在IIS中部署HTTPS服务

本文涉及的产品
Digicert DV 证书 单域名,20个 3个月
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 在IIS中部署HTTPS服务   在IIS中部署HTTPS服务非常简单,所需要的就是在Web服务器上具有服务器身份验证证书,并将证书绑定在Web站点。如果Web服务器属于活动目录并且活动目录中具有在线的企业证书颁发机构,则可以在配置过程中在线申请并自动安装Web服务器证书,否则你需要离线申请Web服务器证书。
在IIS中部署HTTPS服务

 

在IIS中部署HTTPS服务非常简单,所需要的就是在Web服务器上具有服务器身份验证证书,并将证书绑定在Web站点。如果Web服务器属于活动目录并且活动目录中具有在线的企业证书颁发机构,则可以在配置过程中在线申请并自动安装Web服务器证书,否则你需要离线申请Web服务器证书。

申请Web服务器证书的步骤如下:

在Web服务器上运行管理工具下的Internet信息服务管理控制台,在左面板展开Web站点节点,然后右击需要部署HTTPS服务的网站,在此我右击默认网站,选择属性

默认网站属性对话框,点击目录安全性标签,然后点击服务器证书按钮;

img_fa0aba8240ab75cef67b14ee8627cf84.jpg

欢迎使用Web服务器证书向导页,点击下一步

服务器证书页,选择新建证书,点击下一步;如果已经具有其他的服务器身份验证证书,则可以选择分配现有证书来将现有证书分配给此Web站点;

img_1fa1800cb435fb656b50baa3c1b85a0e.jpg

 

接下来的操作步骤我根据证书申请方式的不同,分别进行介绍:

在线申请证书

延迟或立即请求页,选择立即将证书请求发送到联机证书颁发机构,然后点击下一步

img_5ebd4dda6fca72b83c9bb9607989ceba.jpg

名字和安全性设置页,在名称栏为新证书输入一个容易分辨的名字,然后点击下一步

img_d7981f6e6a9b0e1f841e2fc0e5791eab.jpg

单位信息页,在单位部门栏中分别输入相关信息,然后点击下一步

img_8cdbb88dd0fd07fda237b57cc71fb441.jpg

站点公用名称页,输入Web站点的FQDN,这个名称将被用户用于访问这个站点,如果你输入的FQDN和用户访问所输入的FQDN不一致,那么在通过HTTPS连接此Web站点时会发生错误,在此我输入Web站点的FQDN munich.winsvr.org,然后点击下一步

img_d6dde863000cc0719d34fc70c6f433af.jpg

地理信息页,输入你的相关信息,然后点击下一步

img_8cf48cf161ac27943e52fb998eca9caf.jpg

SSL端口页,输入你需要让客户用于访问此Web站点的HTTPS服务端口,建议你总是使用默认的443,点击下一步

img_2746e4fe871146d1c347f4e13b2673a3.jpg

选择证书颁发机构页,如果你具有多个联机的证书颁发机构,在此可以选择向哪个发起证书申请。在此我接受默认的选择,然后点击下一步

img_3603b9900932d4ca1b835cfc5a3c93fc.jpg

证书请求提交页回顾你的设置,然后点击下一步

img_f9a977384db5853dbb2960eb1842cf41.jpg

最后,在完成Web服务器证书向导页,点击完成。此时,证书向导已经从联机证书颁发机构申请了一个Web服务器证书,你可以在目录安全性标签点击查看证书按钮来查看证书状态。

img_f9ed30418b921fa67ac82a415e1288e7.jpg

离线申请证书

如果活动目录中没有在线的企业证书颁发机构或者Web服务器并不位于活动目录环境中,那么你必须离线申请Web服务器证书。

延迟或立即请求页,选择现在准备证书请求,但稍后发送,然后点击下一步

img_ba837cfbca4c49890d955b6d548f5c78.jpg

名字和安全性设置页,在名称栏为新证书输入一个容易分辨的名字,然后点击下一步

img_d7981f6e6a9b0e1f841e2fc0e5791eab.jpg

单位信息页,在单位部门栏中分别输入相关信息,然后点击下一步

img_8cdbb88dd0fd07fda237b57cc71fb441.jpg

站点公用名称页,输入Web站点的FQDN munich.winsvr.org,然后点击下一步

img_d6dde863000cc0719d34fc70c6f433af.jpg

地理信息页,输入你的相关信息,然后点击下一步

img_8cf48cf161ac27943e52fb998eca9caf.jpg

证书请求文件名页,输入证书申请请求保存到的文件名,在此我接受默认设置c:\certreq.txt,点击下一步

img_8aec711cf7749e2d1aa131f6fa03e345.jpg

请求文件摘要页回顾你的设置,然后点击下一步

img_c3d5dc4cba2128108ef942bc4ad0ed1c.jpg

完成Web服务器证书向导页,点击完成,此时,证书请求信息保存到了c:\certreq.txt文件中。

img_ea0cad25a028983f5dd91f1fb0961a53.jpg

现在我们访问证书颁发机构的Web注册登录页面,如下图所示,点击申请一个证书链接;

img_91a10ab17de79b6ad15083b9cfca650c.jpg

然后点击高级证书申请链接;

img_74a41ecf0b1a969b32d893c014294827.jpg

然后再点击使用 base64编码的CMC 或PKCS #10文件提高一个证书申请,或使用base64编码的PKCS#7文件续订证书申请

img_73e73ac7491bf0470cb24cb84e0f5811.jpg

提交一个证书申请或续订申请页,你可以点击浏览要插入的文件来插入前面保存的证书申请信息文件的内容,不过有时IE的安全设置会阻止这一行为,你可以打开证书申请信息文件,然后将所有内容复制到保存的申请文本框中,如下图所示,然后在证书模板栏选择Web服务器,再点击提交

img_a74da939397df4c4b1ad8f0a9b08e6a7.jpg

在此我的证书颁发机构设置为自动颁发证书,因此此时已经颁发了证书,如果证书颁发机构设置为手动颁发证书,那么你还需要在证书颁发机构管理控制台中手动颁发证书。点击下载证书链接,然后将证书保存在本地目录中。

img_5b34b36d928b051e27c78bbb6767f08c.jpg

 

再次回到Internet信息服务管理控制台,右击默认网站,选择属性;在默认网站属性对话框,点击目录安全性标签,然后点击服务器证书按钮;

欢迎使用Web服务器证书向导页,点击下一步

挂起的证书请求页,选择处理挂起的请求并安装证书,点击下一步

img_2a0f1a8f95261ee4e22c275ea2a06537.jpg

处理挂起的请求页,点击浏览选择刚才保存的证书文件,点击下一步

img_28a2db78dbd83563bad00f11249897ff.jpg

SSL端口页,接受默认的443,点击下一步

img_2746e4fe871146d1c347f4e13b2673a3.jpg

证书摘要页回顾你的设置,然后点击下一步

img_71c4cb82014ba91c18c1be8ce85e1fe1.jpg

完成Web服务器证书向导页,点击完成。此时,证书已经安装完毕,另外在离线申请Web服务器证书时需要特别注意:你必须将颁发证书的证书颁发机构的CA证书导入到本地计算机所信任的根证书颁发结构中,否则此证书无法使用。在此由于我已经导入,所以不再进行这个操作。

配置Web站点强制使用HTTPS服务

当Web站点绑定服务器身份验证证书之后,已经可以通过HTTPS服务访问Web站点了。只是此时还允许通过未加密的HTTP服务访问Web站点,如果需要强制Web站点使用HTTPS服务,则进行以下配置:

在网站属性的目录安全性标签中点击安全通讯框架中的编辑按钮;

img_495119e8cbd1d67b00e8d285770fb766.jpg

在弹出的安全通信对话框上,勾选要求安全通道(SSL),此时将强制只能使用HTTPS服务访问此Web站点;默认加密强度只有40位,如果你需要更高的加密强度则勾选要求128位加密,不过这也要求客户端浏览器支持128位加密;

默认情况下忽略客户端证书,这允许用户不必提供用户证书就可以通过HTTPS连接到此Web站点,如果要让用户提供证书,请使用接受客户证书要求客户端证书,其中后者要求客户必须具有用户证书才能通过HTTPS连接到此Web站点。

另外你还可以启用客户端证书映射功能,它可以将用户证书映射到活动目录中的用户,从而根据用户访问网站时提供的证书自动识别用户。

在此我仅强制用户只能使用HTTPS来访问此Web站点,因此只是勾选要求安全通道(SSL)要求128位加密,然后点击两次确定回到Internet信息服务管理控制台。

img_45703243a058a02568a4ac7868afd1f4.jpg

我们首先通过HTTP来访问此Web站点试试,访问失败,提示要求必须通过安全通道查看,

img_4ef886f70a6b77091ada73e1b37da143.jpg

于是使用HTTPS来进行访问,访问成功,如下图所示,右下角的小锁标志代表是通过HTTPS进行的访问,将鼠标移动到它上面,可以看到现在的加密强度为128位。

img_325036cc38defb93538d100f4516f1e3.jpg 


目录
相关文章
|
2月前
|
监控 网络安全 调度
Quartz.Net整合NetCore3.1,部署到IIS服务器上后台定时Job不被调度的解决方案
解决Quartz.NET在.NET Core 3.1应用中部署到IIS服务器上不被调度的问题,通常需要综合考虑应用配置、IIS设置、日志分析等多个方面。采用上述策略,结合细致的测试和监控,可以有效地提高定时任务的稳定性和可靠性。在实施任何更改后,务必进行充分的测试,以验证问题是否得到解决,并监控生产环境的表现,确保长期稳定性。
103 1
|
4月前
|
C++
【Azure云服务 Cloud Service】如何在部署云服务Cloud Service时候通过启动任务Start Task来配置IIS (如开启ARR)
【Azure云服务 Cloud Service】如何在部署云服务Cloud Service时候通过启动任务Start Task来配置IIS (如开启ARR)
|
4月前
|
开发框架 .NET API
在IIS上部署ASP.NET Core Web API和Blazor Wasm详细教程
在IIS上部署ASP.NET Core Web API和Blazor Wasm详细教程
205 3
|
5月前
|
Java Spring
spring cloud gateway在使用 zookeeper 注册中心时,配置https 进行服务转发
spring cloud gateway在使用 zookeeper 注册中心时,配置https 进行服务转发
127 3
|
5月前
|
文字识别 前端开发 API
印刷文字识别操作报错合集之通过HTTPS连接到OCR服务的API时报错,该如何处理
在使用印刷文字识别(OCR)服务时,可能会遇到各种错误。例如:1.Java异常、2.配置文件错误、3.服务未开通、4.HTTP错误码、5.权限问题(403 Forbidden)、6.调用拒绝(Refused)、7.智能纠错问题、8.图片质量或格式问题,以下是一些常见错误及其可能的原因和解决方案的合集。
|
5月前
|
弹性计算 持续交付 Docker
阿里云云效产品使用合集之如何部署到阿里云服务器上的 Windows Server 上的 IIS
云效作为一款全面覆盖研发全生命周期管理的云端效能平台,致力于帮助企业实现高效协同、敏捷研发和持续交付。本合集收集整理了用户在使用云效过程中遇到的常见问题,问题涉及项目创建与管理、需求规划与迭代、代码托管与版本控制、自动化测试、持续集成与发布等方面。
若依修改,http和https的两种写法,部署成功的两种写法
若依修改,http和https的两种写法,部署成功的两种写法
|
5月前
|
前端开发 JavaScript 应用服务中间件
windows server + iis 部署若伊前端vue项目
5,配置url重写规则(重写后端请求) 注:如果没有Application Request Routing Cachefourcloudbdueclaim和URL重写,则是第二部的那两个插件没装上 打开iis,点击计算机->点击Application Request Routing Cache -> 打开功能
294 0
|
6月前
|
应用服务中间件 网络安全 数据安全/隐私保护
SSL证书在IIS上部署使用
该文介绍了如何在IIS上部署SSL证书以实现HTTPS访问。首先建议使用nginx,但若需使用IIS,需有SSL证书(fullchain.pem和privkey.pem)并熟悉IIS操作。文中提供了两种证书转换方法:已有openssl,使用命令`openssl pkcs12 -export`生成.pfx文件;无openssl,通过Python脚本(pyOpenSSL v23.2.0)转换。转换后的.pfx文件导入Windows,选择“本地用户”并输入密码。最后在IIS中绑定证书,测试https访问应能正常工作。
338 0
|
7月前
|
缓存 安全 应用服务中间件
蓝易云 - Nginx的HTTPS部署与安全性能优化教程
以上就是在Nginx上部署HTTPS并进行安全性能优化的基本步骤。需要注意的是,这些步骤可能会根据您的具体需求和环境有所不同。
61 0