Iis
當我使用 IIS 生成 SSL 證書時,尤其是在導入操作期間,實際發生了什麼?這是唯一的方法嗎?
我了解了公鑰/私鑰對的基本概念,但我不知道 IIS 在生成 SSL 密鑰時的內部工作原理是什麼。
有一件事讓我覺得除了 PKI 交換之外還有更多的東西,那就是有像 OpenSSL 這樣的工具可以探勘網路伺服器並公開不同的加密能力。這些能力似乎是基於平台、WebServer 和證書籤名者的某種組合。
我實際上還沒有弄清楚的另一件事是,一旦生成證書,Verisign/Comodo/etc 將發送給我的密鑰內容是什麼。該電子郵件的安全含義是什麼,或者我可以刪除它,因為重要的密鑰需要從 IIS 伺服器導出。
最後,這是獲取網站 SSL 證書以使用 IIS 的控制面板創建密鑰對的唯一方法
對於像 Verisign 這樣的第三方證書頒發機構,它的工作原理是向他們發送證書籤名請求。生成 CSR 的機器也生成了私鑰。當他們簽名時,您取回的文件僅與私鑰一起使用。那封電子郵件並不重要。
Web 伺服器的基本加密平台決定了它可以支持的散列、密鑰長度和功能。OpenSSL 是一個平台,Microsoft 的 PKI 基礎架構驅動 IIS 是另一個平台。
對於 IIS7(在 Windows 2008 上),還有另一種處理證書獲取過程的方法。我將描述它如何為 3rd 方 CA 工作。
- 開始 -> 執行 -> MMC
- 轉到文件 -> 添加/刪除管理單元
- 添加“證書”管理單元
- 詢問時,在本地電腦上選擇“電腦帳戶”。
- 確定返回主管理器螢幕
- 展開證書,然後展開“個人”(如果您已經在 IIS 中擁有 SSL 證書,您可以在此處找到它們)
- 右鍵點擊“個人”-> 所有任務-> 高級-> 創建自定義請求
- 點擊下一步,然後點擊“在沒有註冊策略的情況下繼續”。
- 不要使用模板
- 展開詳細資訊,然後點擊屬性
- 在正常選項卡上,輸入證書的友好名稱
- 在主題選項卡上,您可以在此處輸入您的域名。此欄位的格式對於某些證書頒發機構可能很重要,因此請確保設置正確。
- 在 Private Key 選項卡上的 Key Options 下,您可以設置密鑰長度以及密鑰是否可導出。
- 完成後,點擊確定。
- 然後 Next,它應該生成 CSR。把它保存在某個地方。將其發送給 CA。
要導入證書:
- 右鍵點擊個人證書
- 選擇屬性 -> 所有任務 -> 導入證書
- 瀏覽到從 CA 收到的證書。