证书签发后,您可以在火山引擎证书中心控制台下载证书。获得证书后,您必须将证书安装到服务器,才能使服务器支持HTTPS连接。本教程将指导您安装SSL证书到Internet Information Services(IIS)服务器。
前提条件
- 您已经通过证书中心提交了SSL证书请求,并且SSL证书已经签发。
如果您还没有提交SSL证书请求,请参见快速入门。 - 您的服务器的443端口是开放的。
HTTPS通信的默认端口是443,因此只有当服务器开放了443端口,才能保证服务器能够处理客户端发起的HTTPS连接请求。
环境说明
本教程以以下环境为例介绍相关的操作步骤:
服务器:
- 操作系统:Windows Server 2012 R2
- Web服务程序:Internet Information Services 8
说明
服务器环境不同,可能导致实际配置步骤与本文描述有差异。这种情况下,您需以实际环境为准,本文只用作参考。
示例域名:
ssl.example.com
下图展示了没有安装SSL证书时,通过HTTP协议访问域名的结果。浏览器提示连接是不安全的。
教程概览
本教程将指导您导入证书到IIS服务器,并将证书绑定到您的网站。
具体步骤如下:
步骤1:准备PFX格式的SSL证书
IIS服务器要求安装的SSL证书是PFX格式的。PFX格式的证书文件中包含证书和私钥。只有当您将证书和私钥都托管在证书中心时,您才可以从证书中心下载PFX格式的证书文件。具体分为以下情形:
- 证书请求使用了证书中心自动生成的CSR
- 证书请求使用了您手动输入的CSR,同时您提供了对应的私钥
满足上述情形时,当您的证书签发后,您可以下载PFX格式的证书。如果不满足上述情形,则当您的证书签发后,您可以下载PEM格式的证书,然后自行使用工具将证书转换为PFX格式。
关于下载证书的具体操作,请参见下载证书。
下载PFX格式的证书
从证书中心控制台下载适配 IIS 服务器的证书压缩包到本地计算机。
下载证书压缩包后,解压缩证书压缩包到本地计算机。证书压缩包名称为<CommonName>_iis。其中,<CommonName>表示证书颁发给的域名。解压缩后,您将获得以下文件:
<CommonName>.pfx:证书文件,包含证书和私钥。keystorePass.txt:证书密码文件,包含证书密码。说明
- 您每次下载证书时,系统都会随机生成一个与当前证书匹配的证书密码。证书密码保存在
keystorePass.txt。 - 目前不支持您指定证书密码。
- 您每次下载证书时,系统都会随机生成一个与当前证书匹配的证书密码。证书密码保存在
下载PEM格式的证书
从证书中心控制台下载适配 其他 类型服务器的证书压缩包。下载证书压缩包后,解压缩证书压缩包到本地计算机。
证书压缩包名称为<CommonName>_other。其中,<CommonName>表示证书颁发给的域名。
解压缩后,您将获得以下文件:
<CommonName>.crt:证书文件。<CommonName>.pem:证书文件(PEM 编码)。
接下来,您需要使用相应工具(如OpenSSL、Keytool等)将证书文件和您保管的私钥文件,转换成PFX格式的证书文件。关于证书格式转换的操作,请参见证书格式转换。
步骤2:上传证书到IIS服务器
上传本地文件到远程服务器的方式有很多。本教程以使用远程桌面连接为例,介绍如何将证书从本地Windows计算机上传到IIS服务器。
在本地计算机,按 Win+R 键。
在 运行 窗口,输入 mstsc,并单击 确定。
在 远程桌面连接 对话框,单击 显示选项。
完成以下连接设置,然后单击 连接:
常规:输入要连接的IIS服务器的公网IP地址及登录用户名。
本地资源:单击 详细信息,然后在 驱动器 菜单下,选中证书文件所在磁盘,并单击 确定。
本示例中,证书文件位于C盘,所以选中 本地磁盘(C:)。
(可选)如果出现 是否信任此远程连接 对话框,单击 连接。
在 输入你的凭据 对话框,输入服务器用户的密码,并单击 确定。
(可选)如果出现是否信任服务器证书的对话框,单击 连接。
您将连接到远程服务器,并可以看到远程服务器的桌面。在远程桌面上,单击底部菜单栏的文件夹图标。
您将会看到 设备和驱动器 列表中包含之前选择的本地磁盘。
打开本地磁盘,将证书文件复制到远程桌面。
步骤3:在MMC上导入证书
在远程桌面上,打开Windows服务器控制台MMC(Microsoft Management Console)。
说明
如果您不清楚如何打开MMC,请尝试搜索
mmc。
添加证书管理单元。
在控制台的顶部菜单栏,选择 文件 > 添加/删除管理单元。
在 添加或删除管理单元 对话框,从左侧 可用的管理单元 列表中单击 证书,并单击 添加。
在 证书管理单元 对话框,选择 计算机账户,并单击 下一步。
在 选择计算机 对话框,选择 本地计算机(运行此控制台的计算机),并单击 完成。
在 添加或删除管理单元 对话框,单击 确定。
在 控制台根节点 目录,展开 证书(本地计算机),然后在 个人 上单击鼠标右键,并选择 所有任务 > 导入。
根据对话框提示,完成证书导入向导。
欢迎使用证书导入向导:单击 下一步。
要导入的文件:单击 浏览,打开PFX格式的证书文件,单击 下一步。
说明
在打开文件时,您必须先将文件类型设置为 个人信息交换(.pfx;.p12),然后再选择证书文件。
私钥保护:在 密码 文本框输入证书密码,并单击 下一步。
说明
您可以从下载的
keystorePass.txt文件中获取证书密码。如果您自己生成了PFX证书,请使用您在生成证书时设置的密码。
证书存储:选中 根据证书类型,自动选择证书存储,并单击 下一步。
正在完成证书导入向导:单击 完成。
收到 导入成功 的提示后,单击 确定。
步骤4:在IIS上绑定证书
打开Internet Information Services(IIS)管理器。
说明
如果您不清楚如何打开IIS,请尝试搜索
iis。展开左侧的 起始页,定位到要绑定证书的网站,然后单击网站名。
在右侧的 操作 导航栏,单击 绑定。
在 网站绑定 对话框,单击 添加。
在 添加网站绑定 对话框,完成网站的相关配置,并单击 确定。
网站绑定的具体配置如下:类型:选择 https。
IP地址:选择服务器的IP地址。
端口:默认为 443,无需修改。
主机名:填写网站域名。
SSL证书:选择已导入的证书。
说明
如果您已导入多个SSL证书,可以单击 选择,然后在 选择证书 对话框,通过域名搜索对应的证书。
完成配置后,您可以在 网站绑定 列表查看已添加的网站绑定。
在 网站绑定 对话框,单击 关闭。
步骤5:验证证书是否配置成功
注意
进行验证操作前,请确保服务器已开放443端口。如果您的服务器因安全组、防火墙等策略,未允许443端口访问,请先修改对应策略。
打开本地计算机上的浏览器,使用HTTPS格式地址访问域名:https://ssl.example.com。成功建立连接后,在浏览器地址栏出现锁状图标,表示连接是安全的。
您可以单击锁状图标,查看连接详情。连接详情包含证书信息。
(可选)HTTP请求强制跳转为HTTPS请求
网站启用HTTPS通信后,您还可以通过URL重写工具,使终端用户的HTTP请求强制跳转为HTTPS请求,确保终端用户通过HTTPS访问您的Web服务。
在IIS服务器,下载并安URL重写工具。
您可以将URL重写工具安装包下载到本地计算机,然后通过远程桌面连接,将安装包上传到服务器。
以下图片展示了URL重写工具的安装过程。
安装URL重写工具后,您就可以在IIS面板中看到 URL重写 按钮。
添加URL重写规则。
在IIS面板,双击 URL 重写。
在右侧操作栏,单击 添加规则。
在 添加规则 对话框,单击 入站规则 区域的 空白规则,然后单击 确定。
编辑入站规则。
为新增的入站规则设置一个名称。例如,
redirect http to https。按如下方式,配置 匹配URL:
- 请求的URL:与模式匹配
- 使用:正则表达式
- 模式:
(.*)
按如下方式,添加条件:
- 条件输入:
{HTTPS} - 检查输入字符串是否:与模式匹配
- 模式:
^OFF$
- 条件输入:
按如下方式,配置操作:
- 操作类型:重定向
- 重定向URL:
https://{HTTP_HOST}{REQUEST_URI} - 附加查询字符串:取消选中
- 重定向类型:永久(301)
在右侧操作栏,单击 应用。
打开本地计算机上的浏览器,使用HTTP格式地址访问域名:
http://ssl.example.com。如果地址自动被转换为HTTPS格式,则表示HTTP请求已强制跳转为HTTPS请求。