一、SSL认证
也就是我们常说的服务器认证,为的是启动加密传输协议https,步骤如下:
1、生成证书请求
进入IIS,选择服务器的服务器证书设置选项,
创建证书申请,填值如图所示
选择加密服务提供程序,并设置证书密钥长度,EV证书需选择位长2048
完成之后,会保留一条请求记录,如图
生成的证书请求文件(txt),需要提交给CA组织,获取证书
PS:因为证书有实效,到时需要更新,所以拿到证书后和请求文件放在一块,才不会乱,如:
2、安装证书
安装服务器证书中级CA证书
点击“开始”=>“运行”=>“mmc” ,打开控制台
点击“文件”=>“添加/删除管理单元” ,找到“证书”点击“添加“ , 选择“计算机账户”,点击“下一步” , 点击“证书(本地计算机)”,完成
双击打开刚添加的管理单元,选择“中级证书颁发机构”=>“证书”
所有任务=>导入intermediate.crt
选择“将所有的证书放入下列存储”,点击“下一步”,点击“完成”
导入中级CA证书完成
3、删除服务端一张(EV)根证书 (这步其实可以忽略了)
在IIS上安装服务器证书,需要检查服务器上是否存在一张(EV)服务器证书根证书。如果存在,需要删除该证书,否则客户端IE7以下客户端将访问报错。
1)选择 证书=>受信任的根证书颁发机构=>证书
检查其中是否存在名称为“VeriSign Class 3 Public Primary Certification Authority - G5”有效期 2006-11-8 到 2036-7-17的证书,如果存在,请删除该证书。
2)选择 证书=>第三方根证书颁发机构=>证书
检查其中是否存在名称为“VeriSign Class 3 Public Primary Certification Authority - G5”有效期 2006-11-27 到 2036-7-17的证书,如果存在,请删除该证书
4、在IIS导入服务器证书
在上文生成的请求记录处,点击“完成证书申请”
选中证书文件,并为证书设置好记名称,并完成证书的导入
至此,完成!!
二、url重定向
目的是http自动转到https,为什么把这两个模块放到一块?
因为我们服务器认证完,肯定是为了启用https协议,但是之前系统可能已经在内部推广使用了。
为避免启用https后,别人保存的http的链接打不开,需要我们帮忙重定向。
所以,基本上进行服务器认证后,就需要进行URL 重定向了。
废话少说,我们直接看落实步骤!!!
1、需要安装--url 重写2.0
(如果已经有了,跳过这个步骤)
两个方式:1)通过 【web平台安装程序】进行安装,直接搜索安装即可
2)直接下载安装
2、进行配置
在进行配置之前,我们需要知道,重写可以指定整个IIS站点池,也可以具体到某一个站点,
正常情况下,我们具体到站点会好一点,至于为啥下面会说到(预防出错)
打开【URL重写】-> 添加规则 -> 空白规则
(.*)就行,试过 https://192.168.31.238:3101/(.*) 即使测试中能匹配出来,也无法正常重定向过去,很奇怪(所以这里我才说具体到站点上配置,让有需要的站点进行重定向就行)
这一步是为了告诉IIS Https的url无需重定向,不然会产生Https转Https转Https转Https转Https转Https转Https(根本停不下来)
操作类型:重写 / 重定向 均可
重定向类型:303