一、架設 Certificate Services
在要安裝 CA的那一台機器,先到控制台 ->新增或移除程式 ->新增或移除 Windows元件:
勾選 Certificate Services,並按確定。 ( 如果沒有安裝 IIS,同時必須要勾選 IIS)
控制台 ->系統管理工具 ->憑證授權單位,可以看到 CA發出的授權等等,目前都是空的。
二、產生憑證申請
在我們自己的機器,打開 IIS的管理介面,在預測的 web網站上按右鍵 ->內容
在要安裝的憑證網站上右鍵,選擇內容
為您的網站取一個正式的名稱,位元長度選擇預設的 1024
這個名稱算是整個申請步驟最重要的一步:如果我網站的位址是 www.xxx.aa.cc,就要在這裡輸入www.xxx.aa.cc 。輸入後未來若更改,就要再跟 CA申請一次不要輸入 www.xxx.aa.cc/bbb/這種目錄名稱。
若你的網址為www.xxx.aaa.cc,在這裡就必須輸入www.xxx.aaa.cc
完成。申請憑證要求的檔案已經建立完成。
此時去剛剛存檔的地方,把那個文字檔打開,裡面應該會看到一堆亂碼,待會需要用到這個喔 !!
三、向 CA申請憑證
在我們的機器上,輸入 CA的網址: http://ca機器名稱 /CertSrv/,點選「要求憑證」。
輸入 http://CA位置 /CertSrv/
點選「要求憑證」
點選「用 Base-64 編碼的 CMC 或 PKCS #10 檔案來提交憑證要求,或用 Base-64 編碼的 PKCS #7 檔案提交更新要求」
把我們之前產生的那個文字檔貼上來 (2)
將剛剛我們在 IIS內產生的憑證要求內的文字(C://certreq.txt),貼到這裡
申請完了,接下來就等 CA把憑證發給我們。我們再回來這裡下載。
已經向 CA提出憑證申請
回到 CA的首頁: http://ca機器名稱 /CertSrv/,點選「檢視擱置中的憑證要求狀態」
可以看到我們剛剛提出的申請,點選「已儲存要求的憑證」。
擱置的要求狀態內,已經有我們剛剛提出的申請
可以看到我們的申請還在擱置中,代表還沒處理好。繼續等吧。
接下來我們必須等CA發行此憑證
四、 CA核發憑證
在 CA那台機器上,控制台 ->系統管理工具 ->憑證授權單位,擱置的要求裡面,多了一個我們剛剛提出的申請。
擱置要求內,有一個我們剛剛向 CA提出申請
在要發行的項目上面,按右鍵 ->所有工作 ->發行。
五、下載憑證
在我們自己的機器,回到 CA的首頁: http://CA名稱 /CertSrv/,點選「檢視擱置中的憑證要求狀態」
此時看到的畫面已經變成「憑證已發出」,點選「 Base64編碼」,並點選「下載憑證」,將下載一個 crv檔,請將這個檔案保存好,如果不見我們又要再跟 CA申請一次了。
選取 Base64編碼,並點選「下載憑證」,將憑證下載
六、將憑證安裝至 IIS的網站上
在我們自己的機器,點選網站 ->右鍵內容 ->「網站」,這個時候 SSL連接埠還是空白的
此時 SSL連線埠仍為空白
輸入我們網站的網址,記住,用 https的方式來連線喔。會出現警告視窗 ( 這一部分就先不談了 ) ,按「是」
輸入我們自己網站的網址
IE的右下角出現了一個鎖的圖案,代表我們現在已經用 SSL的方式連線囉 !!成功 !!
已經有上鎖的圖示了,代表現在是用 SSL連線