SSL部署文档

服务器SSL证书安装配置指南(IIS7)

一、制作中级CA证书

1.    获取中级CA证书

从邮件中获取中级CA证书: 将证书签发邮件中的“以下是您的中级CA证书”部分里的CA证书的内容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘贴到记事本等文本编辑器中,保存为intermediate1.cer。

注:如您收到的证书签发邮件中,中级CA证书内容有两段,请分别把两个CA证书保存为intermediate1.cer和intermediate2.cer分别进行导入,如只有一段中级CA证书,只生成intermediate1.cer导入即可(中级CA证书数量已邮件为准)。

2.    安装中级CA证书

点击“开始”=>“运行”=>“mmc”

打开控制台,点击“文件”=>“添加/删除管理单元”

找到“证书”点击“添加”

选择“计算机账户”,点击“下一步”

点击“完成”

点击“证书(本地计算机)”,选择“中级证书颁发机构”,“证书”

在空白处点击右键,选择“所有任务”=>“导入”。

通过证书向导导入中级CA证书intermediate1.cer,

选择“将所有的证书放入下列存储”,点击“下一步”,点击“完成”。

二、进行证书格式转换

1,首先准备好制作CSR产生的server.key私钥文件。如您手上没有私钥.key文件,可以联系生成CSR文件人员或联系天威诚信商务人员咨询。

2,将证书签发邮件中的从-----BEGIN到 END-----结束的服务器证书所有内容粘贴到记事本等文本编辑器中。

在服务器证书代码文本结尾,回车换行不留空行,并粘贴中级CA证书代码从-----BEGIN到 END-----结束,每串证书代码之间均需要使用回车换行不留空行,修改文件扩展名,保存包含多段证书代码的文本文件为server.pem文件。

3,使用天威诚信CIM工具 下载地址: https://cim.itrus.cn

点击工具箱,点击证书格式转换,源文件选择pem,目标文件选择pfx,在源证书文件中录入server.pem,源私钥文件中录入server.key文件。(源私钥密码处为空)

4,设置“目标证书别名”为默认的“server”,并在“目标证书密码”中自定义设置PFX文件密码。

5,点击证书格式转换后,点击保存PFX文件即可下载转换后的文件。

三、安装服务器证书

1.导入服务器证书

点击“导入” 并勾选“允许导出此证书”,录入pfx文件路径和密码点击确定。

2. 配置服务器证书

选中需要配置证书的站点,并选择右侧“编辑站点”下的“绑定”

选择“添加” 并设定:

类型:https

端口:443

指派站点证书,点击”确定” ,服务器证书配置完成!

3.优化配置

为了满足苹果ATS要求和对服务器端加密套件的优化配置,我们制作了一键式优化加密套件工具 ItrusIIS.exe,可以通过一键式操作为IIS服务加密套件设置推荐配置。下载地址: http://www.itrus.cn/soft/ITrusIIS.exe

双击执行“ItrusIIS.exe”,选择“最佳配置”后点击“应用”。

服务器重启之后即可生效。

四、 服务器证书的备份及恢复

在您成功的安装和配置了服务器证书之后,请务必依据下面的操作流程,备份好您的服务器证书,以防证书丢失给您带来不便。

1. 服务器证书的备份

进入IIS管理控制台,并选择“服务器证书”

选中您的服务器证书项目,并右键选择“导出”

输入导出的密钥文件文件名、存储路径:,并为导出的pfx格式证书备份文件设置保护密码

保存好备份的pfx文件即可完成备份操作。

2. 服务器证书的恢复

参考第二部分"安装服务器证书”部分中,中级CA安装配置部分将两张中级CA证书安装到服务器中。

然后进入IIS管理控制台的服务器证书管理页面,右键选择“导入”

选择您的pfx格式证书备份文件,并输入密钥文件保护密码。

如果选中“标志此密钥为可导出”则您稍后可以将私钥从该服务器导出。不选中此选项时,私钥将无法从当前服务器中导出。建议您将证书备份文件保存好,不勾选此选项,这将更有利于服务器证书密钥的安全。