一、架設Certificate Services 在要安裝CA的那一台機器,先到控制台->新增或移除程式->新增或移除Windows元件:
勾選Certificate Services,並按確定。(如果沒有安裝IIS,同時必須要勾選IIS)
選擇獨立根CA
輸入CA的名稱,取正式的名稱
都用預設值
開始安裝
安裝完畢 這個時候,我們自己架設的CA已經架設完畢。
控制台->系統管理工具->憑證授權單位,可以看到CA發出的授權等等,目前都是空的。
二、產生憑證申請 在我們自己的機器,打開IIS的管理介面,在預測的web網站上按右鍵->內容 在要安裝的憑證網站上右鍵,選擇內容
選擇目錄安全設定->伺服器憑證
下一步
建立新憑證
準備要求但稍後傳送
為您的網站取一個正式的名稱,位元長度選擇預設的1024
輸入公司正式的名稱及部門名稱
這個名稱算是整個申請步驟最重要的一步: 如果我網站的位址是www. xxx. aa. cc,就要在這裡輸入www. xxx. aa 這個名稱算是整個申請步驟最重要的一步: 如果我網站的位址是www.xxx.aa.cc,就要在這裡輸入www.xxx.aa.cc。 輸入後未來若更改,就要再跟CA申請一次 不要輸入www.xxx.aa.cc/bbb/這種目錄名稱。 若你的網址為www.xxx.aaa.cc,在這裡就必須輸入www.xxx.aaa.cc
輸入所在位置
IIS將會產生一個憑證的要求,把他存起來。 輸入產生憑證要求的檔名和位置
如果資料沒問題的話,就按下一步
完成。申請憑證要求的檔案已經建立完成。 此時去剛剛存檔的地方,把那個文字檔打開, 裡面應該會看到一堆亂碼,待會需要用到這個喔!!
三、向CA申請憑證 在我們的機器上,輸入CA的網址:http://ca機器名稱/CertSrv/,點選「要求憑證」。 輸入http://CA位置/CertSrv/ 點選「要求憑證」
點選「進階憑證要求」。
點選「用 Base-64 編碼的 CMC 或 PKCS #10 檔案來提交憑證要求,或用 Base-64 編碼的 PKCS #7 檔案提交更新要求」
把我們之前產生的那個文字檔貼上來(1) 貼上文字檔路徑
把我們之前產生的那個文字檔貼上來(2) 將剛剛我們在IIS內產生的憑證要求內的文字(C://certreq.txt),貼到這裡
申請完了,接下來就等CA把憑證發給我們。我們再回來這裡下載。
回到CA的首頁:http://ca機器名稱/CertSrv/,點選「檢視擱置中的憑證要求狀態」
可以看到我們剛剛提出的申請,點選「已儲存要求的憑證」。 擱置的要求狀態內,已經有我們剛剛提出的申請
可以看到我們的申請還在擱置中,代表還沒處理好。繼續等吧。 接下來我們必須等CA發行此憑證
四、CA核發憑證 在CA那台機器上,控制台->系統管理工具->憑證授權單位,擱置的要求裡面,多了一個我們剛剛提出的申請。
在要發行的項目上面,按右鍵->所有工作->發行。
剛剛那個項目就已經跑到「已發出的憑證」裡面了 已發出的憑證內,就可以看到我們剛剛發出的憑證
五、下載憑證 在我們自己的機器,回到CA的首頁:http://CA名稱/CertSrv/,點選「檢視擱置中的憑證要求狀態」
一樣點選我們申請的憑證 點選我們之前產生的申請
此時看到的畫面已經變成「憑證已發出」,點選「Base64編碼」,並點選「下載憑證」,將下載一個crv檔,請將這個檔案保存好,如果不見我們又要再跟CA申請一次了。
六、將憑證安裝至IIS的網站上 在我們自己的機器,點選網站->右鍵內容->「網站」,這個時候SSL連接埠還是空白的
點選「目錄安全設定」->「伺服器憑證」
下一步
點選「處理擱置要求及安裝憑證」
選取我們剛剛從CA下載的憑證,下一步 選取我們剛剛下載的憑證
會看到我們之前填寫的內容,下一步 憑證內顯示我們之前輸入的資訊
完成
「SSL連接埠」已經變成443了。 SSL連接埠顯示443 (https)
輸入我們網站的網址,記住,用https的方式來連線喔。 會出現警告視窗(這一部分就先不談了),按「是」 輸入我們自己網站的網址
IE的右下角出現了一個鎖的圖案,代表我們現在已經用SSL的方式連線囉!!成功!!