如何在web伺服器上設置ssl

① 怎樣在本地安裝證書

安裝到Web伺服器

表示在提供Web服務的伺服器上配置SSL證書，並開啟HTTPS監聽，實現客戶端與服務端之間的HTTPS通信。

不同類型的Web伺服器支持配置的證書格式不同。為了便於您安裝證書，數字證書管理服務提供了適用於各種主流Web伺服器（例如，Nginx、Spring Boot、Apache Tomcat、Apache（httpd）、Internet Information Services）的證書壓縮包，供您直接下載使用（無需手動轉換證書格式）。

• 通過數字證書管理服務控制台下載已簽發的證書到本地。

  您可以根據Web伺服器的類型，下載對應格式的證書文件。

• 將下載的證書文件上傳到Web伺服器，並修改伺服器的相關配置，開啟HTTPS監聽。

  不同Web伺服器需要修改的配置不同，數字證書管理服務提供了主流Web伺服器安裝SSL證書的方法介紹。

② WEB伺服器如何配置SSL

隨著Windows Server 2003操作系統的推出，Windows平台的安全性和易用性大大增強，然而，在默認情況下，IIS使用HTTP協議以明文形式傳輸數據，沒有採取任何加密措施，用戶的重要數據很容易被竊取，如何才能保護區域網中的這些重要數據呢?下面筆者就介紹一下如何使用SSL增強IIS伺服器的通信安全。

一、什麼是SSL

SSL（Security Socket Layer）全稱是加密套接字協議層，它位於HTTP協議層和TCP協議層之間，用於建立用戶與伺服器之間的加密通信，確保所傳遞信息的安全性，同時SSL安全機制是依靠數字證書來實現的。

SSL基於公用密鑰和私人密鑰，用戶使用公用密鑰來加密數據，但解密數據必須使用相應的私人密鑰。使用SSL安全機制的通信過程如下：用戶與IIS伺服器建立連接後，伺服器會把數字證書與公用密鑰發送給用戶，用戶端生成會話密鑰，並用公共密鑰對會話密鑰進行加密，然後傳遞給伺服器，伺服器端用私人密鑰進行解密，這樣，用戶端和伺服器端就建立了一條安全通道，只有SSL允許的用戶才能與IIS伺服器進行通信。

提示：SSL網站不同於一般的Web站點，它使用的是「HTTPS」協議，而不是普通的「HTTP」協議。因此它的URL（統一資源定位器）格式為「https://網站域名」。

二、安裝證書服務

要想使用SSL安全機制功能，首先必須為Windows Server 2003系統安裝證書服務。

進入「控制面板」，運行「添加或刪除程序」，接著進入「Windows組件向導」對話框，勾選「證書服務」選項，點擊「下一步」按鈕，接著選擇CA類型。這里選擇「獨立根CA」，點擊「下一步」按鈕，為自己的CA伺服器取個名字，設置證書的有效期限，最後指定證書資料庫和證書資料庫日誌的位置，就可完成證書服務的安裝。

三、配置SSL網站

1.創建請求證書文件

完成了證書服務的安裝後，就可以為要使用SSL安全機制的網站創建請求證書文件。點擊「控制面板→管理工具」，運行「Internet 信息服務-IIS 管理器」，在管理器窗口中展開「網站」目錄，右鍵點擊要使用SSL的網站，選擇「屬性」選項，在網站屬性對話框中切換到「目錄安全性」標簽頁（圖1），然後點擊「伺服器證書」按鈕。在「IIS證書向導」對話框中選擇「新建證書」，點擊「下一步」按鈕，選擇「現在准備證書請求，但稍後發送」。在「名稱」輸入框中為該證書取名，然後在「位長」下拉列表中選擇密鑰的位長。接著設置證書的單位、部門、站點公用名稱和地理信息，最後指定請求證書文件的保存位置。這樣就完成了請求證書文件的創建。

2.申請伺服器證書

完成上述設置後，還要把創建的請求證書文件提交給證書伺服器。在伺服器端的IE瀏覽器地址欄中輸入「http://localhost/CertSrv/default.asp」。在「Microsoft 證書服務」歡迎窗口中點擊「申請一個證書」鏈接，接下來在證書申請類型中點擊「高級證書申請」鏈接，然後在高級證書申請窗口中點擊「使用BASE64編碼的CMC或PKCS#10....」鏈接，再打開剛剛生成的「certreq.txt」文件，將其中的內容復制到「保存的申請」輸入框後點擊「提交」按鈕即可。

3.頒發伺服器證書

點擊「控制面板→管理工具」，運行「證書頒發機構」。在主窗口中展開樹狀目錄，點擊「掛起的申請」項（圖2），找到剛才申請的證書，然後右鍵點擊該項，選擇「所有任務→頒發」。頒發成功後，點擊樹狀目錄中的「頒發的證書」項，雙擊剛才頒發的證書，在彈出的「證書」對話框的「詳細信息」標簽頁中，點擊「復制到文件」按鈕，彈出證書導出向導，連續點擊「下一步」按鈕，並在「要導出的文件」對話框中指定文件名，最後點擊「完成」。

4.安裝伺服器證書

重新進入IIS管理器的「目錄安全性」標簽頁，點擊「伺服器證書」按鈕，彈出「掛起的證書請求」對話框，選擇「處理掛起的請求並安裝證書」選項，點擊「下一步」按鈕，指定剛才導出的伺服器證書文件的位置，接著設置SSL埠，使用默認的「443」即可，最後點擊「完成」按鈕。

在「目錄安全性」標簽頁，點擊安全通信欄的「編輯」按鈕，勾選「要求安全通道（SSL）」選項，最後點擊「確定」按鈕即可啟用SSL。

在完成了對SSL網站的配置後，用戶只要在IE瀏覽器中輸入「https://網站域名」就能訪問該網站。
http://wenku..com/link?url=R-_