IIS服务器证书部署

教程 作者:TrustAsia 2021-05-11 17:51:05 阅读:2472

环境说明

  • 建议使用IIS8(支持SNI),一个站点一个端口允许同时部署多张证书。

  • Win7,server 2008 r2 ,win8 ,win2012系统上关于加密套件的补丁https://technet.microsoft.com/zh-CN/library/security/3042058.aspx?f=255&MSPPError=-2147217396。

  • 对于IIS6,IIS7,IIS8,操作具体通用性。

获取证书

这里需要pfx/p12(pkcs12)格式的证书。

  • MPKI方式:

1.     登录https://mpki.trustasia.com。

2.     证书下载pkcs12格式(得到一个pfx后缀的证书文件)。此pfx文件密码就是证书密码。

  • 非MPKI方式:

1.     CSR对应的key文件

2.     证书邮件里提取代码,里面可能有多段代码,把第一段-----BEGIN CERTIFICATE-----到-----END CERTIFICATE-----(包括开头和结尾,不用换行)复制到txt文本文件里,然后保存为cer后缀,得到证书文件。注意证书链部分不使用。

3.     使用工具https://myssl.com/cert_convert.html,进行格式转换,选择pem转pkcs12.

导入证书

IIS使用的是系统证书库中的证书。所以证书是要导入系统的。导入到mmc中:

1.  运行mmc。 

2.     使用计算机账户添加证书单元。主要是计算机账户,其他保持默认设置即可。

3.     在“个人”下面的证书中导入pfx文件。

4.     所有任务—>导入证书。

5.     调整证书链。将中级证书剪切到 “中级证书颁发机构”下的“证书”中。

SSL配置

到IIS中绑定导入的证书。 

优化SSL

运行工具:http://www.trustasia.com/down/ssltools.zip


  • 协议部分:只勾选TLS1.0 TLS1.1 TLS1.2

  • 套件部分:去掉带DHE,RC4,NULL,MD5(ECDHE的保留)

  • 然后重启系统。

  

http跳转https(建议非强制)

安装rewrite模块,下载模块:

https://www.iis.net/downloads/microsoft/url-rewrite 


检测

https的端口没做限制后(防火墙放行,端口转发正常),到https://myssl.com进行检测。

评级达到B以上,在安全和兼容方面是较不错的。


延伸阅读
  • 网最低价SSL证书iTrustSSL的三大核心竞争力

    当前网络安全形势日益严峻,全球网站HTTPS加密覆盖率已超过90%。传统SSL证书动辄上千元的年费让中小企业望而却步,而免费证书又存在兼容性差、有效期短等痛点。iTrustSSL通过技术创新和规模化运

  • acme.sh让SSL证书管理自动化,从申请到续期一键搞定

    acme.sh是一个纯Shell实现的Let's Encrypt客户端,特点鲜明:轻量简单• 纯Shell脚本,无需安装依赖• 所有操作都在一个脚本搞定• 安装包只有几百KB• 支持Docke

  • 鲁大师启用iTrust SSL加密证书

    鲁大师启用iTrust SSL加密证书,是其在网络安全领域的一项重要升级,旨在通过加密技术保障用户数据传输的安全性和提升平台可信度。以下从多个维度为您解析这一举措:一、启用iTrust SSL证书的核

在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

#
公众号 关注KnowSafe微信公众号
随时掌握互联网精彩
赞助链接
在线咨询