J.D. Meier、Alex Mackman、Michael Dunner 和 Srinath Vasireddy
Microsoft Corporation

2002 年 10 月

適用範圍:
Microsoft® ASP.NET
Microsoft Windows® 2000

請參閱入門導覽，作為學習起點並取得《建置安全 ASP.NET 應用程式》的完整概觀。

摘要: Web 伺服器必須設定 SSL，以支援用戶端應用程式的 https 連線。這篇 How To 會告訴您如何在 Web 伺服器上設定 SSL。(5 printed pages)

內容

需求
摘要

Secure Sockets Layer (SSL) 是一組提供驗證、機密性和資料完整性的密碼編譯技術。SSL 最常用在 Web 瀏覽器與 Web 伺服器之間，以建立安全的通訊通道。它也可以用在用戶端應用程式與 Web 服務之間。

需求

下列項目說明建議的硬體、軟體、網路基礎結構、技術和知識，以及您會需要的 Service Pack。

• Microsoft® Windows® 2000 Server 作業系統 (Service Pack 2)
• Microsoft 憑證服務 (如果您必須產生自己的憑證才需要)

這篇 How To 中的程序也需要您具有一些 IIS 設定的知識。

摘要

這篇 How To 包含下列程序：

1. 產生憑證要求
2. 提交憑證要求
3. 發行憑證
4. 在 Web 伺服器上安裝憑證
5. 將資源設定為需要 SSL 存取

1. 產生憑證要求

這個程序會建立新的憑證要求，並可以傳送至憑證授權單位 (CA) 以進行處理。如果成功的話，則 CA 會傳回包含有效憑證的檔案給您。

若要產生憑證要求

1. 啟動 IIS Microsoft Management Console (MMC) 嵌入式管理單元。
2. 展開 Web 伺服器名稱，並選取想要安裝憑證的網站。
3. 在網站上按一下滑鼠右鍵，再按 [內容]。
4. 按一下 [目錄安全設定] 索引標籤。
5. 在 [安全通訊] 中按一下 [伺服器憑證] 按鈕，啟動「Web 伺服器憑證精靈」。

   請注意

   如果其中沒有 [伺服器憑證]，則可能是您選取了虛擬目錄、目錄或檔案。請返回步驟 2 並選取一個網站。

6. 按一下 [下一步]，跳過 [歡迎使用] 對話方塊。
7. 按一下 [建立新憑證]，再按 [下一步]。
8. 其對話方塊中有下列兩個選項：
   • 準備要求，但於稍後傳送

     這個選項隨時可以使用。

   • 立即傳送要求到線上憑證授權單位

     只有在 Web 伺服器能夠存取 Windows 2000 網域中一台或多台 Microsoft 憑證伺服器 (設定成發行 Web 伺服器憑證) 時，這個選項才能使用。稍後在要求的過程中，您會有機會從清單中選取想要將要求傳送到的授權單位。

   按一下 [準備要求，但於稍後傳送]，再按 [下一步]。

9. 在 [名稱] 欄位中輸入憑證的描述性名稱，在 [位元長度] 欄位中輸入金鑰的位元長度，再按 [下一步]。

   這個精靈會使用目前網站的名稱作為預設名稱。憑證並沒有使用這個名稱，但是卻可作為協助系統管理員的易記名稱。

10. 在 [組織] 欄位中輸入組織名稱 (例如 Contoso)，並在 [組織單位] 欄位中輸入組織內的單位 (例如銷售部)，再按 [下一步]。

    請注意

    這個資訊將放置於憑證的要求中，所以請確定它是正確無誤的。CA 會驗證這個資訊並將它置於憑證中。瀏覽網站的使用者會想要查看這個資訊，以決定他們是否應該接受憑證。

11. 在 [公用名稱] 欄位中，請輸入網站的公用名稱，再按 [下一步]。

    重要事項

    公用名稱是憑證所有資訊中最重要的一個的部分。它是網站的 DNS 名稱 (也就是使用者瀏覽至您的網站時所用的名稱)。如果憑證名稱與網站名稱不符，則當使用者瀏覽至該網站時，會報告發生了憑證的問題。

    如果網站位於網路上，且命名為 www.contoso.com，則這就是您應該指定的公用名稱。

    如果網站是在內部網路上，且使用者是以電腦名稱瀏覽，請輸入該電腦的 NetBIOS 或 DNS 名稱。

12. 在 [國家/地區]、[省/市] 和 [城市/位置] 欄位上輸入適當的資訊，再按 [下一步]。
13. 輸入憑證要求的檔案名稱。

    這個檔案包含類似下列文字的資訊。

    複製程式碼

    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIIDZjCCAs8CAQAwgYoxNjA0BgNVBAMTLW1penJvY2tsYXB0b3Aubm9ydGhhbWVy?
    -----END NEW CERTIFICATE REQUEST-----
    

    這是憑證要求的 Base 64 編碼表示法。要求中包含輸入至精靈的資訊、還有公開金鑰以及使用私密金鑰簽署的資訊。

    這個要求檔案會傳送至 CA。然後 CA 再使用得自憑證要求中的公開金鑰資訊，來驗證用私密金鑰簽署的資訊。CA 也會驗證要求所提供的資訊。

    在您提交要求給 CA 之後，CA 會傳回包含憑證的檔案。然後您就可以重新啟動「Web 伺服器憑證精靈」。

14. 按一下 [下一步]。精靈會顯示包含在憑證要求中的資訊摘要。
15. 按一下 [下一步]，再按 [完成] 結束要求的過程。

    該憑證要求現在可以傳送到 CA 來進行驗證和處理。在您自 CA 接收到憑證回應之後，便可以再次使用「IIS 憑證精靈」，繼續將憑證安裝在 Web 伺服器上。

2. 提交憑證要求

這個程序使用 Microsoft 憑證服務，提交前述程序所產生的憑證要求。

若要提交憑證要求

1. 請使用 [記事本] 開啟前述程序所產生的憑證檔案，並將其全部內容複製到剪貼簿上。
2. 啟動 Internet Explorer，並巡覽至 http:// hostname/CertSrv，其中 hostname 是執行 Microsoft 憑證服務的電腦名稱。
3. 按一下 [要求憑證]，再按 [下一步]。
4. 在 [選擇要求類型] 頁面上，按一下 [進階要求]，再按 [下一步]。
5. 在 [進階憑證要求] 頁面上，按一下 [使用 base64 編碼 PKCS#10 檔案，提交憑證要求]，再按 [下一步]。
6. 在 [提交儲存要求] 頁面上，按一下 [Base64 編碼憑證要求 (PKCS #10 或 #7)] 文字方塊，再按 CTRL+V 貼上您先前複製到剪貼簿中的憑證要求。
7. 在 [憑證範本] 下拉式方塊中，按一下 [Web 伺服器]。
8. 按一下 [送出]。
9. 關閉 Internet Explorer。

3. 發行憑證

若要發行憑證

1. 從 [系統管理工具] 程式群組中，啟動 [憑證授權] 工具。
2. 展開您的憑證授權，然後選取 [擱置要求] 資料夾。
3. 選取您剛才提交的憑證要求。
4. 在 [執行] 功能表上，用滑鼠指向 [所有工作]，再按一下 [發行]。
5. 請確認憑證顯示在 [發出的憑證] 資料夾中，然後在其上按兩下滑鼠以檢視它。
6. 在 [詳細資料] 索引標籤上，按一下 [複製到檔案]，並將憑證儲存成以 Base-64 編碼的 X.509 憑證。
7. 關閉該憑證的 [內容] 視窗。
8. 關閉 [憑證授權] 工具。

4. 在 Web 伺服器上安裝憑證

這個程序會在 Web 伺服器上安裝前述程序所發行的憑證。

若要在 Web 伺服器上安裝憑證

1. 如果 Internet Information Services 尚未執行的話，請啟動它。
2. 展開伺服器名稱，並選取您想要安裝憑證的網站。
3. 在網站上按一下滑鼠右鍵，再按 [內容]。
4. 按一下 [目錄安全設定] 索引標籤。
5. 按一下 [伺服器憑證]，啟動「Web 伺服器憑證精靈」。
6. 按一下 [處理擱置要求及安裝憑證]，再按 [下一步]。
7. 輸入包含 CA 回應資訊的檔案路徑和名稱，再按 [下一步]。
8. 檢視憑證的概觀，按一下 [下一步]，再按 [完成]。

   現在憑證已經安裝在 Web 伺服器上了。

5. 將資源設定為需要用 SSL 來存取

這個程序使用 Internet 服務管理員，將虛擬目錄設定為需要用 SSL 來存取。在特定檔案、目錄或虛擬目錄上，您可能會需要使用 SSL。用戶端必須使用 HTTPS 通訊協定，以存取任何這類資源。

若要將資源設定為需要用 SSL 來存取

1. 如果 Internet Information Services 尚未執行的話，請啟動它。
2. 展開伺服器名稱和網站。(這必須是已經有安裝憑證的網站)。
3. 在虛擬目錄上按一下滑鼠右鍵，再按 [內容]。
4. 按一下 [目錄安全設定] 索引標籤。
5. 在 [安全通訊] 之下，按一下 [編輯]。
6. 按一下 [必須使用安全通道(SSL)]。

   用戶端瀏覽至這個虛擬目錄時，必須使用 HTTPS。

7. 按一下 [確定]，再按 [確定] 關閉 [內容] 對話方塊。
8. 關閉 Internet Information Services。

資料來源：台灣微軟
原文網址：http://msdn.microsoft.com/zh-tw/library/aa302411.aspx