IIS如何安装SSL证书

一、安装SSL证书环境

安装 windows server 2008 IIS70 操作系统服务器一台，web 站点一个，SSL证书一张

二、SSL证书的导入

21 获取SSl 证书

成功在沃通CA申请SSL证书后，会得到一个有密码的压缩包文件，输入证书密码后解压得到五个文件：

for Apache、for IIS、for Ngnix、for Other Server，这个是证书的几种格式，解压for IIS压缩包，会得到一个域名pfx 格式的证书，IIS70 上需要用到pfx 格式的证书。

22 导入SSL证书

开始 -〉运行 -〉MMC，启动控制台程序 -> 选择菜单“文件 -〉添加/删除管理单元”->列表中选择“证书”->点击“添加”-> 选择“计算机帐户” ->点击完成。在控制台的左侧显示证书树形列表，选择“个人”- “证书”，右键单击，选择“所有任务-〉导入”， 根据“证书导入向导”的提示，将pfx 格式文件导入“根据证书内容自动选择存储区”。(注意导入过程中勾选该选项，并且需要输入密码)导入成功后，可以看到如图所示的证书信息

23 分配服务器证书

打开IIS70管理器面板，找到待部署证书的站点，点击“绑定”

24 设置参数

选择“绑定”->“添加”->“类型选择 https” ->“端口 443” ->“ssl证书导入的证书名称” ->“确定”，SSL 缺省端口为 443 端口，(请不要随便修改。如果您使用其他端口如：8443，则访问时必须输入：https://域名:8443)。

25 测试是否安装成功

重启 IIS70 服务，在浏览器地址栏输入：https://域名 (申请证书的域名)测试您的SSL证书是否安装成功，如果成功，则浏览器下方会显示一个安全锁标志。

一、创建Azure Key Vault

创建Key Vault和Linux安装SSL之前，大家需要先使用az group create来创建资源。比如创建名为“myResourceGroupSecureWeb”的资源组，需要先复制Azure CLI到对应文件夹中，然后再使用az keyvault create创建Key Vault，并在部署VM时启用该Key Vault。

每一个Key Vault都需要具备唯一的名称，而且全部都是小写字母，然后将名称替换为自己唯一的Key Vault名称，生成证书并存储在Key Vault中。为了让网站SSL安全使用使用，大家需要在Linux安装SSL导入时由受信任的程序提供签名才算是有效证书。

二、准备用于VM的证书

若要在VM创建过程中使用上述证书，大家需要使用az keyvault secret list-versions获取证书的唯一ID，然后再通过az vm format-secret转换该证书。具体操作为创建cloud-init配置以保护NGINX，在首次启动VM时对其进行自定义，再通过cloud-init来安装程序包和写入文件，或者配置用户和安全性。

除了在Linux安装证书初始启动期间要运行cloud-init外，无需在进行其他的步骤和代理。创建VM、安装程序包和启动应用需耗时几分钟。创建后测试一下Web应用是否安全，Linux的ssl证书安装如果使用的是自签名的安全证书，网页会有安全警告，提示用户存在不安全因素。

Linux的ssl证书安装相对于其他系统来讲，比较简单。不过需要注意的是，Linux安装证书对国内和国外的网络环境有一定的设置要求，如果没有及时更改，会造成SSL证书配置失败。

具体步骤如下：

1域控制器上，在管理工具—服务器管理器—角色—打开添加角色向导—添加角色；AD安装服务；

2点击—下一步，在选择角色服务中选择证书颁发机构和证书颁发机构Web注册；

3在指定安装类型中选择”企业”，单击’下一步’；

4在“CA类型中选择根CA”，单击下一步；

5在设置私钥窗口中选择“新建私钥”，单击下一步；

6在配置加密窗口，使用默认的加密服务程序、哈希算法和密钥长度，单击“下一步”；

7选择按指导项单击“下一步”到确认—安装;

8安装完成后，从管理工具中可以看到“Certification Authority”打开证书颁发机构管理器，管理证书的颁发；

9为web站点应用证书前必须生成证书，用以标识证书应用于哪个站点，打开Insternet信息服务管理器中—打开—服务器证书；

10打开后，首先先创建证书申请；在分辨名称属性窗口中通用名称可以是IP或者域名；其他设置根据需求填写；

11在文件名窗口，为该证书申请指定一个文件名和保存路径单击完成创建证书申请；

12打开证书申请文件C:\Users\Administrator\Desktop\qiangmengtxt，可见证书申请文件时Base64编码，复制全部编码，提示：不能随意改动:

13在申请到文件编码后，现在应该提交所申请的证书，在浏览器中输入：http://19216811/certsrv,单击申请证书；

14点击—申请证书进去后，选择高级证书申请；

15在“提交一个证书申请或续订申请”页面，将复制的证书内容粘贴到，‘保存的申请’区域中，证书模板选择“web服务器”；

16进入后，选择使用base64编码的文件提交一个申请；下载证书；为证书选择存放路径；

17下载完成后，打开insternet信息服务管理—服务器证书—完成申请；

18将申请的证书导入服务器；

19完成后，在Insternet信息服务管理上新添加站点，在绑定类型中选择https；SSL证书选择申请的证书；

20在SSL设置上要求应用SSL；选择此项后用户都只能以https方式访问连接站点；

21在设置完成后，可以通过在用户计算机上HTTPS协议访问网站；测试使用域名进行访问。

Windows2003中的IIS组件版本为60，他比Win2000下的IIS更加安全。默认情况下IIS60是没有安装在Windows2003系统中的，所以需要手动安装这个组件。在Windows2003操作系统下安装IIS组件。 操作步骤： 第一步：通过任务栏的“开始->程序->管理工具->配置您的服务器向导”来启动安装步骤。 第二步：出现欢迎使用“配置您的服务器向导”提示后点“下一步”按钮。 第三步：系统会给出准备安装各类组件所需要的所有准备工作，继续点“下一步”按钮。 第四步：系统自动搜索已在本机安装了的系统服务组件。 第五步：搜索完毕会在“服务器角色”窗口显示已在本机安装的系统服务以及没有安装的服务，区别在于“已配置”处用“是”和“否”进行区分。可以看到“应用程序服务器(IIS，ASPNET)”组件是没有安装的，此时可以安装他。 第六步：点“下一步”按钮后会出现应用程序服务器选项，在这里会让选择是否安装IIS相关的其他工具，包括Frontpage Server Extension以及ASPNET。如果想安装可以在前面打勾。点“下一步”继续。 第七步：系统将显示出整个IIS组件的大概过程列表。 第八步：接着开始安装并配置IIS程序。 第九步：系统将自动调用安装程序进行安装，建立文件列表。 第十步：在安装过程中会弹出提示要求插入标为Windows server 2003的安装光盘到光驱中。这是因为默认情况IIS组件的程序与文件是存储在windows 2003光盘中的，所以需要插入光盘。 第十一步：放入windows 2003安装光盘后会自动搜索所需要的文件进行安装。 第十二步：等待大概5分钟所有系统就完成了IIS 60组件的安装工作，会弹出此服务器现在是一台应用程序服务器的提示。点“完成”按钮完成全部安装工作。 第十三步：安装完后在“管理您的服务器”窗口中就会发现“应用程序服务器”已经出现在该界面中了。也可以通过“开始->程序->管理工具”中找到“Internet 信息服务(IIS)管理器程序”的踪影了。

步骤1：搭建软件环境，windows7旗舰版执行开始I 设置I 控制面板命令，在打开的控制面板 窗口中双击添加删除程序Windows组件选项，在这里面安装IIS以及ASP服务，如图所示。

步骤2：在Windows组件中向导对话框， win7系统在安装证书服务时选中独立根CA单选按钮，如图所示，然后单击下一步按钮。

步骤3：在CA识别倌息对话框的此CA的公用名称文本框中输入名称，如图3所示，其他操作依据向导提示完成。