Skyworth TTG Holdings LimitedSkyworth BuildingUnit A 13-16/F, Gaoxin Ave. 1. S.Nanshan District, She

Skyworth TTG Holdings Limited

Skyworth Building

Unit A 13-16/F, Gaoxin Ave. 1. S.

Nanshan District, Shenzhen, China 使用OpenSSL 來(lái)制作證書(shū)，在IIS 中配置HTTPS （SSL ）筆記

下載Win32編譯的openssl 版本0.9.8e.

1. 獲取IIS 證書(shū)請(qǐng)求:打開(kāi)IIS ，右鍵單擊【默認(rèn)網(wǎng)站】，在【目錄安全性】選項(xiàng)卡中點(diǎn)擊【服務(wù)器證書(shū)】按鈕，【下一步】，【新建證書(shū)】，【現(xiàn)在準(zhǔn)備證書(shū)請(qǐng)求－－下一步】，輸入【名稱】, 輸入【單位】和【部門(mén)】，輸入【公用名稱】，選擇【國(guó)家】并輸入【省】和【市縣】并【下一步】，【下一步】，【下一步】，【完成】，IIS 的證書(shū)請(qǐng)求已經(jīng)獲取，就是C:?rtreq.txt。這里請(qǐng)牢記輸入的信息。

2. 準(zhǔn)備openssl 工作環(huán)境:把openssl(編譯后的版本) 解壓到D:OpenSSL-0.9.8e下，

在bin 目錄下建立目錄demoCA ，在demoCA 下建立private 和newcerts 目錄，

并新建index.txt, 內(nèi)容為空

如果沒(méi)有serial 文件，則到 openssl 網(wǎng)站上下載openssl 的源文件，解壓后，到apps?moCA下，拷貝serial 文件過(guò)來(lái)，兩個(gè)目錄兩個(gè)文件都放到新建的 demoCA下。

3. 生成自簽名根證書(shū):

openssl req -x509 -newkey rsa:1024 -keyout ca.key -out ca.cer -days 3650 -config D:OpenSSL-0.9.8eopenssl.cnf

PEM pass phrase: password // 根證書(shū)私鑰密碼

Verifying - Enter PEM pass phrase: password

Country Name: CN

// 兩個(gè)字母的國(guó)家代號(hào) // 省份名稱 // 城市名稱 State or Province Name: HB Locality Name: WUHAN

Organization Name: Skyworth TTG

Organizational Unit Name: Service

Common Name: win2k3.vm.com

// 公司名稱 // 部門(mén)名稱 // 你的姓名(要是生成服務(wù)器端的證書(shū)一定要輸入域名或者ip 地址) // Email地址

Skyworth TTG Holdings Limited

Skyworth Building

Unit A 13-16/F, Gaoxin Ave. 1. S.

Nanshan District, Shenzhen, China 提醒：這時(shí)候，已經(jīng)有ca.key:ca的私鑰文件，ca.cer:ca的自簽名根證書(shū)，certreq.txt:IIS的證書(shū)請(qǐng)求文件，三個(gè)文件。 現(xiàn)在將certreq.txt 拷貝到bin 目錄下。

4. 用CA 證書(shū)ca.cer 為IIS 請(qǐng)求certreq.txt 簽發(fā)證書(shū):server.pem:

openssl ca -in certreq.txt -out server.pem -cert ca.cer -keyfile ca.key -config D:OpenSSL-0.9.8eopenssl.cnf -days 3650

Enter pass phrase for ca.key: password

Sign the certificate? [y/n]: y // 校驗(yàn)根證書(shū)私鑰密碼 // 用CA 根證書(shū)對(duì)服務(wù)器證書(shū)簽字認(rèn)證

1 out of 1 certificate requests certified, commit? [y/n] y // 提交證書(shū)

5. 把server.pem 轉(zhuǎn)換成x509格式(可以不用轉(zhuǎn)換):

openssl x509 -in server.pem -out server.cer

6. 將生成的根證書(shū)ca.cert 導(dǎo)入本地計(jì)算機(jī)，服務(wù)器端證書(shū)server.cer 導(dǎo)入到IIS:

雙擊ca.cer 文件，打開(kāi)證書(shū)信息窗口，單擊【安裝證書(shū)】按鈕，【下一步】，選擇【將所有的證書(shū)放入下列存儲(chǔ)區(qū)】，點(diǎn)擊【瀏覽】按鈕，選擇【受信任的根證書(shū)頒發(fā)機(jī)構(gòu)】，勾選“物理存儲(chǔ)區(qū)”，然后存儲(chǔ)在“受信任的根證書(shū)目錄”下面的“本地計(jì)算機(jī)”子目錄下，并點(diǎn)擊【確定】，【下一步】，【完成】，【是】，根證書(shū)安裝完畢！

切記: 要勾選“物理存儲(chǔ)區(qū)”，然后存儲(chǔ)在“受信任的根證書(shū)目錄”下面的“本地計(jì)算機(jī)”子目錄下

打開(kāi)IIS ，在【默認(rèn)網(wǎng)站】上單擊右鍵【屬性】，在【目錄安全性】選項(xiàng)卡中點(diǎn)擊【服務(wù)器證書(shū)】按鈕，【下一步】，選擇

【處理掛起的請(qǐng)求并安裝證書(shū)】并【下一步】，正常情況下，您已經(jīng)看到了文本框中就是D:server.cer，如果不是，自己點(diǎn)【瀏覽】按鈕去找并【下一步】，【下一步】，【完成】。回到【目錄安全性】選項(xiàng)卡在【安全通信】欄目中單擊【編輯】按鈕，勾上【要求安全通道(SSL)】，勾上【要求128位加密】，選擇【要求客戶端證書(shū)】，點(diǎn)擊【確定】按鈕。

7. 制作客戶端證書(shū):

(1)生成客戶端證書(shū):

openssl req -newkey rsa:1024 -keyout clikey.pem -out clireq.pem -days 3650 -config D:OpenSSL-0.9.8eopenssl.cnf

Skyworth TTG Holdings Limited

Skyworth Building

Unit A 13-16/F, Gaoxin Ave. 1. S.

Nanshan District, Shenzhen, China 證書(shū)信息自己填寫(xiě)，有些內(nèi)容要與根證書(shū)一致。

Enter PEM pass phrase: password // 客戶端證書(shū)私鑰密碼

Verifying - Enter PEM pass phrase: password

Country Name: CN

// 兩個(gè)字母的國(guó)家代號(hào) // 省份名稱 // 城市名稱

// 公司名稱 State or Province Name: HB Locality Name: WUHAN Organization Name: Skyworth TTG

Organizational Unit Name: Service // 部門(mén)名稱

Common Name: client01 // 你的姓名(如:client01) // Email地址

a challenge password []:

an optional company name []:

(2)CA簽發(fā)客戶端證書(shū): // 填不填隨便，我不填 // 填不填隨便，我不填

openssl ca -in clireq.pem -out client.cer -cert ca.cer -keyfile ca.key -config D:OpenSSL-0.9.8eopenssl.cnf

Enter pass phrase for ca.key: password

sign the certificate? [y/n] y // 校驗(yàn)根證書(shū)私鑰密碼 // 用CA 根證書(shū)對(duì)客戶端證書(shū)簽字認(rèn)證

// 提交證書(shū) 1 out 1 certificate requests certified,commit? [y/n] y

(3)將客戶端證書(shū)轉(zhuǎn)換為pk12格式:

openssl pkcs12 -export -clcerts -in client.cer -inkey clikey.pem -out client01.p12

Enter pass phrase for clikey.pem: password // 客戶端證書(shū)私鑰密碼

Enter Export Password: // IE導(dǎo)入時(shí)的密碼（可以不需要）

Verifying - Enter Export Password:

Skyworth TTG Holdings Limited

Skyworth Building

Unit A 13-16/F, Gaoxin Ave. 1. S.

Nanshan District, Shenzhen, China 重復(fù)上述步驟，可以生成多個(gè)客戶端證書(shū)

8. 客戶端安裝信任的根證書(shū)和客戶端證書(shū):

打開(kāi)internet explorer(IE)，工具-internet 選項(xiàng)-內(nèi)容-證書(shū)，點(diǎn)選' 個(gè)人'

再點(diǎn)擊導(dǎo)入, 把客戶端證書(shū)client01.p12導(dǎo)入到個(gè)人組里(*****切記：別忘了擴(kuò)展名是p12) 。

這里還要輸入剛才建立的輸出密碼password 才能倒入呢。

接著，點(diǎn)選' 受信任的根證書(shū)頒發(fā)機(jī)構(gòu)' ，點(diǎn)擊導(dǎo)入，把CA 根證書(shū)ca.cer 導(dǎo)入到受信任的根證書(shū)頒發(fā)機(jī)構(gòu)里。

復(fù)制ca.cer 文件到客戶端，打開(kāi)證書(shū)信息窗口，單擊【安裝證書(shū)】按鈕，【下一步】，選擇【將所有的證書(shū)放入下列存儲(chǔ)區(qū)】，點(diǎn)擊【瀏覽】按鈕，選擇【受信任的根證書(shū)頒發(fā)機(jī)構(gòu)】，勾選“物理存儲(chǔ)區(qū)”，然后存儲(chǔ)在“受信任的根證書(shū)目錄”下面的“本地計(jì)算機(jī)”子目錄下，并點(diǎn)擊【確定】，【下一步】，【完成】，【是】，根證書(shū)安裝完畢！

切記: 要勾選“物理存儲(chǔ)區(qū)”，然后存儲(chǔ)在“受信任的根證書(shū)目錄”下面的“本地計(jì)算機(jī)”子目錄下

11. 安裝客戶端證書(shū)：把bin 目錄下的client.p12復(fù)制到D:并雙擊client.p12文件，【下一步】，【下一步】，輸入客戶端證書(shū)的密碼并【下一步】，【下一步】，【完成】，【確定】。到此，客戶端的證書(shū)也已經(jīng)安完畢。