SSL证书在IIS上部署使用-阿里云开发者社区

SSL证书在IIS上部署使用

2024-06-06 284

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

实时计算 Flink 版，5000CU*H 3个月

检索分析服务 Elasticsearch 版，2核4GB开发者规格 1个月

实时数仓Hologres，5000CU*H 100GB 3个月

简介： 该文介绍了如何在IIS上部署SSL证书以实现HTTPS访问。首先建议使用nginx，但若需使用IIS，需有SSL证书（fullchain.pem和privkey.pem）并熟悉IIS操作。文中提供了两种证书转换方法：已有openssl，使用命令`openssl pkcs12 -export`生成.pfx文件；无openssl，通过Python脚本（pyOpenSSL v23.2.0）转换。转换后的.pfx文件导入Windows，选择“本地用户”并输入密码。最后在IIS中绑定证书，测试https访问应能正常工作。

背景介绍

我的需求是在IIS上部署SSL证书，然后可以 https://example.com 正常访问

如果您不是迫不得已，建议使用nginx等web服务器已获得顺畅的https服务

nginx SSL 证书配置如下
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    ssl_certificate         /etc/nginx/cert/fullchain.pem;
    ssl_certificate_key     /etc/nginx/cert/privkey.key;

环境介绍以及依赖版本介绍

你已经通过其他途径申请到了 example.com 的SSL证书，证书包含两个文件 fullchain.pem pem证书文件 privkey.pem pem私钥文件
windows服务器(我的是windows10)，已经安装IIS
这里假设您已经熟练操作IIS

选中IIS中的网站，在右侧Bindings...中添加 https://example.com , 然后在下面选中您导入的证书接口

您导入的证书接口 此时还不可用，本文的目的就是导入证书，然后在IIS中的证书选择中可以选择到导入的证书。
您已经在您的域名管理的DNS管理中正确添加了DNS解析记录

操作方法

方案1

如果您的电脑已经安装 openssl , 则直接转换证书即可

# 测试您的电脑是否安装openssl
openssl help

Standard commands
asn1parse         ca                ciphers           cms
crl               crl2pkcs7         dgst              dhparam
dsa               dsaparam          ec                ecparam
enc               engine            errstr            gendsa
genpkey           genrsa            help              list
nseq              ocsp              passwd            pkcs12
pkcs7             pkcs8             pkey              pkeyparam
pkeyutl           prime             rand              rehash
req               rsa               rsautl            s_client
s_server          s_time            sess_id           smime
speed             spkac             srp               storeutl
ts                verify            version           x509

# 直接转换证书

openssl pkcs12 -export -out example.com.pfx -inkey privkey.pem -in fullchain.pem

# 需要输入密码 xxxxxx

文件 example.com.pfx 即使转换的 windowws 的证书，可以导入IIS中

方案2

如果您的电脑未安装openssl，则可以使用python代码进行证书转换

代码如下


#!/usr/bin/env python
# -*- coding: utf-8 -*-
# @Time    : 2024-03-25 15:26
# @Author  : Jack
# @File    : 02.convert_ssl_pfx

"""
02.convert_ssl_pfx
pip install pyOpenSSL==23.2.0
"""
from OpenSSL import crypto


def main(full_chain_path, key_path, password, pfx_result):
    with open(full_chain_path, 'rb') as f:
        full_chain_data = f.read()
    with open(key_path, 'rb') as f:
        key_data = f.read()

    cert = crypto.load_certificate(crypto.FILETYPE_PEM, full_chain_data)
    key = crypto.load_privatekey(crypto.FILETYPE_PEM, key_data)

    pkcs12 = crypto.PKCS12()
    if cert and key:
        pkcs12.set_certificate(cert)
        pkcs12.set_privatekey(key)
        with open(pfx_result, 'wb') as f:
            f.write(pkcs12.export(passphrase=password))


if __name__ == '__main__':
    main(r'fullchain.pem', r'privkey.pem',
         b'xxxxxx', r'result.pfx')

特别注意事项

pyOpenSSL==23.2.0 , 23.2.0之后的版本已经移除 PKCS12
Removed OpenSSL.crypto.loads_pkcs7 and OpenSSL.crypto.loads_pkcs12 which had been deprecated for 3 years.
参见

导入证书,使IIS可以选择使用

把生成的 example.com.pfx 或 result.pfx 复制到windows机器上, 双击文件，选择本地用户,下一步,下一步,下一步...看到导入成功提示即可。
除 本地用户 选择外, 其他选项默认即可,需要密码的话,请输入上面配置的密码xxxxxx。

此时在进入IIS中选择证书的话,您就可以选择到您自己的证书了

测试

浏览您的网站 https://example.com 发现可以正常访问。

SSL证书在IIS上部署使用

背景介绍

环境介绍以及依赖版本介绍

操作方法

方案1

方案2

导入证书,使IIS可以选择使用

此时在进入IIS中选择证书的话,您就可以选择到您自己的证书了

测试

大数据与机器学习

热门文章

最新文章

相关电子书

相关实验场景