A. iis ssl 獲取不到客戶端證書
IIS伺服器配置SSL雙向認證方法:網頁鏈接
選擇強制SSL訪問,那麼登陸上要安裝證書,這種情況下使用IE瀏覽器體驗最好。
B. IIS證書,如何才能使客戶端下載證書才能訪問網站
將web站點配置為要求 SSL 訪問
在IIS中查看這個Web 站點的屬性。 單擊「目錄安全性」選項卡。 單擊「安全通信」下的「編輯」。 單擊「要求安全通道 (SSL)」。現在客戶端必須使用 HTTPS 瀏覽到此虛擬目錄。
http://hi..com/reeyan/blog/item/95670ccaf8e864f552664f9f.html
本文給出了如何配置IIS通過SSL安全通道進行訪問的方法,並在此基礎上詳細討論了IIS如何設置要求對客戶端提供客戶端證書進行身份驗證。IIS端SSL伺服器證書申請和安裝,從而配置SSL安全訪問通道。客戶端證書的申請和安裝,IIS端如何映射客戶端證書到伺服器上的windows賬戶等等。
一、 測試環境配置
准備三台機器,都是windows 2003操作系統,每台機器的作用,和其上需要安裝的服務和配置如下:
1、 win2003系統_1
ip:192.168.1.11
機器名:win2003base1
伺服器作用:這個伺服器是用來安裝證書服務,作為一個CA提供證書服務。
1.1. 安裝IIS以承載CA證書服務
1.2. 安裝證書服務,CA的公用名稱設置為TestCA
在安裝證書服務過程中會生成一個證書服務的證書,一個自己頒給自己的證書作為這個CA的根證書:
在安裝了證書服務後,會把這個TestCA證書保存證書存儲區的多個位置:
l 本地計算機存儲區中的「個人」、「受信任的根證書頒發機構」、「中級證書頒發機構」,其中在「中級證書頒發機構」下的「證書」和「證書吊銷列表」中都有(為什麼會出現在「證書吊銷列表」中?)。
l 當前用戶存儲區的「個人」。
2、 win2003系統_2
ip:192.168.1.12
機器名:win2003base2
伺服器作用:這個伺服器是用來作為web server,建立一個網站,設置為SSL安全通道訪問,並需要客戶端證書進行訪問。
2.1. 安裝IIS
默認網站作為測試客戶端證書訪問的web站點。
3、 win2003系統_3
ip:192.168.1.13
機器名:win2003base3
機器作用:這個機器只是作為一個單純的IE客戶端,用來申請客戶端證書並使用證書訪問web server。
二、 配置過程
1、 win2003系統_2申請並配置IIS 的SSL的服務端證書
1.1. 生成證書申請文件
在IIS要訪問的那個網站的屬性中,「目錄安全性」--「伺服器證書」,選新建證書:
下一步:
下一步:
向導使用當前 Web 站點名稱作為默認名稱。它不在證書中使用,但作為友好名稱以助於管理員識別。下一步:
單位和部門,這些信息將放在證書申請中,因此應確保它的正確性。CA 將驗證這些信息並將其放在證書中。瀏覽您的 Web 站點的用戶需要查看這些信息,以便決定他們是否接受證書。下一步:
公用名是證書最後的最重要信息之一。它是 Web 站點的 DNS 名稱(即用戶在瀏覽您的站點時鍵入的名稱)。如果證書名稱與站點名稱不匹配,當用戶瀏覽到您的站點時,將報告證書問題。
如果您的站點在 Web 上並且被命名為 www.contoso.com,這就是您應當指定的公用名。
如果您的站點是內部站點,並且用戶是通過計算機名稱瀏覽的,請輸入計算機的 NetBIOS 或 DNS 名稱。
這里因為win2003系統_2伺服器的機器名是win2003base2,所以共用名稱設為win2003base2。
下一步:
下一步:
會要求證書申請的文件名,這是您的證書申請的 Base 64 編碼表示形式。申請中包含輸入到向導中的信息,還包括您的公鑰和用您的私鑰簽名的信息。
將此申請文件發送到 CA。然後 CA 會使用證書申請中的公鑰信息驗證用您的私鑰簽名的信息。CA 也驗證申請中提供的信息。
當您將申請提交到 CA 後,CA 將在一個文件中發回證書。然後您應當重新啟動 Web 伺服器證書向導。
下一步:
完成生成申請過程。
1.2. 提交證書申請
證書申請現在可以發送到 CA 進行驗證和處理。當您從 CA 收到證書響應以後,可以再次使用 IIS 證書向導,在 Web 伺服器上繼續安裝證書。
使用「記事本」打開在前面的過程中生成的證書文件,將它的整個內容復制到剪貼板。
啟動 Internet Explorer,導航到 http://192.168.1.11/certsrv,指向win2003系統_1的證書服務。
單擊「申請一個證書」,然後單擊「下一步」。
在「選擇申請類型」頁中,單擊「高級申請」,然後單擊「下一步」。
在「高級證書申請」頁中,單擊「使用 Base64 編碼的 PKCS#10 文件提交證書申請」,然後單擊「下一步」。
在「提交一個保存的申請」頁中,單擊「Base64 編碼的證書申請(PKCS #10 或 #7)」文本框,按住 CTRL+V,粘貼先前復制到剪貼板上的證書申請。
單擊「提交」。
1.3. 頒發證書
提交申請後,在win2003系統_1機器上證書頒發機構中批准頒發這個win2003base2證書。
確認該證書顯示在「頒發的證書」文件夾中,然後雙擊查看它。
在「詳細信息」選項卡中,單擊「復制到文件」,將證書保存為 Base-64 編碼的 X.509 證書。
關閉證書的屬性窗口。
1.4. 上安裝證書
在win2003系統_2在IIS的Web 站點,然後單擊「屬性」,單擊「目錄安全性」選項卡。
單擊「伺服器證書」啟動 Web 伺服器證書向導。
單擊「處理掛起的申請並安裝證書」,然後單擊「下一步」。
輸入包含 CA 響應的文件的路徑和文件名,然後單擊「下一步」。
檢查證書概述,單擊「下一步」,然後單擊「完成」。
現在,已在 Web 伺服器上安裝了證書。
win2003base2證書就會被安裝到win2003系統_2機器上,證書會被安裝到證書存儲區的本地計算機存儲區中的「個人」。
1.5. 將web站點配置為要求 SSL 訪問
在IIS中查看這個Web 站點的屬性。 單擊「目錄安全性」選項卡。 單擊「安全通信」下的「編輯」。 單擊「要求安全通道 (SSL)」。現在客戶端必須使用 HTTPS 瀏覽到此虛擬目錄。
C. 配置IIS 5.1 WEB伺服器,設置SSL 要求客戶端請求,彈出的「選擇數字證書」框裡面是空的
客戶端證書導入到瀏覽器了嗎?或者說客戶端有數字證書嗎?
配置個SSL站點,發個證書,easy啊
D. win2003系統設置IIS SSL,客戶端訪問時顯示需要證書,什麼原因
你可以參考下面的內容解決自己的問題:
Windows Server 2003 中Internet 信息服務(IIS) 升級為IIS 6.0,其安全性更高。默認情況下,Windows Server 2003沒有安裝IIS 6.0,要通過控制面板來安裝。具體做法為:
1. 進入「控制面板」。
2. 雙擊「添加或刪除程式」。
3. 單擊「添加/刪除 Windows 組件」。
4. 在「組件」列表框中,雙擊「應用程式伺服器」。
5. 雙擊「Internet 信息服務(IIS)」。
6. 從中選擇「萬維網服務」及「文檔傳輸協議(FTP)服務」。
7. 雙擊「萬維網服務」,從中選擇「Active Server Pages」 及「萬維網服務」等。
安裝好IIS後,接著配置Web伺服器,具體做法為:
1. 在「開始」菜單中選擇「管理工具→Internet信息服務(IIS)管理器」。
2. 在「Internet 信息服務(IIS)管理器」中雙擊「本地電腦」。 .
3. 右擊「網站」,在彈出菜單中選擇「新建→網站」,打開「網站創建向導」。
4. 依次填寫「網站描述」、「IP 地址」、「埠號」、「路徑」和「網站訪問許可權」等。最後,為了便於訪問還應配置默認文檔(Index.asp、Index.htm)。 .
上述配置和Windows 2000 Server網站配置基本相同,但此時Web服務還僅適用於靜態內容,即靜態頁面能正常瀏覽,常用Active Server Pages(ASP)功能沒有被啟用。所以還應在「Internet 信息服務(IIS)管理器」的「 Web 服務擴展」中選擇允許「Active Server Pages」。 ..
另外,還應注意假如Web服務主目錄所在分區是NTFS格式,而ASP網頁有寫入操作時(如用到新聞後台管理功能的),要注意配置寫入及修改許可權。 !
E. Iis怎麼更新證書
首先找到iis管理器(我的電腦管理也能找到)
internet信息伺服器(IIS)」 在控制面板---管理工具裡面查找
選擇需要更新證書的網站,查看屬性---安全--伺服器證書
更新證書
點擊下一步之後,選擇【更新當前證書】通過更新證書申請來申請證書
然後依次選擇,當然也沒得選了= = 【現在准備證書請求,但稍後發送】
系統會自動生成一個證書申請文件,選擇需要保存的路徑。選擇【瀏覽】
設置好之後,會提示證書申請文件的概要信息。如 機構名稱等
然後點擊下一步,完成。把剛剛導出的那個certereg.txt文件發送郵件到證書頒發機構申請
把申請到的證書,導入到IIS裡面就更新了。
F. 如何在 IIS 伺服器上的 ServerXMLHTTP 請求對象中安裝客戶端證書
P12格式的正式應該是pfx後綴的文件,這個證書是包含公私鑰對的證書文件,根證書肯定不是這個格式的,應該是一個cer格式的文件。首先,你需要把這個根證書導入到控制台中(MMC-添加單元-證書-計算機賬戶-本地計算機),添加到第三方受信任證書頒發機構中,在客戶端和伺服器端的控制台都導入這個證書。在IIS中導入伺服器證書,那個PKCS#12的證書。並在設置中選擇要求客戶端證書,這個就不細說了。然後在客戶端雙擊用戶證書,導入用戶證書,在向導中導入位置選擇個人。然後訪問即可
G. IIS伺服器怎麼部署SSL證書
安裝好IIS後,然後去Gworg申請SSL證書,拿到SSL後根據教程安裝:網頁鏈接
H. 部分客戶端訪問IIS伺服器時,證書鏈中的中級證書過期怎麼辦
這種情況通常發生在IIS伺服器上。導致該問題的原因是伺服器上存在多張可回提供信任關系答的中級證書,且其中有已過期的中間級證書。
如果客戶端PC系統中證書存儲區沒有新的中級證書而只有已經過期版本的中級證書的話,客戶端瀏覽器不會主動從伺服器上下載新的中級證書文件,而只通過已過期的中級證書去驗證伺服器證書的有效性。導致客戶端報中間級證書已過期錯誤。
解決方法:刪除伺服器上計算機賬戶中「中級證書頒發機構」里已過期的證書,並更新最新的中級證書文件,強制客戶端下載最新的證書鏈文件,使客戶端只能通過一條最新的證書鏈來驗證服
I. iis配置 伺服器客戶端證書配置 ssl
P12格式的正式應該是pfx後綴的文件,這個證書是包含公私鑰對的證書專文件,根證書肯定不是這個格式的,應屬該是一個cer格式的文件。 首先,你需要把這個根證書導入到控制台中(MMC-添加單元-證書-計算機賬戶-本地計算機),添加到第三方受信任證書頒發機構中,在客戶端和伺服器端的控制台都導入這個證書。 在IIS中導入伺服器證書,那個PKCS#12的證書。並在設置中選擇要求客戶端證書,這個就不細說了。然後在客戶端雙擊用戶證書,導入用戶證書,在向導中導入位置選擇個人。然後訪問即可
J. IIS伺服器證書如何對應客戶端證書
數字證書 新知識 學習