IIS的安装及SSL配置.docx

1、IIS的安装及SSL配置目 录IIS服务器的安装 3IIS服务器的SSL配置 3第一步： 3第二步： 4第三步： 5第四步： 5第五步： 6第六步： 6第七步： 6第八步： 7第九步： 7第十步： 10导入PFX证书说明 10第一步、 10第二步、 11第三步、 12第四步、 13第五步、 14第六步、 15IIS服务器的安装打开“控制面板”，选择“添加/卸载程序”，选择“添加/删除Windows组件”，然后选择“Internet信息服务（IIS）”，点击“下一步”，按照安装向导可以顺利完成IIS的安装。具体的IIS安装说明参见IIS的相关安装手册。IIS服务器的SSL配置第一步：执行 “开始

2、程序管理工具Internet服务管理器”，打开服务管理器。如图： 第二步：右键单击需要采用SSL协议的WEB站点，选择“属性”，在Web 站点选项视图中填写SSL端口为：443。(也可以根据需要修改端口)如图第三步：选择“目录安全性”选项，如图： 第四步：选择服务器证书，单击下一步会出现IIS证书向导，如图：第五步：选择“创建一个新证书”，然后跟随向导填写相关内容，生成证书申请书。用此申请书到CA签发服务器证书。注意在CA填写的证书申请信息一定要同此处填写的证书申请信息相同。第六步：当证书签发完毕后，再次打开向导，现在里边的选项已经不同了，跟随向导将证书导入，关于每一步向导中都备有详细说明，这

3、里不做赘述。注：如果我们有已经申请好的pfx证书文件，也可以参照后边导入pfx的说明，将证书导入，然后根据选择“分配一个已存在的证书”，（就不用进行5、6两个步骤了）第七步：现在，你的服务器已经有了属于自己的证书，我们可以开始配置SSL。在“目录安全性”选项视图下的“安全通信”中选择“编辑”选项。如图这时，将会弹出如图画面：第八步：在此选择“申请安全通道（SSL）”项，就已经建立起SSL通道，在“客户证书”项下可以选择验证客户证书的具体方式，“忽略客户证书”是不要求验证客户证书，“接收客户证书”是用证书验证拥有证书的客户，没有证书的客户按其他方法来验证。“申请客户证书”是只与拥有证书的客户进行

4、通信。我们可以根据需要来进行选择。对于双向验证要求选择“申请客户证书”。启用证书信任列表选项，标识有哪些可信任的根CA所发的证书可以用来通信。第九步：在服务端导入CA根证书在IIS服务器上，双击打开CA的根证书（必须是签发IIS服务器证书的CA）。CA的根证书可以从CA的网站上下载。单击安装证书，出现安装证书向导单击下一步选择证书存储区域，选择“将所有证书放入下列存储区域”，单击“浏览”出现选择存储区域对话框，选中“显示物理存储区”后，如图：选择“受信任的根证书颁发机构-本地计算机”，单击确定。显示我们刚刚选择的路径，单击下一步，显示我们刚刚做过的设置单击完成按钮，导入CA根证书完成。第十步：

5、取消IIS对CRL列表信息的校验对于证书有效性的验证在应用程序中进行。故需要取消IIS对CRL的检验。在控制台下进入C：InetpubAdminScripts 目录（这个目录在安装完IIS后会自动生成）执行如下命令，取消IIS对CRL的校验：cscript adsutil.vbs set w3svc/certcheckmode 1 出现如下画面表示设置成功导入PFX证书说明下面的配置只需要在IIS5.0的版本上进行。配置前首先需要申请得到一张分配给服务器的.pfx证书文件。对于IIS6.0或者以上的版本，不需要进行下面的配置。第一步、点击“开始运行”，输入mmc，点击确定。如下图： 弹出控制台

6、窗口如下： 第二步、点击“文件添加/删除管理单元”，弹出添加/删除管理单元，此时控制台根节点下面没有任何信息。第三步、选择“添加”，弹出“添加独立管理单元”窗口，选择“证书”，点击添加。 弹出证书管理单元，根据需要选择管理证书的帐户，该处选择“计算机帐户”。选择“本地计算机”，点击完成。第四步、关闭“添加独立管理单元”窗口，在控制台根节点下面可以看到“证书”的信息。点击“确定”，返回控制台界面。第五步、双击“控制台根节点”下的“证书个人证书”。在证书上点击右键。选择“导入”。弹出证书导入向导：第六步、点击“下一步”，按照提示，选择要导入的.pfx文件。输入证书密码：证书存储选择默认为“个人”。完成证书导入：将当前的配置保存，退出控制台的操作界面。对于IIS6.0或者以上的版本，不需要进行控制台的配置。可以直接将证书导入IIS6.0。