iis6服务器安全证书 iis 证书配置

IIS服务器安装SSL证书后提示不可信怎么办

没有安装可信的SSL证书到期，根据以下步骤解决。

创新互联建站是一家集网站建设,光泽企业网站建设,光泽品牌网站建设,网站定制,光泽网站建设报价,网络营销,网络优化,光泽网站推广为一体的创新建站企业，帮助传统企业提升企业形象加强企业竞争力。可充分满足这一群体相比中小企业更为丰富、高端、多元的互联网需求。同时我们时刻保持专业、时尚、前沿，时刻以成就客户成长自我，坚持不断学习、思考、沉淀、净化自己，让我们为更多的企业打造出实用型网站。

解释原因：

服务器上先创建网站并且绑定域名。

Gworg申请SSL证书。

根据Gworg要求完成域名认证。

拿到SSL证书配置到IIS服务器，SSL安装教程告纳：网页链接

最野友御后HTTPS就可以完成访问了。

解颂岩决办法：根据Gworg安装SSL证书。

iis服务器证书添加为什么丢失

尽管Windows服务器凭借其特有的稳定性，赢得了众多用户的青睐；不过在该服务器中搭建IIS服务器时，IIS服务器的安全并不是无懈可击，这主要是Windows服务器中的IIS组件存在不少安全漏洞，这样一来就很容易招来各种非法攻击，尽管通过安装相关补丁能够及时修复这些安全漏洞，但无奈新漏洞又会层出不穷地出现。为了让IIS服务器变得无懈可击，本文特意为各位准备了以下安全防范招法，相信在这些招法的“保驾护航”下，你的IIS服务器的安全性能一定得到进一步增强。 1、及时删除无效映射 在默认状态下，IIS服务器会自动创建好十几种应用程樱轮序的映射关系，可事实上，许多Web网站仅仅用到asp这个应用程序映射，其他应用程序映射几乎没有任何作用；如果你将这些用不着的无效映射保留在IIS服务器中的话，它们可能会给服务器带来安全威胁，因为不少应用程序映射都存在安全漏洞，这些漏洞往往很容易被黑客或非法攻击者利用。为此，笔者建议各位仅将Web网站使用到的几个应用程序映射保留下来，而其他用不着的映射必须及时删除，哪怕以后需要用时再重新添加一次也可以。在删除无效应用程序映射时，你可以按照下面的步骤来操作： 依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令，在弹出的Internet信息服务控制台窗口中，用鼠标右键单击目标Web网站，从弹出的快捷菜单中执行“属性”命令，在其后出现的Web站点属性设置窗口中，单击“主目录”标签； 在接着出现的对应标签页面中，单击“配置”按钮，进入到应用程序映射配置界面；从该界面中，你将看到IIS服务器已经自动创建好十几种应用程序的映射关系了；此时你可以选中某个暂时用不到的应用程序的映射项目，然后单击“删除”按钮，就能把当前选中的映射项目删除掉了。你也可以接着Ctrl、Shift键来同时选中多个无效的应用程序映射项目，然后再单击“删除”按钮，这样就能一次性早颂扮删除多个无效程序映射项目了。当然，要是你的确需要某个应用程序映射项目时，就必须在系统中安装对应该映射的系统修补补丁，同时打开对应映射项目的编辑窗口，并将该窗口中的“检查文件是否存在”复选项选中；如此一来，日后IIS服务器一旦接受到对应文件请求时，就会自动先检查对应文件是否存在，要是文件的确存在的话，IIS才会去调用映射中事先定义好的动态链接库来解析目标文件。2、取消匿名访问功能 要是允许任何人随意访问IIS服务器的话，那么服务器遭受攻击的可能性就会大大增加；要想尽可能地降低被攻击的风险，对服务器进行限制访问就成为了必然需求。目前限制用户访问最常用的一种方式，就是对用户的身份进行验证，但无奈IIS服务器在默认状态下，会允许匿名访问的；因此在对用户进行身份验证之前，你必须先取消IIS服务器的匿名访问功能： 依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令，在弹出的Internet信息服务控制台窗口中，用鼠标右键单击目标Web网站，从弹出的快捷菜单中执行“属性”命令，在其后出现的Web站点属性设置窗口中，单击“目录安全性”标签；在对应标签页面的“匿名访问和验证控制”设置项处，单击“编辑”按钮，在弹出的设置窗口中，取消“匿名访问”选项的选中状态；接着再选中“集成Windows验证”复选项，再单击一下“确定”按钮就可以了。 3、进行SSL加密验证 大家知道在缺省状态下，SSL服务器是通过http协议以普通明文的方式来传输信息的，黑客或非法攻击者只要通过专业的嗅探器，就能轻易截取传输的帐号或密码，这样就容易给IIS服务器自身带来安全危险。为了阻止黑客或非法攻击者轻易窃取重要的隐私信息，你可以采用下面的方法来对IIS服务器进行SSL加密验证，以便对在IIS服务器中传输的信息进行加密： 要想对IIS服务器进行SSL加密，你首先需要在Windows 2003服务器系统中安装证书服务，而在默认状态陆灶下该服务是没有被安装的。在安装证书服务时，你可以依次单击“开始”/“设置”/“控制面板”命令，在其后出现的控制面板窗口中，双击“添加/删除程序”图标，然后单击“添加/删除Windows组件”标签，并在对应的标签页面中，选中“证书服务”选项，单击“下一步”按钮，在接着出现的向导设置窗口中，选中“独立根CA”选项，继续单击“下一步”按钮后，正确设置好CA服务器的名称信息以及使用期限，最后再为证书数据库以及相关日志文件指定好保存路径，就可以完成对证书服务的安装操作了。 接着我们需要对安装在SSL服务器中的目标网站，创建一个请求证书文件。在创建请求证书文件时，必须依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令，在弹出的Internet信息服务控制台窗口中，用鼠标右键单击目标Web网站，从弹出的快捷菜单中执行“属性”命令，在其后出现的Web站点属性设置窗口中，单击“目录安全性”标签； 在对应标签页面的“安全通信”设置项处，单击一下“服务器证书”按钮，在接着打开的证书创建向导窗口中，单击“下一步”按钮，在随后弹出的设置窗口中，选中“创建一个新证书”选项，继续单击“下一步”按钮，然后将“现在准备请求，但稍候发送”项目选中；当向导窗口出现命名和安全设置提示时，你必须要为新证书正确输入证书名称，同时设置好加密密钥的位长，默认位长为512位；继续单击“下一步”按钮，然后按照提示设置好证书的组织单位、公用名称等信息，再设置好请求证书的保存路径，最后单击“完成”按钮就可以了。完成上面的设置后，你还需要将前面创建好的请求证书文件提交给IIS网站的证书服务器。在将请求证书文件提交给IIS网站的证书服务器时，首先需要将Windows系统目录“system32”下的“CertSrv”子目录，直接复制到目标网站的根目录下；然后在服务器系统中打开IE浏览器窗口，并在其地址栏中输入“/CertSrv/default.asp”URL地址（其中“”为目标网站的网址），在接着出现的证书服务欢迎界面中，单击一下“申请一个证书”链接，并在其后的页面中将证书申请类型设置为“高级证书申请”；接下来在高级证书申请页面中，单击“使用base64编码……”链接，然后把前面创建好的证书请求文件，直接复制到此处的“保存的申请”文本框中，再单击“提交”按钮就能完成证书请求文件的提交任务了。 一旦将请求证书文件提交给证书服务器后，你还需要进行颁发证书操作，才能使证书有效。在颁发证书时，你可以依次单击“开始”/“设置”/“控制面板”命令，在弹出的控制面板窗口中，找到“证书颁发机构”图标，然后用鼠标双击该图标；在接着打开的设置窗口中，将鼠标定位到“挂起的申请”选项上，然后用鼠标右键单击前面申请的证书，在其后弹出的右键菜单中依次单击“所有任务”/“颁发”命令； 等到颁发操作完毕后，再双击刚刚颁发成功的证书，并在证书设置窗口中单击“详细信息”标签，然后在对应标签页面中单击一下“复制到文件”按钮，打开一个文件导出向导界面，根据向导提示设置好导出文件的名称以及保存路径，最后单击一下“完成”按钮。 颁发完服务器证书之后，IIS服务器还没有把SSL加密功能启动起来，你还需要在Internet服务管理器控制台中，对IIS服务器进行进一步配置。在配置时，你必须重新进入到目标网站的“目录安全性”标签页面，再次单击该页面中的“服务器证书”按钮，在随后打开的设置窗口中，将“处理挂起的请求……”项目选中，接着按照向导提示设置好服务器证书文件的存放路径，同时启用SSL默认的“443”端口，再单击“完成”按钮；然后重新返回到“目录安全性”标签页面，单击“安全通信”设置项处的“编辑”按钮，在其后打开的编辑设置窗口中，将“要求安全通信”选项选中，最后单击一下“确定”按钮，这样IIS服务器的SSL加密功能就被正式启用了。日后你想访问目标网站“”时，就必须在IE地址栏中输入“https://”才可以浏览到网站内容，而且你在该网站中提交的任何信息都是被加密之后才传输的，因此网站信息的安全性就会得到大大增强。 4、巧用日志寻找安全隐患 任何对IIS服务器的访问，都会在服务器中留下访问记录，黑客或非法攻击者的访问同样也会在日志文件中留下痕迹；因此，要是我们能活用日志文件，就能及时知道黑客是否对IIS服务器进行了攻击，并且还能知道什么时候进行了攻击；一旦发现有攻击记录时，必须及时采用安全应对措施来阻止黑客的继续攻击。考虑到IIS服务器的日志记录，在默认状态下保存在Windows系统的“system32\logfiles”文件夹中，许多黑客很容易从这里找到原始日志文件，并对该日志文件进行修改，从而抹除其攻击痕迹，这样我们就无法从日志文件中知道IIS服务器是否存在安全隐患。为了阻止黑客随意更改日志记录文件，你可以按照如下步骤来修改日志文件的保存路径： 依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令，在弹出的Internet信息服务控制台窗口中，用鼠标右键单击目标Web网站，从弹出的快捷菜单中执行“属性”命令，在其后出现的Web站点属性设置窗口中，单击“Web站点”标签；在对应的标签页面中，将“启用日志记录”选项选中，同时单击一下“属性”按钮，在随后出现的属性设置框中，你将看到IIS服务器的日志文件默认存放位置为“%Windir%\System32\Logfiles”；此时你可以单击“浏览”按钮，在接着出现的文件夹选择对话框中，选择一个藏匿较深的子文件夹，作为IIS服务器日志文件新的存放位置。此外，为了能让日志文件及时记录黑客攻击行为，你最好在“新日志时间间隔”设置项处，选中“每天”选项；然后在“扩充的属性”标签页面中，你必须指定IIS服务器到底记录哪方面的内容；最后为了防止黑客随意改动日志文件，你还需要返回到系统资源管理器窗口，修改一下目标日志文件的属性，让日志文件只有本地管理员才有权限访问。完成上面的设置后，IIS服务器的日志文件就能发挥应有作用，并能帮助你及时查找到服务器中存在的安全隐患了。 5、限定特定区域主机的来访 要是安装在IIS服务器中的防火墙，总提示你有来自特定区域的某些上网主机，在不断尝试着攻击你的服务器时，你完全可以将这些“可疑”主机全部封杀，以阻止它们对服务器的继续攻击。在封杀这些“可疑”主机时，你可以按照如下步骤来进行： 依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令，在弹出的Internet信息服务控制台窗口中，用鼠标右键单击目标Web网站，从弹出的快捷菜单中执行“属性”命令，在其后出现的Web站点属性设置窗口中，单击“目录安全性”标签； 在对应的标签页面中，单击“IP地址及域名限制”设置项处的“编辑”按钮，在弹出的设置窗口中，你可以选中“授权访问”选项，然后在“以下所列除外”列表处单击“添加”按钮，在其后弹出的“拒绝访问”设置框中，你可以将“一组计算机”选中，接着输入该组区域中的任何一台计算机的IP地址，同时在“子网掩码”处输入该区域的子网掩码，这样你就能将来自“可疑”区域的全部主机都封杀掉了。 要是你只想对单台可疑计算机进行“封杀”的话，那么你可以选中“一台计算机”选项，同时在“IP地址”文本框中直接输入需要封杀的计算机IP地址，最后单击“确定”按钮返回到图7所示的设置窗口中；倘若还想限制其他单台计算机对IIS服务器的访问时，你可以继续单击“添加”按钮，然后继续输入需要限制的计算机IP地址，这样所有出现在“以下所列除外”框中的目标计算机，都没有访问IIS服务器的权限了，而其他计算机都能正常访问IIS服务器。6、巧用内容分级确保访问安全 要是在IIS服务器中发布的网站信息，你不想让所有访问者都能看到的话，那么你可以对发布的网站内容进行分级设置，以便阻止受限用户随意查看目标站点的内容。巧用内容分级功能，你可以轻松限制哪些网站内容可以被授权访问，哪些内容又不能被用户随意访问。要对目标网站进行内容分级的话，可以按照下面的步骤来进行： 依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令，在弹出的Internet信息服务控制台窗口中，用鼠标右键单击目标Web网站，从弹出的快捷菜单中执行“属性”命令，在其后出现的Web站点属性设置窗口中，单击“HTTP头”标签； 在对应的标签页面中，你可以单击“内容分级”设置项处的“编辑分级”按钮，在其后打开的编辑设置窗口中，单击“分级”标签，然后在标签页面中，将“此资源启用分级”复选框选中；下面，在“类别”设置项处，选中一种合适的类别名称，这样对应类别的分级滑块将会自动显示出来，此时你只要移动该滑块，就能改变当前类别的分级级别；完成好上面的设置操作后，再单击一下“确定”按钮，这样就能把前面的设置保存好了，以后浏览者在访问指定类别内容时，就会受到一定的限制了。

IIS证书,如何才能使客户端下载证书才能访问网站

将web站点配置为要求 SSL 访问

在IIS中查看这个Web 站点的属性。 单击“目录安全性”选项卡。 单击“安全通信”下的“编辑”。 单击“要求安全通道 (SSL)”。现在客户端必须使用 HTTPS 浏览到此虚拟目录。

本文给出了如何配置IIS通过SSL安全通道进行访问的方法，并在此基础上详细讨论了IIS如何设置要求对客户端提供客户端证书进行身份验证。IIS端SSL服务器证书申请和安装，从而配置SSL安全访问通道。客户端证书的申请和安装，IIS端如何映射客户端证书到服务器上的windows账户等等。

一、 测试环境配置

准备三台机器，都是windows 2003操作系统，每台机器的作用，和其上需要安装的服务和配置如下：

1、 win2003系统_1

ip：192.168.1.11

机器名：win2003base1

服务器作用：这个服务器是用来安装证书服务，作为一个CA提供证书服务。

1.1. 安装IIS以承载CA证书服务

1.2. 安装证书服务，CA的公用名称设置为TestCA

在安装证书服务过程中会生成一个证书服务的证书，一个自己颁给自己的证书作为这个CA的根证书：

在安装了证书服务后，会把这个TestCA证书保存证书存储区的多个位置：

l 本地计算机存储区中的“个人”、“受信任的根证书颁发机构”、“中级证书颁发机构”，其中在“中级证书颁发机构”下的“证书”和“证书吊销列表”中都有（为什么会出现在“证书吊销列表”中？）。

l 当前用户存储区的“个友棚人”。

2、 win2003系统_2

ip：192.168.1.12

机器名：win2003base2

服务器作用：这个服务器是用来作为web server，建立一个网站，设置为SSL安全通道访问，并需要客户端证书进行访问。

2.1. 安装IIS

默认网站作为测试客户端证书访问的web站点。

3、 win2003系统_3

ip：192.168.1.13

机器名：win2003base3

机器作用：这个机器只是作为一个单纯的IE客户端，用来申请客户端证书并使用证书访问web server。

二、 配置过程

1、 win2003系统_2申请并配置IIS 的SSL的服务端证书

1.1. 生成证书申请文件

在IIS要访问的那个网站的属性中，“目录安全性”--“服务器证书”，选新建证书：

下一步：

下一步：

向导使用当前 Web 站点名称作为默认名称。它不在证书中使用，但作为友好名称以助于管理员识别。下一步：

单位和部门，这些信息将放在证书申请中，因此应确保它的正确性。CA 将验证这些陆扰信息并将其放在证书中。浏览您的 Web 站点的用户需要查看这些信息，以便决定他们是否接受证书。下一步：

公用名是证书最后的最重要信息之一。它是 Web 站点的 DNS 名称（即用户在浏览您的站点时键入的名称）。如果证书名称与站点名称不匹配，当早告旦用户浏览到您的站点时，将报告证书问题。

如果您的站点在 Web 上并且被命名为 ，这就是您应当指定的公用名。

如果您的站点是内部站点，并且用户是通过计算机名称浏览的，请输入计算机的 NetBIOS 或 DNS 名称。

这里因为win2003系统_2服务器的机器名是win2003base2，所以共用名称设为win2003base2。

下一步：

下一步：

会要求证书申请的文件名，这是您的证书申请的 Base 64 编码表示形式。申请中包含输入到向导中的信息，还包括您的公钥和用您的私钥签名的信息。

将此申请文件发送到 CA。然后 CA 会使用证书申请中的公钥信息验证用您的私钥签名的信息。CA 也验证申请中提供的信息。

当您将申请提交到 CA 后，CA 将在一个文件中发回证书。然后您应当重新启动 Web 服务器证书向导。

下一步：

完成生成申请过程。

1.2. 提交证书申请

证书申请现在可以发送到 CA 进行验证和处理。当您从 CA 收到证书响应以后，可以再次使用 IIS 证书向导，在 Web 服务器上继续安装证书。

使用“记事本”打开在前面的过程中生成的证书文件，将它的整个内容复制到剪贴板。

启动 Internet Explorer，导航到 ，指向win2003系统_1的证书服务。

单击“申请一个证书”，然后单击“下一步”。

在“选择申请类型”页中，单击“高级申请”，然后单击“下一步”。

在“高级证书申请”页中，单击“使用 Base64 编码的 PKCS#10 文件提交证书申请”，然后单击“下一步”。

在“提交一个保存的申请”页中，单击“Base64 编码的证书申请（PKCS #10 或 #7）”文本框，按住 CTRL+V，粘贴先前复制到剪贴板上的证书申请。

单击“提交”。

1.3. 颁发证书

提交申请后，在win2003系统_1机器上证书颁发机构中批准颁发这个win2003base2证书。

确认该证书显示在“颁发的证书”文件夹中，然后双击查看它。

在“详细信息”选项卡中，单击“复制到文件”，将证书保存为 Base-64 编码的 X.509 证书。

关闭证书的属性窗口。

1.4. 上安装证书

在win2003系统_2在IIS的Web 站点，然后单击“属性”，单击“目录安全性”选项卡。

单击“服务器证书”启动 Web 服务器证书向导。

单击“处理挂起的申请并安装证书”，然后单击“下一步”。

输入包含 CA 响应的文件的路径和文件名，然后单击“下一步”。

检查证书概述，单击“下一步”，然后单击“完成”。

现在，已在 Web 服务器上安装了证书。

win2003base2证书就会被安装到win2003系统_2机器上，证书会被安装到证书存储区的本地计算机存储区中的“个人”。

1.5. 将web站点配置为要求 SSL 访问

在IIS中查看这个Web 站点的属性。 单击“目录安全性”选项卡。 单击“安全通信”下的“编辑”。 单击“要求安全通道 (SSL)”。现在客户端必须使用 HTTPS 浏览到此虚拟目录。