現(xiàn)在到處是劫持網(wǎng)址加廣告的，這樣通過(guò)https訪問(wèn)，就不用擔(dān)心了，比較適合對(duì)安全級(jí)別要求高的網(wǎng)站，當(dāng)然老站更需要開(kāi)啟https了。

無(wú)廢話圖文教程，教你一步一步搭建CA服務(wù)器，以及讓IIS啟用HTTPS服務(wù)。

一、架設(shè)證書(shū)服務(wù)器（CA服務(wù)）

1.在系統(tǒng)控制面板中，找到“添加/刪除程序”，點(diǎn)擊左側(cè)的“添加/刪除windows組件”，在列表中找到“證書(shū)服務(wù)”，安裝之。

2.CA類型，這里有四種選擇，這里以“獨(dú)立根CA”為介紹。

3.CA識(shí)別信息，這里可以為你的CA服務(wù)器起個(gè)名字。

4.證書(shū)數(shù)據(jù)庫(kù)設(shè)置，用于保存證書(shū)的相關(guān)數(shù)據(jù)庫(kù)和日志文件，這個(gè)默認(rèn)就行了。

5.安裝完成后，在 控制面板 - 管理工具 中就可以打開(kāi) 證書(shū)頒發(fā)機(jī)構(gòu)，這個(gè)工具是用于審核證書(shū)用的，后面會(huì)提到。

6.安裝完成后，在IIS中，還會(huì)增加三個(gè)相關(guān)的目錄，其中的“CertSrv”就是證書(shū)申請(qǐng)的頁(yè)面了。

7.打開(kāi)相應(yīng)的頁(yè)面，可以看到如下圖，至此，CA服務(wù)器基本已架設(shè)完成。

二、讓IIS開(kāi)啟HTTPS（SSL）功能

1.在IIS中的“默認(rèn)網(wǎng)站”右鍵，選擇“屬性”，可看到網(wǎng)站屬性，點(diǎn)擊“目錄安全性”標(biāo)簽頁(yè)，點(diǎn)擊“服務(wù)器證書(shū)”按鈕。

2.選擇“新建證書(shū)”，下一步

3.選擇“現(xiàn)在準(zhǔn)備證書(shū)請(qǐng)求，但稍后發(fā)送”，下一步

4.單位信息，這里需要自己填寫(xiě)，至于寫(xiě)什么，自己可以決定，這些信息會(huì)在證書(shū)中顯示。

5.名稱和安全性，名稱默認(rèn)是IIS網(wǎng)站的名稱，密鑰長(zhǎng)度默認(rèn)為1024位，下一步

6.站點(diǎn)公用名稱，這個(gè)默認(rèn)是服務(wù)器的機(jī)器名，請(qǐng)注意，如果IIS是對(duì)象服務(wù)的，此處必須填寫(xiě)對(duì)應(yīng)的域名。

7.地理信息，隨便填吧，下一步

8.證書(shū)請(qǐng)求文件名，默認(rèn)是保存在C盤(pán)下，打開(kāi)后會(huì)看到如下一串加密的字符串。

9.先將證書(shū)的加密串復(fù)制下來(lái)，前往前面提到的證書(shū)申請(qǐng)的頁(yè)面，選擇“申請(qǐng)一個(gè)證書(shū)”

10.證書(shū)的申請(qǐng)方式，選擇“高級(jí)證書(shū)申請(qǐng)”

11.選擇“使用base64……”

12.將證書(shū)串填入文本框中，并“提交”，至此，完成了證書(shū)的申請(qǐng)。（先別急著關(guān)IE，點(diǎn)右上的“主頁(yè)”等著吧）

13.回到證書(shū)頒發(fā)機(jī)構(gòu)工具中，選擇左邊的“掛起的申請(qǐng)”，可以看到里面有一條申請(qǐng)記錄，申請(qǐng)ID就是你剛才申請(qǐng)的ID。

選中記錄，右鍵 - 所有任務(wù) - 頒發(fā)，這樣即可以頒發(fā)證書(shū)了。

點(diǎn)擊“頒發(fā)的證書(shū)”就可以看到剛剛頒發(fā)的證書(shū)了。

14，再回到證書(shū)申請(qǐng)頁(yè)面，選擇“查看掛起的證書(shū)申請(qǐng)的狀態(tài)”

15.在這個(gè)頁(yè)面可以看到你之前申請(qǐng)的所有證書(shū)，多個(gè)的話有多條鏈接），點(diǎn)擊其中一條。

16.在這里，如果已經(jīng)頒發(fā)的證書(shū)，就可以看到證書(shū)下載頁(yè)面了，一般選擇Base64編碼，下載證書(shū)。

下載證書(shū)鏈的話，可以把根CA的證書(shū)也一起下載。

17.回到IIS，目錄安全性的那個(gè)頁(yè)面，還是點(diǎn)擊“服務(wù)器證書(shū)”，此時(shí)界面已改變，選擇“處理掛起的請(qǐng)求并安裝證書(shū)”，下一步

18.選擇剛下載的證書(shū)，下一步

19.填寫(xiě)SSL使用的端口，一般默認(rèn)是443，不需要修改。至此，便完成了證書(shū)的申請(qǐng)。

20.如果要強(qiáng)制使用HTTPS訪問(wèn)網(wǎng)站的話，在“目錄安全性”標(biāo)簽頁(yè)中，點(diǎn)擊“編輯”按鈕。

21.鉤選”要求安全通道（SSL）”一項(xiàng)

22，此時(shí)，我們?cè)偎⑿乱幌伦C書(shū)申請(qǐng)頁(yè)面，就可以看到403.4的錯(cuò)誤頁(yè)面了，因?yàn)槲覀儚?qiáng)制要求使用HTTPS來(lái)訪問(wèn)網(wǎng)站了。

注意：如果不是整個(gè)網(wǎng)站要求使用HTTPS的話，也可以針對(duì)一個(gè)虛擬目錄進(jìn)行設(shè)置，方法同上。

23.修改為HTTPS訪問(wèn)后，會(huì)提示安全警報(bào)，這里提示證書(shū)名與站點(diǎn)名不匹配，那是因?yàn)槲覀兪褂胠ocalhost來(lái)訪問(wèn)了。

還記得上面申請(qǐng)證書(shū)時(shí)，提到的公用名稱嗎？就是這個(gè)了，當(dāng)時(shí)我們填的是機(jī)器名，所以和localhost當(dāng)然不匹配。

這也是為什么如果IIS有對(duì)外的話，要填域名的原因了，否則就會(huì)提示此安全警報(bào)了。

此處只需要將地址修改為：https://dier-vm03/certsrv，就不會(huì)提示安全警報(bào)了。

 24.擴(kuò)展一下，不是每個(gè)用戶都是懂技術(shù)的，當(dāng)普通用戶看到403.4錯(cuò)誤，要求就不懂得加個(gè)S就能訪問(wèn)，那腫么辦？

其實(shí)很簡(jiǎn)單，在“自定義錯(cuò)誤”標(biāo)簽頁(yè)中，找到403.4指向的頁(yè)面文件的位置，然后進(jìn)去打開(kāi)來(lái)。加一段腳本就搞定了。

其實(shí)就是利用javascript判斷是不是使用http的，如果是就自動(dòng)跳轉(zhuǎn)到https

<script type="text/javascript">
var url = window.location.href;if(url.indexOf("http:") > -1) window.location.href = url.replace("http:","https:");</script>

  好了，無(wú)廢話的圖文教程至此全部完成。-

最新評(píng)論