本教程将指导您安装SSL证书到Internet Information Services(IIS)服务器。
当CA签发SSL证书后,您可以从火山引擎证书中心控制台下载SSL证书。获得SSL证书后,您需要将SSL证书安装到您的Web服务器。这样做可以使您的Web服务支持HTTPS。
说明
本教程适用于通过证书中心申请证书的场景。如果您从第三方平台获得SSL证书,请参考平台官方文档安装和使用证书。
前提条件
您已经通过证书中心提交了SSL证书请求,并且SSL证书已经签发。
如果您还没有提交SSL证书请求,请参见快速入门。您的Web服务器的443端口是开放的。
环境说明
本教程以以下环境为例介绍相关的操作步骤:
服务器:
- 操作系统:Windows Server 2012 R2
- Web服务:Internet Information Services 8
说明
服务器环境不同,可能导致实际配置步骤与本文描述有差异。这种情况下,您需以实际环境为准,本文只用作参考。
示例域名:
ssl.example.com
下图展示了没有安装SSL证书时,通过HTTP协议访问域名的结果。可以看到浏览器提示连接不安全。
教程概览
本教程将指导您导入证书到IIS服务器,并将证书绑定到您的网站。包含以下步骤:
步骤1:准备PFX格式的SSL证书
IIS服务器允许安装PFX格式的证书。PFX格式的证书文件包含证书和私钥。只有当您将证书和私钥都托管在证书中心时,您才可以从证书中心下载PFX格式的证书文件。具体包含以下情形:
- 您的证书请求使用了证书中心自动生成的CSR
- 您的证书请求使用了手动输入的CSR,并且您已提供对应的私钥
满足上述任一情形时,当您的证书签发后,您可以直接下载PFX格式证书。如果上述情形都不满足,则当您的证书签发后,您可以下载PEM格式证书,然后将证书转换为PFX格式。
直接下载PFX格式证书
SSL证书签发后,您可以从证书中心控制台下载证书。您需要选择对应于 IIS 的下载选项(如下图所示)。具体操作,请参见下载SSL证书。
下载成功后,您会得到一个压缩包。压缩包的名称为<CommonName>_iis。其中,<CommonName>表示证书颁发给的域名。解压缩后,您会获得以下文件:
<CommonName>.pfx:证书文件,包含证书和私钥。keystorePass.txt:证书密码文件,包含证书密码。说明
- 您每次下载证书时,系统都会随机生成一个证书密码。证书密码保存在
keystorePass.txt。证书密码文件与证书文件一一对应。 - 您无法指定证书密码。
- 您每次下载证书时,系统都会随机生成一个证书密码。证书密码保存在
下载PEM格式证书并转换为PFX格式
SSL证书签发后,您可以从证书中心控制台下载证书。您需要选择对应于 其他 的下载选项。关于下载证书的具体操作,请参见下载证书。
下载成功后,您会得到一个压缩包。压缩包的名称为<CommonName>_other。其中,<CommonName>表示证书颁发给的域名。解压缩后,您会获得以下文件:
<CommonName>.crt:证书文件。<CommonName>.pem:证书文件(PEM编码)。
接下来,您可以使用一个证书格式转换工具将证书文件和(由您保管的)私钥文件,转换成PFX格式的证书文件。
步骤2:上传证书到IIS服务器
上传本地文件到远程服务器的方式有很多。本教程以使用远程桌面连接为例,介绍如何将证书从本地Windows计算机上传到IIS服务器。
在本地计算机,按 Win+R 键。
在 运行 窗口,输入 mstsc,并单击 确定。
在 远程桌面连接 对话框,单击 显示选项。
完成以下连接设置,然后单击 连接:
常规 页签:输入要连接的IIS服务器的公网IP地址及用户名。
本地资源 页签:单击 详细信息,然后在 驱动器 菜单下,选中证书文件所在磁盘,并单击 确定。
本示例中,证书文件位于C盘,所以选中 本地磁盘(C:)。
在 是否信任此远程连接 对话框,单击 连接。
在 输入你的凭据 对话框,输入服务器用户的密码,并单击 确定。
在否信任服务器证书的对话框,单击 连接。
您将连接到远程服务器,并可以看到远程服务器的桌面。在远程桌面上,单击底部菜单栏的文件夹图标。
您将会看到 设备和驱动器 列表中包含之前选择的本地磁盘。
打开本地磁盘,将证书文件复制到远程桌面。
步骤3:在MMC上导入证书
在远程桌面上,打开Windows服务器控制台MMC(Microsoft Management Console)。
说明
如果您不清楚如何打开MMC,请尝试搜索
mmc。
添加证书管理单元。
在控制台的顶部菜单栏,选择 文件 > 添加/删除管理单元。
在 添加或删除管理单元 对话框,从左侧 可用的管理单元 列表中单击 证书,然后单击 添加。
在 证书管理单元 对话框,选择 计算机账户,并单击 下一步。
在 选择计算机 对话框,选择 本地计算机(运行此控制台的计算机),并单击 完成。
在 添加或删除管理单元 对话框,单击 确定。
在 控制台根节点 目录,展开 证书(本地计算机),然后在 个人 上单击鼠标右键,并选择 所有任务 > 导入。
根据对话框提示,完成证书导入向导。
欢迎使用证书导入向导:单击 下一步。
要导入的文件:单击 浏览,选择PFX格式证书,单击 下一步。
说明
您必须先将文件类型设置为 个人信息交换(.pfx;.p12),然后才能选择PFX格式证书。
私钥保护:在 密码 文本框输入证书密码,并单击 下一步。
说明
您可以从下载的
keystorePass.txt文件中获取证书密码。如果您自己生成了PFX证书,请使用您在生成证书时设置的密码。
证书存储:选中 根据证书类型,自动选择证书存储,并单击 下一步。
正在完成证书导入向导:单击 完成。
收到 导入成功 的提示后,单击 确定。
步骤4:在IIS上绑定证书
打开Internet Information Services(IIS)管理器。
说明
如果您不清楚如何打开IIS,请尝试搜索
iis。展开左侧的 起始页,定位到要绑定证书的网站,单击网站名。
在右侧的 操作 导航栏,单击 绑定。
在 网站绑定 对话框,单击 添加。
在 添加网站绑定 对话框,完成网站相关配置,然后单击 确定。
配置说明如下:类型:选择 https。
IP地址:选择服务器的IP地址。
端口:默认为 443,无需修改。
主机名:填写网站域名。
SSL证书:选择已导入的证书。
说明
如果您已导入多个SSL证书,可以单击 选择,然后在 选择证书 对话框选择一个证书(可以通过域名搜索证书)。
完成配置后,您可以在 网站绑定 列表看到已添加的网站绑定。
在 网站绑定 对话框,单击 关闭。
步骤5:验证证书是否配置成功
注意
进行验证操作前,请确保服务器已开放443端口。如果您的服务器因安全组、防火墙等策略,未允许443端口访问,请先修改对应策略。
成功建立连接后,浏览器的地址栏左侧会出现一个图标,表示连接是安全的。(浏览器及浏览器的版本不同,图标有可能存在差异。以您实际看到的图标为准。)您可以单击对应图标,查看连接详情。连接详情中包含服务器证书信息。
(可选)HTTP请求强制跳转为HTTPS请求
网站开启HTTPS通信后,您还可以通过URL重写工具,使终端用户的HTTP请求强制跳转为HTTPS请求。这样做能够确保终端用户总是通过HTTPS协议访问您的Web服务。
在IIS服务器,下载并安装URL重写工具。
您可以将URL重写工具安装包下载到本地计算机,然后通过远程桌面连接,将安装包上传到服务器。
以下图片展示了URL重写工具的安装过程。
安装URL重写工具后,您就可以在IIS面板中看到 URL重写 按钮。
添加URL重写规则。
在IIS面板,双击 URL 重写。
在右侧操作栏,单击 添加规则。
在 添加规则 对话框,单击 入站规则 区域的 空白规则,然后单击 确定。
编辑入站规则。
为新增的入站规则设置一个名称。例如,
redirect http to https。按如下方式配置 匹配URL:
- 请求的URL:与模式匹配
- 使用:正则表达式
- 模式:
(.*)
按如下方式添加 条件:
- 条件输入:
{HTTPS} - 检查输入字符串是否:与模式匹配
- 模式:
^OFF$
- 条件输入:
按如下方式配置 操作:
- 操作类型:重定向
- 重定向URL:
https://{HTTP_HOST}{REQUEST_URI} - 附加查询字符串:取消选中
- 重定向类型:永久(301)
在右侧操作栏,单击 应用。
打开本地计算机上的浏览器,使用HTTP协议访问域名:
http://ssl.example.com。如果协议被自动被转换为HTTPS,表示HTTP请求已强制跳转为HTTPS请求。