在IIS6上開啟https服務(wù)方法分享

更新時(shí)間：2017年03月22日 08:45:22 作者：君望永遠(yuǎn)

HTTPS 是一個(gè)安全通信通道，用于在客戶計(jì)算機(jī)和服務(wù)器之間交換信息。它使用安全套接字層 (SSL)。

前兩天因?yàn)樾枰拚粋€(gè)Windows Live Contacts Gadget在https連接下無(wú)法工作的錯(cuò)誤，在dev machine的IIS上設(shè)置了一下SSL功能。

大家都知道要開啟SSL服務(wù)關(guān)鍵需要兩個(gè)東西：

1. A Certificate Authority (such VeriSign.com)

2. A site certificate

如果你使用的是Windows Server 2003或者XP Advanced Server，你其實(shí)可以利用系統(tǒng)提供的 “Certificate Services”服務(wù)來(lái)“冒充”一個(gè)CA并給自己發(fā)一個(gè)site certificate，這里有一個(gè)tutorial:

Building your own certificate authority: http://searchwindowssecurity.techtarget.com/tip/1 ,289483,sid45_gci1110403,00.html

如果你使用的是XP Professional，就沒有CA服務(wù)了。但作為程序調(diào)試或測(cè)試用的話，其實(shí)就只需要生成一個(gè)self- signed certificate就可以了。等browser提示你是否接受這個(gè)untrusted certificate的時(shí)候，只要選Yes就行。

生成self-signed certificate有很多方法。稍微繁瑣一點(diǎn)的可以用OpenSSL (OpenSSL for windows: http://www.openssl.org/related/binaries.html )或者keytool (http://java.sun.com/j2se/1.4.2/docs/tooldocs/solaris/keytool.html )來(lái)sign一個(gè)certificate，然后再在IIS中導(dǎo)入這個(gè)certificate就行了。如果你想對(duì)IIS的相關(guān)設(shè)置有所了解的話，可以試試做一遍，這里也有一個(gè)tutorial:

Enabling SSL in IIS on Windows XP Professional: http://www.somacon.com/p41.php

當(dāng)然，如果你想省掉所有這些麻煩也行，最簡(jiǎn)單的在IIS啟動(dòng)SSL的方法只要3步：

1. 下載 IIS 6.0 Resource Kit Tools: http://www.microsoft.com/downloads/details.aspx?FamilyID=56fc92ee-a71a-4c73-b628-ade629c89499&DisplayLang=en
2. 安裝.
3. “All Programs->IIS Resources->SelfSSL->SelfSSL”, 在命令行中鍵入 “selfssl”, 回答 “y”, and you are done.

現(xiàn)在你試試在browser里訪問(wèn)：https://localhost，你會(huì)發(fā)現(xiàn)會(huì)出現(xiàn)一個(gè)窗口詢問(wèn)是否接受一個(gè)untrusted certificate，選Yes, and you are in a safe channel now.

最后附上微軟的官方教程

為 Web 服務(wù)器配置 SSL

要在 IIS 中啟用 SSL，首先必須獲得用于加密和解密通過(guò)網(wǎng)絡(luò)傳輸?shù)男畔⒌淖C書。IIS 具有自己的證書請(qǐng)求工具，您可以使用此工具向證書頒發(fā)機(jī)構(gòu)發(fā)送證書請(qǐng)求。此工具簡(jiǎn)化了獲取證書的過(guò)程。如果您使用的是 Apache，則必須手動(dòng)獲取證書。

在 IIS 和 Apache 中，您都會(huì)收到來(lái)自證書頒發(fā)機(jī)構(gòu)的證書文件，此文件必須配置在計(jì)算機(jī)上。Apache 使用 SSLCACertificateFile 指令讀取其源文件中的證書。而在 IIS 中，您可以使用網(wǎng)站或文件夾屬性的目錄安全性選項(xiàng)卡來(lái)配置和管理證書。

您可以將證書從 Apache 遷移到 IIS；但是 Microsoft 建議您重新創(chuàng)建或獲取一個(gè)新的 IIS 證書。

配置文件夾或網(wǎng)站以使用 SSL/HTTPS

此過(guò)程假定您的站點(diǎn)已經(jīng)具備了證書。
以管理員身份登錄到 Web 服務(wù)器計(jì)算機(jī)。
單擊開始，指向設(shè)置，然后單擊控制面板。
雙擊管理工具，然后雙擊 Internet 服務(wù)管理器。
從左窗格中的不同服務(wù)站點(diǎn)的列表中選擇網(wǎng)站。
右鍵單擊希望為其配置 SSL 通信的網(wǎng)站、文件夾或文件，然后單擊屬性。
單擊目錄安全性選項(xiàng)卡。
單擊編輯。
如果希望網(wǎng)站、文件夾或文件要求 SSL 通信，請(qǐng)單擊需要安全通道 (SSL)。
單擊需要 128 位加密以配置 128 位（而不是 40 位）加密支持。
要允許用戶不必提供證書就可以連接，請(qǐng)單擊忽略客戶證書。或者，如果要讓用戶提供證書，請(qǐng)使用接受客戶證書。
要配置客戶端映射，請(qǐng)單擊啟用客戶證書映射，然后單擊編輯將客戶證書映射到用戶。如果配置了此功能，可以將客戶證書分別映射到 Active Directory 中的每個(gè)用戶?？梢允褂么斯δ芤愿鶕?jù)用戶訪問(wèn)網(wǎng)站時(shí)提供的證書自動(dòng)識(shí)別用戶?？梢詫⒂脩粢粚?duì)一映射到證書（一個(gè)證書標(biāo)識(shí)一個(gè)用戶），或者將許多證書映射到一個(gè)用戶（根據(jù)特定的規(guī)則，對(duì)照證書列表來(lái)匹配特定的用戶。第一個(gè)有效的匹配項(xiàng)成為映射。）
單擊確定。