- 在Web服務器上設置SSL安全套接字層(SSL)是一套提供身份驗證、保密性和數據完整性的加密技術。SSL 最常用來在Web瀏覽器和Web服務器之間建立安全通信通道。它也可以在客戶端應用程序和Web服務之間使用。要求以下各項介紹了推薦的硬件、軟件、網絡基礎結構、技巧和知識以及您需要的服務包。?MicrosoftWindows 2000 Server操作系統 (Service Pack 2)?Microsoft證書服務（如果您需要生成自己的證書，這是必需的）。一、生成證書申請此過程創建一個新的證書申請，此申請可發送到證書頒發機構 (CA) 進行處理。如果成功，CA 將給您發回一個包含生效證書的文件。生成證書申請1. 啟動 IISMicrosoft管理控制臺 (MMC) 管理單元。2. 展開Web服務器名，選擇要安裝證書的Web站點。3. 右擊該Web站點，然后單擊“屬性”。4. 單擊“目錄安全性”選項卡。5. 單擊“安全通信”中的“服務器證書”按鈕，啟動Web服務器證書向導。注意：如果“服務器證書”不可用，可能是因為您選擇了虛擬目錄、目錄或文件。返回第 2 步，選擇Web站點。5. 單擊“下一步”跳過歡迎對話框。6. 單擊“創建一個新證書”，然后單擊“下一步”。7. 該對話框有以下兩個選項：? “現在準備申請，但稍后發送”該選項總是可用的。? “立即將申請發送到在線證書頒發機構”僅當Web服務器可以在配置為頒發Web服務器證書的Windows 2000 域中訪問一個或多個Microsoft證書服務器時，該選項才可用。在后面的申請過程中，您有機會從列表中選擇將申請發送到的頒發機構。單擊“現在準備申請，但稍后發送”，然后單擊“下一步”。8. 在“名稱”字段中鍵入證書的描述性名稱，在“位長”字段中鍵入密鑰的位長，然后單擊“下一步”。向導使用當前Web站點名稱作為默認名稱。它不在證書中使用，但作為友好名稱以幫助管理員。9. 在“組織”字段中鍵入組織名稱（例如 Contoso），在“組織單位”字段中鍵入組織單位（例如“銷售部”），然后單擊“下一步”。注意：這些信息將放在證書申請中，因此應確保它的正確性。CA 將驗證這些信息并將其放在證書中。瀏覽您的Web站點的用戶需要查看這些信息，以便決定他們是否接受證書。10. 在“公用名”字段中，鍵入您的站點的公用名，然后單擊“下一步”。重要說明：公用名是證書最后的最重要信息之一。它是Web站點的DNS名稱（即用戶在瀏覽您的站點時鍵入的名稱）。如果證書名稱與站點名稱不匹配，當用戶瀏覽到您的站點時，將報告證書問題。如果您的站點在Web上并且被命名為 ，這就是您應當指定的公用名。如果您的站點是內部站點，并且用戶是通過計算機名稱瀏覽的，請輸入計算機的NetBIOS或DNS名稱。11. 在“國家/地區、州/省和城市/縣市”字段中輸入適當的信息，然后單擊“下一步”。12. 輸入證書申請的文件名。該文件包含類似下面這樣的信息。-開始新的證書申請-MIIDZjCCAs8CAQAwgYoxNjA0BgNVBAMTLW1penJvY2tsYXB0b3Aubm9ydGhhbWVy-結束新的證書申請-這是您的證書申請的Base 64編碼表示形式。申請中包含輸入到向導中的信息，還包括您的公鑰和用您的私鑰簽名的信息。將此申請文件發送到 CA。然后CA會使用證書申請中的公鑰信息驗證用您的私鑰簽名的信息。CA 也驗證申請中提供的信息。當您將申請提交到CA后，CA將在一個文件中發回證書。然后您應當重新啟動Web服務器證書向導。13. 單擊“下一步”。該向導顯示證書申請中包含的信息概要。14. 單擊“下一步”，然后單擊“完成”完成申請過程。證書申請現在可以發送到CA進行驗證和處理。當您從CA收到證書響應以后，可以再次使用 IIS 證書向導，在Web服務器上繼續安裝證書。二、提交證書申請此過程使用Microsoft證書服務提交在前面的過程中生成的證書申請。提交證書申請1. 使用“記事本”打開在前面的過程中生成的證書文件，將它的整個內容復制到剪貼板。2. 啟動InternetExplorer，導航到 http:/hostname/CertSrv，其中hostname是運行Microsoft證書服務的計算機的名稱。3. 單擊“申請證書”，然后單擊“下一步”。4. 在“選擇申請類型”頁中，單擊“高級申請”，然后單擊“下一步”。5. 在“高級證書申請”頁中，單擊“使用 base64 編碼的 PKCS#10 文件提交證書申請”，然后單擊“下一步”。6. 在“提交一個保存的申請”頁中，單擊“Base64 編碼的證書申請（PKCS #10 或 #7）”文本框，按住 CTRL+V，粘貼先前復制到剪貼板上的證書申請。7. 在“證書模板”組合框中，單擊“Web 服務器”。8. 單擊“提交”。9. 關閉InternetExplorer。三、頒發證書頒發證書1. 從“管理工具”程序組中啟動“證書頒發機構”工具。2. 展開您的證書頒發機構，然后選擇“待定申請”文件夾。3. 選擇剛才提交的證書申請。4. 在“操作”菜單中，指向“所有任務”，然后單擊“頒發”。5. 確認證書顯示在“頒發的證書”文件夾中，然后雙擊查看它。6. 在“詳細信息”選項卡中，單擊“復制到文件”，將證書保存為Base-64編碼的X.509證書。7. 關閉證書的屬性窗口。8. 關閉“證書頒發機構”工具。四、在Web服務器上安裝證書此過程在Web服務器上安裝在前面的過程中頒發的證書。在Web服務器上安裝證書1. 如果Internet信息服務尚未運行，則啟動它。2. 展開您的服務器名稱，選擇要安裝證書的Web站點。3. 右擊該Web站點，然后單擊“屬性”。4. 單擊“目錄安全性”選項卡。5. 單擊“服務器證書”啟動Web服務器證書向導。6. 單擊“處理待定申請和安裝證書”，然后單擊“下一步”。7. 輸入包含CA響應的文件的路徑和文件名，然后單擊“下一步”。8. 檢查證書概述，單擊“下一步”，然后單擊“完成”。證書現在安裝在Web服務器上。五、將資源配置為要求SSL訪問此過程使用Internet服務管理器，將虛擬目錄配置為要求SSL訪問。您可以為特定的文件、目錄或虛擬目錄要求使用SSL。客戶端必須使用HTTPS協議訪問所有這類資源。將資源配置為要求SSL訪問1. 如果Internet信息服務尚未運行，則啟動它。2. 展開您的服務器名稱和Web站點。（這必須是具有已安裝證書的Web站點）。3. 右擊某個虛擬目錄，然后單擊“屬性”。4. 單擊“目錄安全性”選項卡。5. 單擊“安全通信”下的“編輯”。6. 單擊“需要安全通道 (SSL)”。現在客戶端必須使用 HTTPS 瀏覽到此虛擬目錄。7. 單擊“確定”，然后再次單擊“確定”關閉“屬性”對話框。8. 關閉Internet信息服務。設置客戶端證書為了執行授權，Web 服務經常需要能夠對它們的調用方（其它應用程序）進行身份驗證。客戶端證書為Web服務提供了一種非常好的身份驗證機制。如果您使用客戶端證書，您的應用程序也會得益于客戶端應用程序和Web服務之間的安全通道創建（使用安全套接字層 SSL）。這樣您就可以安全地在Web服務之間傳送保密信息。SSL 確保消息的完整性和機密性。要求：以下各項介紹了推薦的硬件、軟件、網絡基礎結構、技巧和知識以及您需要的服務包。? 帶 Service Pack 2 的 Microsoft Windows 2000 Server操作系統? 訪問證書頒發機構 (CA) 以生成新的證書? 一個已安裝了服務器證書的Web服務器申請并安裝客戶端證書此過程安裝客戶端證書。您可以使用來自任何證書頒發機構的證書，也可以使用如后面幾節所述的Microsoft證書服務來生成自己的證書。此過程假設Microsoft證書服務是為待定申請配置的，這要求管理員專門頒發證書。它也可以配置為應證書申請自動頒發證書。檢查證書申請狀態設置1. 在Microsoft證書服務計算機上，從“管理工具”程序組中選擇“證書頒發機構”。2. 展開“證書頒發機構（本地）”，右擊證書頒發機構并單擊“屬性”。3. 單擊“策略模塊”選項卡，然后單擊“配置”。4. 檢查默認操作。以下過程假設“將證書申請狀態設成待定”。選擇“管理員必須專門頒發證書”。申請客戶端證書1. 啟動 Internet Explorer 并導航至 http:/hostname/certsrv，其中 hostname 是安裝 Microsoft 證書服務的計算機的名稱。2. 單擊“申請一個證書”，然后單擊“下一步”。3. 在“選擇申請類型”頁上，單擊“用戶證書”，然后單擊“下一步”。4. 單擊“提交”完成申請。5. 關閉 Internet Explorer。頒發客戶端證書1. 從“管理工具”程序組中啟動“證書頒發機構”工具。2. 展開您的證書頒發機構，然后選擇“掛起的申請”文件夾。3. 選擇剛提交的證書申請，指向“操作”菜單上的“所有任務”，然后單擊“頒發”。4. 確認該證書顯示在“頒發的證書”文件夾中，然后雙擊查看它。5. 在“詳細信息”選項卡上，單擊“復制到文件”將證書保存為 Base-64 編碼的 X.509 證書。6. 關閉證書的屬性窗口。7. 關閉證書頒發機構工具。安裝客戶端證書1. 要查看證書，啟動 Windows 資源管理器，導航至在前一過程中保存的 .cer 文件，然后雙擊它。2. 單擊“安裝證書”，然后在“證書導入向導”的首頁單擊“下一步”。3.