以Windows Server 2012中的IIS8为例,本文主要介绍如何生成CSR证书请求文件,以及在IIS8中安装数字证书遇到的问题及解决方案。
1、生成服务器CSR证书请求文件
打开IIS,点击服务器名称,主界面找到“服务器证书(Server Certificates)”
点击右侧按钮“创建证书申请(Create Certificate Request...)”
弹开对话框输入以下内容
- 通用名称(M) / Common Name - 就是输入你的域名,例如sslzoo.com或者www.sslzoo.com
- 组织(O) / Organization - 可以是域名也可以是英文简称或者是公司名称
- 组织单位(U) / Organizational unit - 通常是IT Support
- 城市/地点(L) / City/locality - 英文简称HeFei
- 省/市/自治区(S) / State/province - 英文简称AnHui
- 国家/地区(R) / Country/region - 一般你肯定是CN
小技巧:通用名称(M) / Common Name 可以直接用顶级域名,这样做nginx部署的时候,可以用 https://sslzoo.com/ 做静态服务, https://www.sslzoo.com 做主服务,相当于这个证书两用了,省去了通配符证书的钱。
下一步,选择Microsoft RSA SChannel..,加密位为2048位
点击下一步,选择输入CSR文件路径
到这里我们输出的CSR文件就已经结束了,把这个CSR文件提交给sslzoo.com申请CA机构的数字证书
2、申请数字证书注意事项
如果你的域名是在国内注册商注册,鉴于有隐私保护之类的原因,申请数字证书的时候,你可能要准备一下免费企业邮箱。
不管是域名型证书(DV)还是机构型证书(OV)都需要验证域名所有权。如下图所示域名是在aliyun注册的,所以真实的注册者邮箱无法使用,这时候需要配置该域名的企业邮箱,建议申请腾讯的免费企业邮,详情参考:开通腾讯免费企业邮箱用于申请SSL数字证书的域名所有权验证
GeoTrust和Symantec支持在线重新签发证书,Comodo需要通过sslzoo.com提交工单申请重新签发,重新签发都是免费的。详情参考:重新签发你的数字证书
3、安装数字证书
回到第一步开始,点击面板右侧按钮“完成证书申请(Complete Certificate Request..)”
将CA机构发给你的邮件中的证书或者代码保存为`*.cer`格式的文件,然后下图窗口中选择该证书文件。并创建一个友好名称。
通常上图点击确认(OK)之后能顺利导入,这时候主面板会出现名为yourdomain.com的证书,如果刷新或者按F5之后这个证书不见了,实际上这个证书已经导入成功,有可能是你的私钥被删除了,需要进行私钥恢复,此外IIS8中会有个人、WEB宿主的区别,请参考“IIS中恢复SSL数字证书私钥”
证书导入成功后,需要进行证书绑定(Bindings...)
添加一个https类型
选择https后,填入443端口、选择安装好的数字证书。
确定后可以看到此时多了一个443的端口
重启IIS服务器。
如果需要安装多个数字证书,重复上述步骤后,在绑定端口的时候注意的是,钩选“需要服务器名称显示(Require Server Name Indication)”
