提交的憑證要求。 | 4. | 在 [執行] 功能表上,指向 [所有工作],再按一下 [發行]。 | 5. | 確認憑證已顯示在 [發出的憑證] 資料夾中,然後在其上按兩下以檢視之。 | 6. | 在 [詳細資料] 索引標籤上按一下 [複製到檔案],並將憑證儲存為 Base-64 Encoded X.509 憑證。 | 7. | 關閉憑證的 [內容] 視窗。 | 8. | 關閉 [憑證授權單位] 工具。 |
|
在網頁伺服器上安裝憑證
本程序會在網頁伺服器上安裝上一個程序所發行的憑證。
| • | 在網頁伺服器上安裝憑證 1. | 啟動 Internet Information Services (如果它尚未執行的話)。 | 2. | 展開伺服器名稱,並選取要安裝憑證的網站。 | 3. | 在網站上按一下滑鼠右鍵,再按 [內容]。 | 4. | 按一下 [目錄安全設定] 索引標籤。 | 5. | 按一下 [伺服器憑證],以啟動 [Web 伺服器憑證精靈]。 | 6. | 按一下 [處理擱置要求及安裝憑證],再按 [下一步]。 | 7. | 輸入包含 CA 回應的檔案路徑與檔案名稱,再按 [下一步]。 | 8. | 檢查憑證的概觀,按 [下一步],再按 [完成]。 憑證現已安裝在網頁伺服器上。 |
|
將資源設定為需要 SSL 存取
本程序會使用 Internet 服務管理員,來將虛擬目錄設定為需要 SSL 進行存取。您可以要求對特定檔案、目錄或虛擬目錄使用 SSL。用戶端必須使用 HTTPS 通訊協定,才能存取此類資源。
| • | 將資源設定為需要 SSL 存取 1. | 啟動 Internet Information Services (如果它尚未執行的話)。 | 2. | 展開伺服器名稱及網站。(這必須是已安裝憑證的網站)。 | 3. | 在虛擬目錄上按一下滑鼠右鍵,再按 [內容]。 | 4. | 按一下 [目錄安全設定] 索引標籤。 | 5. | 在 [安全通訊] 下按一下 [編輯]。 | 6. | 按一下 [必須使用安全通道(SSL)]。
瀏覽至此虛擬目錄的用戶端現在必須使用 HTTPS。 | 7. | 按一下 [確定],再按 [確定] 以關閉 [內容] 對話方塊。 | 8. | 關閉 Internet Information Services。 |
|
