How To:在 Web 伺服器上設定 SSL
J.D. Meier、Alex Mackman、Michael Dunner 和 Srinath Vasireddy
Microsoft Corporation
2002 年 10 月
適用範圍:
Microsoft® ASP.NET
Microsoft Windows® 2000
請參閱入門導覽,作為學習起點並取得《建置安全 ASP.NET 應用程式》的完整概觀。
摘要: Web 伺服器必須設定 SSL,以支援用戶端應用程式的 https 連線。這篇 How To 會告訴您如何在 Web 伺服器上設定 SSL。(5 printed pages)
內容
Secure Sockets Layer (SSL) 是一組提供驗證、機密性和資料完整性的密碼編譯技術。SSL 最常用在 Web 瀏覽器與 Web 伺服器之間,以建立安全的通訊通道。它也可以用在用戶端應用程式與 Web 服務之間。
需求
下列項目說明建議的硬體、軟體、網路基礎結構、技術和知識,以及您會需要的 Service Pack。
- Microsoft® Windows® 2000 Server 作業系統 (Service Pack 2)
- Microsoft 憑證服務 (如果您必須產生自己的憑證才需要)
這篇 How To 中的程序也需要您具有一些 IIS 設定的知識。
摘要
這篇 How To 包含下列程序:
- 產生憑證要求
- 提交憑證要求
- 發行憑證
- 在 Web 伺服器上安裝憑證
- 將資源設定為需要 SSL 存取
1. 產生憑證要求
這個程序會建立新的憑證要求,並可以傳送至憑證授權單位 (CA) 以進行處理。如果成功的話,則 CA 會傳回包含有效憑證的檔案給您。
若要產生憑證要求
- 啟動 IIS Microsoft Management Console (MMC) 嵌入式管理單元。
- 展開 Web 伺服器名稱,並選取想要安裝憑證的網站。
- 在網站上按一下滑鼠右鍵,再按 [內容]。
- 按一下 [目錄安全設定] 索引標籤。
- 在 [安全通訊] 中按一下 [伺服器憑證] 按鈕,啟動「Web 伺服器憑證精靈」。 請注意
- 按一下 [下一步],跳過 [歡迎使用] 對話方塊。
- 按一下 [建立新憑證],再按 [下一步]。
- 其對話方塊中有下列兩個選項:
- 準備要求,但於稍後傳送
這個選項隨時可以使用。
- 立即傳送要求到線上憑證授權單位
只有在 Web 伺服器能夠存取 Windows 2000 網域中一台或多台 Microsoft 憑證伺服器 (設定成發行 Web 伺服器憑證) 時,這個選項才能使用。稍後在要求的過程中,您會有機會從清單中選取想要將要求傳送到的授權單位。
按一下 [準備要求,但於稍後傳送],再按 [下一步]。
- 準備要求,但於稍後傳送
- 在 [名稱] 欄位中輸入憑證的描述性名稱,在 [位元長度] 欄位中輸入金鑰的位元長度,再按 [下一步]。
這個精靈會使用目前網站的名稱作為預設名稱。憑證並沒有使用這個名稱,但是卻可作為協助系統管理員的易記名稱。
- 在 [組織] 欄位中輸入組織名稱 (例如 Contoso),並在 [組織單位] 欄位中輸入組織內的單位 (例如銷售部),再按 [下一步]。 請注意
- 在 [公用名稱] 欄位中,請輸入網站的公用名稱,再按 [下一步]。 重要事項如果網站位於網路上,且命名為 www.contoso.com,則這就是您應該指定的公用名稱。如果網站是在內部網路上,且使用者是以電腦名稱瀏覽,請輸入該電腦的 NetBIOS 或 DNS 名稱。
- 在 [國家/地區]、[省/市] 和 [城市/位置] 欄位上輸入適當的資訊,再按 [下一步]。
- 輸入憑證要求的檔案名稱。
這個檔案包含類似下列文字的資訊。
-----BEGIN NEW CERTIFICATE REQUEST-----
MIIDZjCCAs8CAQAwgYoxNjA0BgNVBAMTLW1penJvY2tsYXB0b3Aubm9ydGhhbWVy?
-----END NEW CERTIFICATE REQUEST-----這是憑證要求的 Base 64 編碼表示法。要求中包含輸入至精靈的資訊、還有公開金鑰以及使用私密金鑰簽署的資訊。
這個要求檔案會傳送至 CA。然後 CA 再使用得自憑證要求中的公開金鑰資訊,來驗證用私密金鑰簽署的資訊。CA 也會驗證要求所提供的資訊。
在您提交要求給 CA 之後,CA 會傳回包含憑證的檔案。然後您就可以重新啟動「Web 伺服器憑證精靈」。
- 按一下 [下一步]。精靈會顯示包含在憑證要求中的資訊摘要。
- 按一下 [下一步],再按 [完成] 結束要求的過程。
該憑證要求現在可以傳送到 CA 來進行驗證和處理。在您自 CA 接收到憑證回應之後,便可以再次使用「IIS 憑證精靈」,繼續將憑證安裝在 Web 伺服器上。
2. 提交憑證要求
這個程序使用 Microsoft 憑證服務,提交前述程序所產生的憑證要求。
若要提交憑證要求
- 請使用 [記事本] 開啟前述程序所產生的憑證檔案,並將其全部內容複製到剪貼簿上。
- 啟動 Internet Explorer,並巡覽至 http:// hostname/CertSrv,其中 hostname 是執行 Microsoft 憑證服務的電腦名稱。
- 按一下 [要求憑證],再按 [下一步]。
- 在 [選擇要求類型] 頁面上,按一下 [進階要求],再按 [下一步]。
- 在 [進階憑證要求] 頁面上,按一下 [使用 base64 編碼 PKCS#10 檔案,提交憑證要求],再按 [下一步]。
- 在 [提交儲存要求] 頁面上,按一下 [Base64 編碼憑證要求 (PKCS #10 或 #7)] 文字方塊,再按 CTRL+V 貼上您先前複製到剪貼簿中的憑證要求。
- 在 [憑證範本] 下拉式方塊中,按一下 [Web 伺服器]。
- 按一下 [送出]。
- 關閉 Internet Explorer。
3. 發行憑證
若要發行憑證
- 從 [系統管理工具] 程式群組中,啟動 [憑證授權] 工具。
- 展開您的憑證授權,然後選取 [擱置要求] 資料夾。
- 選取您剛才提交的憑證要求。
- 在 [執行] 功能表上,用滑鼠指向 [所有工作],再按一下 [發行]。
- 請確認憑證顯示在 [發出的憑證] 資料夾中,然後在其上按兩下滑鼠以檢視它。
- 在 [詳細資料] 索引標籤上,按一下 [複製到檔案],並將憑證儲存成以 Base-64 編碼的 X.509 憑證。
- 關閉該憑證的 [內容] 視窗。
- 關閉 [憑證授權] 工具。
4. 在 Web 伺服器上安裝憑證
這個程序會在 Web 伺服器上安裝前述程序所發行的憑證。
若要在 Web 伺服器上安裝憑證
- 如果 Internet Information Services 尚未執行的話,請啟動它。
- 展開伺服器名稱,並選取您想要安裝憑證的網站。
- 在網站上按一下滑鼠右鍵,再按 [內容]。
- 按一下 [目錄安全設定] 索引標籤。
- 按一下 [伺服器憑證],啟動「Web 伺服器憑證精靈」。
- 按一下 [處理擱置要求及安裝憑證],再按 [下一步]。
- 輸入包含 CA 回應資訊的檔案路徑和名稱,再按 [下一步]。
- 檢視憑證的概觀,按一下 [下一步],再按 [完成]。
現在憑證已經安裝在 Web 伺服器上了。
5. 將資源設定為需要用 SSL 來存取
這個程序使用 Internet 服務管理員,將虛擬目錄設定為需要用 SSL 來存取。在特定檔案、目錄或虛擬目錄上,您可能會需要使用 SSL。用戶端必須使用 HTTPS 通訊協定,以存取任何這類資源。
若要將資源設定為需要用 SSL 來存取
- 如果 Internet Information Services 尚未執行的話,請啟動它。
- 展開伺服器名稱和網站。(這必須是已經有安裝憑證的網站)。
- 在虛擬目錄上按一下滑鼠右鍵,再按 [內容]。
- 按一下 [目錄安全設定] 索引標籤。
- 在 [安全通訊] 之下,按一下 [編輯]。
- 按一下 [必須使用安全通道(SSL)]。
用戶端瀏覽至這個虛擬目錄時,必須使用 HTTPS。
- 按一下 [確定],再按 [確定] 關閉 [內容] 對話方塊。
- 關閉 Internet Information Services。
原文網址:http://msdn.microsoft.com/zh-tw/library/aa302411.aspx