Windows IIS 主機安裝 SSL 終極指南

Lab Dev Note
1

安裝SSL需要幫助嗎?我們的專家可以為你做!

  • 通過IIS管理器安裝證書
  • 導入PFX文件
  • 創建PFX文件
  • 使用MMC導入PFX
  • 使用IIS管理器導入PFX
  • 為網站分配證書

通過IIS管理器安裝證書

收到簽發的證書後,你可以使用網際網路信息服務管理器在微軟IIS 7服務器上安裝該證書。只有在使用 IIS 管理器在同一臺機器上生成證書請求時,下麵描述的方法才能發揮作用。請按照下麵描述的過程進行操作。

上傳證書文件

  1. 一旦證書頒發並由證書頒發機構發送給你,請將其保存到你服務器上的可訪問位置。
    你也可以在你和我們的賬戶中下載該證書。下載的壓縮文件將有一個 *.p7b 文件,可用於在 IIS 上安裝證書。
  2. 打開Internet信息服務管理器。為此,進入開始菜單,選擇管理工具,並選擇網際網路信息 服務(IIS)管理器。否則,通過_Win+R_>inetmgr>_OK_訪問它。
  3. 點擊所需的服務器名稱,進入中心菜單中的服務器證書選項。
  4. 操作的右側部分按完成證書請求按鈕。
  5. 這將運行完成證書申請向導。選擇你保存在機器上的證書頒發機構的證書文件,並給證書起一個_‘友好名稱’。友好名稱不是證書的一部分。它是一個本地名稱,你可以給證書以區分它與服務器上的其他證書。選擇文件並輸入友好名稱後,點擊OK

    如果你導入的是PEM編碼格式的證書(文件擴展名將是*.crt),你可能還需要將中間證書和根證書導入服務器使用Microsoft Management Console。PKCS#7格式的證書(*.cer和*.p7b文件)不需要額外的操作來單獨導入中間證書。註意。你有可能會收到一個錯誤**    “無法找到與此證書文件相關的證書請求。在導入證書時,必須在創建該證書的計算機上完成證書請求”*"遇到ASN1不良標簽值"_**。


要解決這個問題,請取消證書向導的對話視窗,按F5刷新服務器證書列表。你會看到證書已被導入,但它不會有一個友好的名稱。你將能夠使用MMC將其分配給證書
6. 導入的證書現在顯示在服務器證書的列表中。現在你需要把證書分配給網站。

###將證書與你的網站綁定

  1. 連接的左側菜單中,選擇你的網路服務器,展開網站菜單,選擇你想分配證書的網站。之後,點擊操作部分中的綁定選項。
  2. 網站綁定視窗中,點擊添加
  3. 添加站點綁定視窗中,選擇以下參數:類型 - https;IP地址 - 所有未分配的,或你的IP地址; - 443;SSL證書 - 導入證書的友好名稱。所有細節都選定後,點擊確定按鈕。!
  4. 新的綁定已經成功創建。

如果網站已經啟用了https,如果你想更新SSL證書,你需要在443埠的綁定中選擇_編輯_按鈕,從下拉列表中選擇新證書的友好名稱,然後點擊OK來應用這些變化。

現在證書已經安裝完畢。如果 https 連接仍然無法訪問,你可能需要重新啟動網站。你可以通過https://decoder.link檢查證書的安裝情況。

導入PFX文件

###創建PFX文件

如果你有PEM格式的私鑰(.key文件),你需要生成PKCS#12格式的證書(.pfx)。

使用這個工具來生成PKCS#12格式的證書。使用你的以.crt為擴展名的證書,以.ca-bundle為擴展名的CA捆綁文件和以.key為擴展名的保存的密鑰。

如果服務器上安裝了OpenSSL客戶端,你可以使用以下命令從PEM格式(.pem, .crt, .cer)或PKCS#7/P7B格式(.p7b, .p7c)的證書和私鑰中創建PFX文件。

PEM (.pem, .crt, .cer)轉為PFX

openssl pkcs12 -export -out certificate.pfx -inkey privatekey.key -in certificate.crt -certfile more.crt*where “more.crt” is the name of the CA Bundle file

PKCS7/P7B(.p7b, .p7c)轉換為PFX

P7B文件必須先轉換為PEM。

openssl pkcs7 -print_certs -in certificate.p7b -out certificate.crt接下來,運行。

openssl pkcs12 -export -out certificate.pfx -inkey privatekey.key -in certificate.crt -certfile more.crt*where “more.crt” 是 CA Bundle 文件的名稱

然後將.pfx格式的證書導入到你的Windows服務器。

###使用MMC導入PFX

  1. 按照上述步驟,在MMC中添加**證書(本地計算機)**快照。
  2. 添加後,右擊個人商店>>所有任務>>導入
  3. 證書導入向導將被啟動,按下一步
  4. 使用瀏覽按鈕,選擇你想在服務器上導入的.pfx文件,按下一步
    1. 輸入PFX文件的密碼。它是在創建.pfx文件時指定的。你可以選擇標記此密鑰為可導出,以便以後有機會從該服務器導出帶有私鑰的證書。然後點擊下一步
  6. 在下一個對話視窗中,選擇根據證書類型自動選擇證書庫。這將允許 MMC 將 .pfx 文件中的證書放到相應的文件夾中,如果該文件還包含中間證書的話。點擊下一步
    1. 單擊完成。證書已經被導入到服務器,現在可以分配給網站。

使用IIS管理器導入PFX

  1. 啟動網際網路信息服務管理器 (開始 > 管理工具 >> 網際網路信息服務(IIS)管理器),並選擇要導入證書的服務器。
  2. 雙擊中心菜單中的服務器證書
  3. 單擊右側菜單中的導入按鈕。
  4. 在你的機器上找到PFX文件,指定導出證書時使用的密碼。你可以選擇勾選允許此證書被導出。然後,點擊確定

###為網站分配證書

一旦通過上述任何一種方法導入證書,它將顯示在IIS管理器的服務器證書列表中,並可以使用IIS分配給現有網站。

如果CSR是在SSL激活過程中在瀏覽器中生成的

如果你使用了 "自動激活 "選項並將私鑰保存在你的電腦上,你需要

  1. 從你的個人電腦上找回該密鑰。
  2. 下載來自你賬戶的SSL文件。
  3. 將它們合並成一個PFX文件]。
  4. 將PFX導入到IIS。