Windows下基於IIS服務的SSL服務器的配置

實驗環境

Windows Server 2008 R1(CA)
Windows Server 2008 R2(web服務器)
Windows 7 x64(客戶端)
3台虛擬機打開橋接模式，保證能夠相互ping通

實驗原理

CA（根CA）負責為服務器頒發證書使得服務器證書可信。
服務器下載IIS組建，向CA申請一個SSL證書，並且將此證書與本機IP綁定。最后打開SSL服務。
客戶端信任CA，因此可以安全地訪問服務器網址。

實驗步驟

安裝證書服務

打開Windows Server 2008 R1，配置主機角色
在“開始”菜單中的管理工具中選擇“服務器管理器”，選擇“添加角色”，在服務器角色中選中“Active Directory證書服務”后，點擊“下一步”。
在“角色服務”中選擇“證書頒發機構”和“證書頒發機構Web注冊”兩項服務，點擊“下一步”。
在“安裝類型”中選擇“獨立”選項，安裝一個獨立根CA，點擊“下一步”。
在“CA類型”中選擇“根CA”選項，點擊“下一步”。
在“私鑰”中選擇“新建私鑰”選項，配置私鑰，點擊“下一步”。
在“私鑰”中的“加密”配置中選擇“SHA1”算法，配置加密方式，點擊“下一步”。
在“私鑰”中的“CA名稱”配置中填寫CA的公用名稱，點擊“下一步”。
在“私鑰”中的“有效期”配置中選擇“5年”，點擊“下一步”。
在“證書數據庫”中默認證書數據庫位置和證書數據庫日志位置，點擊“下一步”。
成功配置獨立根CA，點擊“下一步”。
成功安裝獨立根CA。

Web服務器證書申請與配置

打開Windows Server 2008 R2
創建主機角色。在“開始”菜單中的管理工具中選擇“服務器管理器”，選擇“添加角色”，在服務器角色中選中“Web服務器（IIS）”后，之后全部默認配置。
（該過程與創建獨立根CA時類似，不作過多描述。）
在“開始”菜單中的管理工具中選擇IIS管理器，進入本機主頁，選擇“服務器證書”
在右側選擇“創建證書申請”，打開cmd查詢本機IP，在通用名稱處填本機IP，其他信息任意填寫，填滿后選擇“下一步”，加密服務默認設置，再選擇“下一步”。
文件名填成：“本機IP.cert.txt”格式，點擊完成，可以在指定路徑處看到txt文件。
打開瀏覽器，進入網址“http://CA的IP/certsrv”
在瀏覽器中選擇“工具”，再選擇“Internet選項”
選擇“安全”，為Internet設置“自定義級別”，將圖示部分勾選為啟用。
選擇“可信站點”，選擇“站點”，點擊“添加”，把CA站點添加到可信區域。點擊確定完成設置。
選擇“申請證書”，選擇“高級證書申請”，選擇圖示選項。
將之前生成的txt粘貼至框內，選擇“提交”。
提交后可以看到提交成功的界面
打開Windows Server 2008 R1（CA機），選擇“開始”，打開管理工具中的“證書頒發機構”，點擊“掛起的申請”，可以看到我們剛才發出的申請。右鍵該申請，並選擇“所有任務”，“頒發”。
回到Windows Server 2008 R2（服務器機），重新進入網址“http://CA的IP/certsrv”，選擇“查看掛起的證書申請的狀態”，可以看到一個“保存的申請證書”，選擇“DER編碼”，並下載證書鏈。
將證書鏈保存至桌面，並且打開，安裝兩個證書。CA證書放在“受信任的根證書”下，服務其證書放在“個人”下。
選擇“開始”，在對話框輸入mmc，打開控制台。選擇“文件”，“添加/刪除管理單元”
在左側區域找到“證書”，點擊“添加”，在彈出的框中選擇“計算機賬戶”，選擇“下一步”后默認設置
在左邊打開證書，進入“受信任的根證書頒發機構”的“證書”處，右鍵空白區域，選擇“所有任務”，“導入”將證書鏈導入。
進入“IIS管理器”，選擇“完成證書申請”，導入證書鏈並隨意取一個名稱。
右鍵網站，選擇“編輯綁定”
選擇“添加”，將類型改為“https”，IP地址選擇本機IP，SSL證書選擇我們剛才導入的證書（好記名稱）
選擇“SSL”設置，勾選“要求ssl”
至此完成web服務器證書的申請與配置