目前很多站點都部署了證書,保證了數據傳輸的的安全。我的個人站點沒想過用證書,可是最近發現瀏覽器地址欄前方顯示“不安全”三個字,看着很不爽今天就把他給干掉。
我申請了一個免費的證書,如果商用不建議使用免費證書。證書的廠家很多,根據個人情況選擇,操作也是很簡單快捷。
1、下載證書;
2、證書導入IIS;
點擊服務器證書,進入服務器證書頁面
在服務器證書的右上方點擊導入
選擇證書,輸入證書密碼,點擊確認
3、配置站點
選擇類型為:https
端口默認:443
主機名:填寫域名
SSL證書:選擇導入的證書
注:如果IIS需要配置多個證書,需勾選 “需要服務器名稱指示”
到這步站點已是支持https訪問,我還遇到一些問題:
1、http 未自動跳轉至 https
2、證書檢測評級低
解決http 未自動跳轉至 https
1、下載安裝重寫插件
2、選擇需要配置的站點,先綁定域名http 跟https 域名:
3、打開URL 重寫添加規則:
點擊URL重寫
4、創建重寫規則
5、編輯規則:
點擊右上角的引用,再試試用http去訪問就可以跳轉至https。這是其中一種方法,還有其他方法可以使用,比如修改配置文件;
解決證書評級低
我這里是使用站長之家的HTTPS檢測工具進行檢測的,第一次檢測評級是6,如下圖:
檢測提示因為使用了RC4密碼套件,參考了悠悠域名上的解決方法成功解決這個提示。是需要通過修改注冊表關閉不安全的支持,復制下列代碼 保存為 .reg 文件格式,雙擊運行 直接導入注冊表,完成后重啟服務器
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128] "Enabled"=dword:00000000
再次檢測域名,檢測結果如下圖:
很明顯評級從6提升至8了,但是PCI DSS 顯示不合規,我們也把他解決一下。出現這個的原因主要是因為我們IIS啟用了TSL1.0,把他禁用就行。這里我是使用了IISCrypto工具,去掉TSL1.0的選項,重啟電腦
再次檢測域名
這里顯示PCI DSS 已經合規了,但等級依舊沒有提升。應該是我使用的免費證書,最高評級就是8。
至此,我們的目標已達到,瀏覽器地址欄中沒有顯示“不安全”三個字的提示了。