使用「IIS」設定「憑證要求檔」 搭配 「網域 憑證服務 (AD CS)」簽署憑證。
我們需要知道幾樣關鍵
1. 「IIS」建立「憑證要求」
點選「IIS站台」=>「伺服器憑證」
點選「IIS站台」=>「伺服器憑證」
點選「建立憑證要求」
輸入「憑證」基本資訊
選擇「加密」方法,目前常用「RSA - 2048」
匯出「文字檔」
使用「記事本」開啟,複製「內容」
2. 登入 AD 憑證服務 伺服器「http://FQDN/certsrv」(Fully Qualified Domain Name)進行「簽署憑證」
1. 輸入「FQDN」網址 (Fully Qualified Domain Name)
1. 輸入「FQDN」網址 (Fully Qualified Domain Name)
點選「要求憑證」
點選「進階憑證要求」
點選「用 Base-64編碼........」
1. 輸入「憑證要求」文字檔 亂碼
2. 憑證範本 選擇 「網頁伺服器」
3. 點選「提交」
2. 點選「下載憑證」
完成上述步驟,就會產生「憑證檔」 ( *.cer )
3. 「IIS」匯入「簽署憑證」
1. 點選「IIS 站台」
2. 點選「伺服器憑證」
1. 點選「IIS 站台」
2. 點選「伺服器憑證」
點選「完成憑證要求」
匯入「憑證檔」 (*.cer)
匯入完成
4. 設定「IIS」=>「443」使用「簽署憑證」
1. 點選「IIS - Web Site」站台
2. 點選「聯繫」
新增「Https」連線
1. 類型「https」
2. 選擇「SSL 憑證」
會出現此訊息,是因為 IIS 站台 未加入「網域」,不受影響
開啟「IE」進行「驗證」
備註:
若需 使用 「sha256」演算法憑證,需要修改「網域 憑證服務 (AD CS)」 主機 Registry,修改完畢「重新開機」並 重新 註冊「主機憑證」即可。
1. 點選「IIS - Web Site」站台
2. 點選「聯繫」
新增「Https」連線
1. 類型「https」
2. 選擇「SSL 憑證」
會出現此訊息,是因為 IIS 站台 未加入「網域」,不受影響
開啟「IE」進行「驗證」
備註:
若需 使用 「sha256」演算法憑證,需要修改「網域 憑證服務 (AD CS)」 主機 Registry,修改完畢「重新開機」並 重新 註冊「主機憑證」即可。
「Regedit」位置 如下
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration\AD-CA\CSP
PS
「AD-CA」為「電腦名稱」( Computer Name )
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration\AD-CA\CSP
PS
「AD-CA」為「電腦名稱」( Computer Name )
沒有留言:
張貼留言