SSL证书安装指南 - Winodws 2003 Server IIS 6.0
一旦您申请的SSL证书成功颁发,您会收到一个Email,附件为您申请SSL证书的域名命名的zip文件,如:www_domain_com.zip,解开zip文件,包含了3个证书文件:第1个是以 UTN 开头的根证书文件,一般不用;第2个是以 WoSign 开头的中级根证书文件,建议另存为: intermediate.crt;第3个文件就是您的域名命名的证书文件:www.mydomain.com.crt
1. 开始安装证书 Start the certificate installation process:
右击需要申请SSL证书的网站属性, 再点击“目录安全性”,最下面有一个“安全通信”栏。点击“服务器证书”就开始证书申请向导,如下图1所示:
Under Administrative Tools, open the Internet Services Manager. Then open up the properties window for the website you wish to request the certificate for. Right-clicking on the particular website will open up its properties.
clip_image001
2. 处理挂起的请求 Select to “Process the pending request and Install the certificate.”
如下图2所示,选择“处理挂起的请求”,如果您要删除已经生成CSR和私钥的请求,则选择“删除挂起的请求”,如果证书已经颁发,则千万不能选“删除请求”,否则证书就不能安装成功!
From the Web Site Certificate Wizard, select the "clip_image002rocess the Pending Request and Install the Certificate " option.
clip_image003
3. 选择证书文件 Select the certificate file to install
把您收到的证书文件:www.mydomain.com.crt 传到服务器上,并点击“浏览”选择该证书文件。
Type in the location of the certificate response file (you may also browse to the file), and then click Next.
clip_image004
4. 为网站指定一个SSL端口 Specify the SSL port number
SSL缺省端口为443端口,请不要修改。如果您使用其他端口如:448,则访问时必须输入:https://www.domain.com:448/。同时,请注意:如果您的服务器需要部署多个SSL,则需要确定一个常用网站使用443端口,而其他网站则使用其他端口,并在网页中设置链接到需要设置的端口中。
但是,如果您不想使用:448等端口,则您可以选购通配型证书或多域型证书,但需要做一些设置,请参考:通配型证书和多域型证书设置指南
同时请注意:一定要设置防火墙开放443端口(TCP)(包括Windows 2003 Server 自带的防火墙)。
Specify SSL port 443 which is the default secure port.
clip_image005
5. 确认证书信息 Confirm the certificate details
系统会显示详细的证书信息,直接点击“下一步”即可:
Read the summary screen to be sure that you are processing the correct certificate, and then click Next.
clip_image006
6. 完成证书安装 Click "Finish" to complete the installation process
会显示服务器已经成功安装了证书。
You will see a confirmation screen. When you have read this information, click “Finish”.
clip_image007
7. 设置有关参数 Setup the Server
证书安装成功后,您还需要在“目录安全性”-“编辑”中设置“要求安全通道”,也就是访问此网站必须使用https://,如果不设置此选项,则用户既可以使用http://访问,也可以使用https://访问。您还可以设置“要求128位加密”,但这样设置后,如果用户使用IE5浏览器就不能正常访问了,因为IE5浏览器只支持56位加密。对于客户端证书选项,一般情况下,都是设置“忽略客户端证书”,如果您的网站要求用户使用客户端证书实现强身份认证,则选“要求客户端证书”;同时,请检查服务器的“中级证书颁发机构”是否有WoSign客户端证书的中级根证书“WoSign Client Authority”根证书,如果没有,则需要 下载 和导入此根证书。如果您还需要支持WoTrust客户端证书,则检查是否有WoTrust客户端证书的中级根证书“WoTrust Client Authority”根证书,如果没有,则需要 下载 和导入此根证书(请参考下图clip_image008;如果您的网站既可以不使用客户端证书,也可以使用客户端证书,则选“接受客户端证书”,如下图7所示:
clip_image009
8. 安装中级根证书 Install the Intermediate Certificate
通过以上7步已经安装成功!但如果您收到的SSL证书不是 PKCS#7 格式,而是一个包含有3个证书文件的zip文件www_domain_com.zip,第1个是以 UTN 开头的顶级根证书文件,不用安装;第2个是以WoSign 开头的中级根证书文件;第3个文件就是您的域名命名的证书文件,如:www_domain_com.crt。请安装以上步骤先导入您的证书文件。再运行 MMC 管理证书,如下图示,右击“中级证书颁发机构”-“证书”后的“所有任务”中的“导入”即可导入WoSign中级根证书,如下图8所示 :
clip_image010
9. 测试是否安装成功 Test the server
在浏览器地址栏输入:https://yourdomain.com (申请证书的域名)测试您的SSL证书是否安装成功,如果成功,则浏览器下方会显示一个安全锁标志。请注意:如果您的网页中有不安全的元素,则会提供“是否显示不安全的内容”,建议修改网页删除不安全的内容。
Test your certificate by using a browser to connect to your server. Use the https protocol directive (e.g. https://your server/) to indicate you wish to use secure HTTP. The padlock icon on your browser will be displayed in the locked position if your certificates are installed correctly and the server is properly configured for SSL.