Iis

當我使用 IIS 生成 SSL 證書時,尤其是在導入操作期間,實際發生了什麼?這是唯一的方法嗎?

  • August 19, 2010

我了解了公鑰/私鑰對的基本概念,但我不知道 IIS 在生成 SSL 密鑰時的內部工作原理是什麼。

有一件事讓我覺得除了 PKI 交換之外還有更多的東西,那就是有像 OpenSSL 這樣的工具可以探勘網路伺服器並公開不同的加密能力。這些能力似乎是基於平台、WebServer 和證書籤名者的某種組合。

我實際上還沒有弄清楚的另一件事是,一旦生成證書,Verisign/Comodo/etc 將發送給我的密鑰內容是什麼。該電子郵件的安全含義是什麼,或者我可以刪除它,因為重要的密鑰需要從 IIS 伺服器導出。

最後,這是獲取網站 SSL 證書以使用 IIS 的控制面板創建密鑰對的唯一方法

對於像 Verisign 這樣的第三方證書頒發機構,它的工作原理是向他們發送證書籤名請求。生成 CSR 的機器也生成了私鑰。當他們簽名時,您取回的文件僅與私鑰一起使用。那封電子郵件並不重要。

Web 伺服器的基本加密平台決定了它可以支持的散列、密鑰長度和功能。OpenSSL 是一個平台,Microsoft 的 PKI 基礎架構驅動 IIS 是另一個平台。

對於 IIS7(在 Windows 2008 上),還有另一種處理證書獲取過程的方法。我將描述它如何為 3rd 方 CA 工作。

  1. 開始 -> 執行 -> MMC
  2. 轉到文件 -> 添加/刪除管理單元
  3. 添加“證書”管理單元
  4. 詢問時,在本地電腦上選擇“電腦帳戶”。
  5. 確定返回主管理器螢幕
  6. 展開證書,然後展開“個人”(如果您已經在 IIS 中擁有 SSL 證書,您可以在此處找到它們)
  7. 右鍵點擊“個人”-> 所有任務-> 高級-> 創建自定義請求
  8. 點擊下一步,然後點擊“在沒有註冊策略的情況下繼續”。
  9. 不要使用模板
  10. 展開詳細資訊,然後點擊屬性
  11. 在正常選項卡上,輸入證書的友好名稱
  12. 在主題選項卡上,您可以在此處輸入您的域名。此欄位的格式對於某些證書頒發機構可能很重要,因此請確保設置正確。
  13. 在 Private Key 選項卡上的 Key Options 下,您可以設置密鑰長度以及密鑰是否可導出。
  14. 完成後,點擊確定。
  15. 然後 Next,它應該生成 CSR。把它保存在某個地方。將其發送給 CA。

要導入證書:

  1. 右鍵點擊個人證書
  2. 選擇屬性 -> 所有任務 -> 導入證書
  3. 瀏覽到從 CA 收到的證書。

引用自:https://serverfault.com/questions/172544