以Windows Server 2012中的IIS8为例,本文主要介绍如何生成CSR证书请求文件,以及在IIS8中安装数字证书遇到的问题及解决方案

以Windows Server 2012中的IIS8为例,本文主要介绍如何生成CSR证书请求文件,以及在IIS8中安装数字证书遇到的问题及解决方案

1、生成服务器CSR证书请求文件

打开IIS,点击服务器名称,主界面找到“服务器证书(Server Certificates)”

117187b0658879c8742a732e44bc554a.png

点击右侧按钮“创建证书申请(Create Certificate Request...)”

a2c805190591de064748ef512310da10.png

弹开对话框输入以下内容

  • 通用名称(M) / Common Name - 就是输入你的域名,例如sslzoo.com或者www.sslzoo.com
  • 组织(O) / Organization - 可以是域名也可以是英文简称或者是公司名称
  • 组织单位(U) / Organizational unit - 通常是IT Support
  • 城市/地点(L) / City/locality - 英文简称HeFei
  • 省/市/自治区(S) / State/province - 英文简称AnHui
  • 国家/地区(R) / Country/region - 一般你肯定是CN

小技巧:通用名称(M) / Common Name 可以直接用顶级域名,这样做nginx部署的时候,可以用 https://sslzoo.com/ 做静态服务, https://www.sslzoo.com 做主服务,相当于这个证书两用了,省去了通配符证书的钱。

c37aa4ff4be0615b43de2c9b97ed6056.png

下一步,选择Microsoft RSA SChannel..,加密位为2048位

7ee97ab60278eee271c59972c67033e3.png

点击下一步,选择输入CSR文件路径

db9cc258cb45ed7043f29c192850eb02.png

到这里我们输出的CSR文件就已经结束了,把这个CSR文件提交给sslzoo.com申请CA机构的数字证书

2、申请数字证书注意事项

如果你的域名是在国内注册商注册,鉴于有隐私保护之类的原因,申请数字证书的时候,你可能要准备一下免费企业邮箱。

不管是域名型证书(DV)还是机构型证书(OV)都需要验证域名所有权。如下图所示域名是在aliyun注册的,所以真实的注册者邮箱无法使用,这时候需要配置该域名的企业邮箱,建议申请腾讯的免费企业邮,详情参考:申请数字证书注意事项

4e68b477b6f8521cf7662c16d5e9032b.png

GeoTrust和Symantec支持在线重新签发证书,Comodo需要通过sslzoo.com提交工单申请重新签发,重新签发都是免费的。详情参考:重新签发你的数字证书

3、安装数字证书

回到第一步开始,点击面板右侧按钮“完成证书申请(Complete Certificate Request..)”

8ef400dbc171c45d19c147fcecfef884.png

将CA机构发给你的邮件中的证书或者代码保存为*.cer格式的文件,然后下图窗口中选择该证书文件。并创建一个友好名称。

6f461978c1b79b0d11ca745c01da667d.png

通常上图点击确认(OK)之后能顺利导入,这时候主面板会出现名为yourdomain.com的证书,如果刷新或者按F5之后这个证书不见了,实际上这个证书已经导入成功,有可能是你的私钥被删除了,需要进行私钥恢复,此外IIS8中会有个人、WEB宿主的区别,请参考“IIS中恢复SSL数字证书私钥

证书导入成功后,需要进行证书绑定(Bindings...)

103c05224785ea8f1eefc696bb037ec3.png

添加一个https类型

3dafdaf4ffe14450ef8c1cf7204a9b95.png

选择https后,填入443端口、选择安装好的数字证书。

0e790bad37f3a8bdc046f1aeb9545d36.png

确定后可以看到此时多了一个443的端口

ea8c9168ac80c538ddce601a5ad59d4b.png

重启IIS服务器。

如果需要安装多个数字证书,重复上述步骤后,在绑定端口的时候注意的是,钩选“需要服务器名称显示(Require Server Name Indication)”

d57a018a7e500b436131bae73f9d3cae.png

相关文章