+1 投票

以Windows Server 2012中的IIS8为例,本文主要介绍如何生成CSR证书请求文件,以及在IIS8中安装数字证书遇到的问题及解决方案。

1、生成服务器CSR证书请求文件

打开IIS,点击服务器名称,主界面找到“服务器证书(Server Certificates)”

点击右侧按钮“创建证书申请(Create Certificate Request...)”

弹开对话框输入以下内容

  • 通用名称(M) / Common Name - 就是输入你的域名,例如sslzoo.com或者www.sslzoo.com
  • 组织(O) / Organization - 可以是域名也可以是英文简称或者是公司名称
  • 组织单位(U) / Organizational unit - 通常是IT Support
  • 城市/地点(L) / City/locality - 英文简称HeFei
  • 省/市/自治区(S) / State/province - 英文简称AnHui
  • 国家/地区(R) / Country/region - 一般你肯定是CN

小技巧:通用名称(M) / Common Name 可以直接用顶级域名,这样做nginx部署的时候,可以用 https://sslzoo.com/ 做静态服务, https://www.sslzoo.com  做主服务,相当于这个证书两用了,省去了通配符证书的钱。 

 

下一步,选择Microsoft RSA SChannel..,加密位为2048位

点击下一步,选择输入CSR文件路径

到这里我们输出的CSR文件就已经结束了,把这个CSR文件提交给sslzoo.com申请CA机构的数字证书

2、申请数字证书注意事项

如果你的域名是在国内注册商注册,鉴于有隐私保护之类的原因,申请数字证书的时候,你可能要准备一下免费企业邮箱。

不管是域名型证书(DV)还是机构型证书(OV)都需要验证域名所有权。如下图所示域名是在aliyun注册的,所以真实的注册者邮箱无法使用,这时候需要配置该域名的企业邮箱,建议申请腾讯的免费企业邮,详情参考:开通腾讯免费企业邮箱用于申请SSL数字证书的域名所有权验证

GeoTrust和Symantec支持在线重新签发证书,Comodo需要通过sslzoo.com提交工单申请重新签发,重新签发都是免费的。详情参考:重新签发你的数字证书

3、安装数字证书

回到第一步开始,点击面板右侧按钮“完成证书申请(Complete Certificate Request..)”

将CA机构发给你的邮件中的证书或者代码保存为`*.cer`格式的文件,然后下图窗口中选择该证书文件。并创建一个友好名称。

通常上图点击确认(OK)之后能顺利导入,这时候主面板会出现名为yourdomain.com的证书,如果刷新或者按F5之后这个证书不见了,实际上这个证书已经导入成功,有可能是你的私钥被删除了,需要进行私钥恢复,此外IIS8中会有个人、WEB宿主的区别,请参考“IIS中恢复SSL数字证书私钥

证书导入成功后,需要进行证书绑定(Bindings...)

添加一个https类型

选择https后,填入443端口、选择安装好的数字证书。

确定后可以看到此时多了一个443的端口

重启IIS服务器。

如果需要安装多个数字证书,重复上述步骤后,在绑定端口的时候注意的是,钩选“需要服务器名称显示(Require Server Name Indication)”

最新提问 1月 23, 2017 分类:SSL | 用户: unknow (2,120 分)
修改于 1月 25, 2017 用户:unknow

登录 或者 注册 后回答这个问题。

39 问题
29 回答
15 留言
2,492 用户