因为客户有需要,所以写个过程出来,其实下午已经写好了,结果提交的时候因为超时给掉了,郁闷的不想再写,半夜渴了,水又太烫,等水的功夫再重新写一份吧(其实MS的帮助文档就很详细了,有兴趣的自己去看:http://www.microsoft.com/china/technet/security/guidance/secmod30.mspx)。
一、基础知识
1、这里不介绍为什么用SSL,想用的自然知道,不知道得说了也没什么意义。首先需要区别的是在配置过程中的两个服务器,即证书服务器和web服务器,虽然可以在web服务器上安装证书,但一般是没有必要的。
2、SSL配置针对的是web站点,如果你选择的是虚拟目录、目录或文件,则会提示你“服务器证书”不可用。当然这不是说你不能只针对某个目录启用SSL,在站点上配置完以后可以自行选择针对整站或目录启用SSL。
3、启用SSL不需要在脚本映射里面增加.cer映射,也不知道哪里传出来了的。
二、基本步骤
这里简单说一下步骤,只要知道每一步在哪里操作就可以了,其他的就是下一步下一步了。
1、首先需要搭建一个证书服务器,听着很恐怖,其实只要安装IIS、证书服务,在IIS启用ASP脚本就可以了,如果你已经安装了IIS,那么在安装证书服务的时候会自动停止你的IIS,并提示让你确认启用ASP,安装完成以后在IE访问http://localhost/certsrv/就可以看到证书服务的页面了。其实没必要在web服务器上安装啦,跑个vm就可以了,反正就是临时用一下。
2、在web服务器的IIS的指定站点属性--目录安全性中点击“服务器证书”,创建一个新证书,IIS会自动挂起该操作,得到certreq.txt文件,拷贝其内容。
3、在证书服务器的IE访问http://localhost/certsrv/,申请一个证书。
4、在证书服务器的证书颁发机构(控制面板--管理工具--证书颁发机构)中,给刚才申请的证书做颁发,然后复制到文件,得到.cer文件。
5、拷贝.cer文件到web服务器,在指定站点属性--目录安全性中点击“服务器证书”,激活刚才的挂起,导入证书。
6、在web服务器需要的目录中启用SSL即可。
具体过程可以参考:
三、注意事项
1、注意步骤中分别在那个服务器的那个位置操作;
2、如果你访问http://localhost/certsrv/未获得内容,可能是在web服务器上安装证书服务时,系统自动停止IIS服务后,有时候在安装完成以后并未把IIS起起来,这时重新启动一下IIS一般可以解决。如果你压根没装证书服务,那就去装吧。
3、SSL的端口号可以直接在IIS配置中修改,访问时只需要https://www.target.com:port即可。
4、因为SSL本身会消耗系统资源,所以一般建议对重要目录启用,防止通过嗅探获得你的后台和口令。
我是AcOol,就到这里吧,前些天因为黑子那未知问题,导致QQ群无法使用了,现在更新了一个群,号码是7050400,有兴趣的自己来加。 | 
