當我使用 IIS 生成 SSL 證書時，尤其是在導入操作期間，實際發生了什麼？這是唯一的方法嗎？

我了解了公鑰/私鑰對的基本概念，但我不知道 IIS 在生成 SSL 密鑰時的內部工作原理是什麼。

有一件事讓我覺得除了 PKI 交換之外還有更多的東西，那就是有像 OpenSSL 這樣的工具可以探勘網路伺服器並公開不同的加密能力。這些能力似乎是基於平台、WebServer 和證書籤名者的某種組合。

我實際上還沒有弄清楚的另一件事是，一旦生成證書，Verisign/Comodo/etc 將發送給我的密鑰內容是什麼。該電子郵件的安全含義是什麼，或者我可以刪除它，因為重要的密鑰需要從 IIS 伺服器導出。

最後，這是獲取網站 SSL 證書以使用 IIS 的控制面板創建密鑰對的唯一方法

對於像 Verisign 這樣的第三方證書頒發機構，它的工作原理是向他們發送證書籤名請求。生成 CSR 的機器也生成了私鑰。當他們簽名時，您取回的文件僅與私鑰一起使用。那封電子郵件並不重要。

Web 伺服器的基本加密平台決定了它可以支持的散列、密鑰長度和功能。OpenSSL 是一個平台，Microsoft 的 PKI 基礎架構驅動 IIS 是另一個平台。

對於 IIS7（在 Windows 2008 上），還有另一種處理證書獲取過程的方法。我將描述它如何為 3rd 方 CA 工作。

1. 開始 -> 執行 -> MMC
2. 轉到文件 -> 添加/刪除管理單元
3. 添加“證書”管理單元
4. 詢問時，在本地電腦上選擇“電腦帳戶”。
5. 確定返回主管理器螢幕
6. 展開證書，然後展開“個人”（如果您已經在 IIS 中擁有 SSL 證書，您可以在此處找到它們）
7. 右鍵點擊“個人”-> 所有任務-> 高級-> 創建自定義請求
8. 點擊下一步，然後點擊“在沒有註冊策略的情況下繼續”。
9. 不要使用模板
10. 展開詳細資訊，然後點擊屬性
11. 在正常選項卡上，輸入證書的友好名稱
12. 在主題選項卡上，您可以在此處輸入您的域名。此欄位的格式對於某些證書頒發機構可能很重要，因此請確保設置正確。
13. 在 Private Key 選項卡上的 Key Options 下，您可以設置密鑰長度以及密鑰是否可導出。
14. 完成後，點擊確定。
15. 然後 Next，它應該生成 CSR。把它保存在某個地方。將其發送給 CA。

要導入證書：

1. 右鍵點擊個人證書
2. 選擇屬性 -> 所有任務 -> 導入證書
3. 瀏覽到從 CA 收到的證書。

引用自：https://serverfault.com/questions/172544