2016年6月1日 星期三

S小魚仔S IIS 設定 憑證要求檔 使用 網域 憑證服務 (AD CS) 簽署自發憑證

使用「IIS」設定「憑證要求檔」 搭配 「網域 憑證服務 (AD CS)」簽署憑證。

我們需要知道幾樣關鍵

1. 「IIS」建立「憑證要求

點選「IIS站台」=>「伺服器憑證

點選「建立憑證要求

輸入「憑證」基本資訊

選擇「加密」方法,目前常用「RSA - 2048」

匯出「文字檔

使用「記事本」開啟,複製「內容

2. 登入 AD 憑證服務 伺服器「http://FQDN/certsrv」(Fully Qualified Domain Name)進行「簽署憑證

1. 輸入「FQDN」網址 (Fully Qualified Domain Name)

點選「要求憑證

點選「進階憑證要求

點選「用 Base-64編碼........

1. 輸入「憑證要求」文字檔 亂碼
2. 憑證範本 選擇 「網頁伺服器
3. 點選「提交

1. 選擇「Base 64 編碼
2. 點選「下載憑證

完成上述步驟,就會產生「憑證檔」 ( *.cer )


3. 「IIS」匯入「簽署憑證

1. 點選「IIS 站台
2. 點選「伺服器憑證

點選「完成憑證要求

匯入「憑證檔」 (*.cer)

匯入完成


4. 設定「IIS」=>「443」使用「簽署憑證


1. 點選「IIS - Web Site」站台
2. 點選「聯繫

新增「Https」連線

1. 類型「https
2. 選擇「SSL 憑證

會出現此訊息,是因為 IIS 站台 未加入「網域」,不受影響

開啟「IE」進行「驗證





備註:

若需 使用 「sha256」演算法憑證,需要修改「網域 憑證服務 (AD CS)」 主機 Registry,修改完畢「重新開機」並 重新 註冊「主機憑證」即可。

Regedit」位置 如下
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration\AD-CA\CSP
PS
AD-CA」為「電腦名稱」( Computer Name )