思路就是 自建机构 > 生成证书 > 应用匹配
1.安装CA证书服务器
开始菜单 > 管理工具 > 服务器管理器
选择左侧树形菜单“角色”节点,右键“添加角色”勾选“Active Directory 证书服务”,点“下一步”按钮
点击“下一步”按钮
点击“下一步”按钮,会弹出“添加角色向导”界面
点击“添加所需的角色服务”按钮
点击“下一步”按钮
指定安装类型,选择“企业”,点击“下一步”按钮,
企业:需要域环境
独立:不需要域环境
选择“根”,点击“下一步”按钮
选择 “新建私钥”,点击“下一步”按钮
选择加密服务提供程序:“RSA#Microsoft Software Key Storage Privoider”
密钥字符符长度:“2048”
选择此CA颁发的签名证书的哈希算法: SHA1 然后点击“下一步”按钮
这里最好不要改名字,直接点击“下一步” 按钮
直接“下一步”按钮
这里是证书数据库和日志的地址,按默认路径就可以,然后点击“下一步”按钮
点击“下一步”按钮,要求IIS服务器
勾选上运行(Asp.NET)网站必须的项,点击“下一步”按钮
点击“安装”按钮
提示各项都安装成功后,点击“关闭按钮”
2.新建自签名证书并配置HTTPS
选中IIS根节点,在“功能视图”中找到“服务器证书”,进入
找到文章前面配置好的CA,“57DBACKUP-CA”,点击“创建自签名证书”
导出证书,备用(密码自定义)
重新在IIS添加网站
绑定类型:Https 端口号默认是443,可以不修改
SSL证书选择刚创建好的自签名证书,点击“确定”。
访问效果如下图
3.证书错误处理
如下客户端访问会提示证书错误
打开IE浏览器的Internet选项 > 内容 > 证书,点击导入
选择要导入的证书,这个证书是刚刚服务器端导出来的
导入成功后,依然是在Internet选项 > 高级 > 把“对证书地址不匹配发出警告”的勾取消掉
最后关闭浏览器,重新浏览刚刚的网站,就不会出现证书报警了
