現(xiàn)在到處是劫持網(wǎng)址加廣告的，現(xiàn)在通過https訪問，就不用擔(dān)心了，比較適合對安全級別要求高的網(wǎng)站，當(dāng)然老站更需要開啟https了。

無廢話圖文教程，教你一步一步搭建CA服務(wù)器，以及讓IIS啟用HTTPS服務(wù)。

一、架設(shè)證書服務(wù)器（CA服務(wù)）

1.在系統(tǒng)控制面板中，找到“添加/刪除程序”，點擊左側(cè)的“添加/刪除windows組件”，在列表中找到“證書服務(wù)”，安裝之。

 

2.CA類型，這里有四種選擇，這里以“獨立根CA”為介紹。

 

3.CA識別信息，這里可以為你的CA服務(wù)器起個名字。

 

4.證書數(shù)據(jù)庫設(shè)置，用于保存證書的相關(guān)數(shù)據(jù)庫和日志文件，這個默認(rèn)就行了。

 

5.安裝完成后，在 控制面板 – 管理工具?中就可以打開 證書頒發(fā)機構(gòu)，這個工具是用于審核證書用的，后面會提到。

 

6.安裝完成后，在IIS中，還會增加三個相關(guān)的目錄，其中的“CertSrv”就是證書申請的頁面了。

7.打開相應(yīng)的頁面，可以看到如下圖，至此，CA服務(wù)器基本已架設(shè)完成。

 

二、讓IIS開啟HTTPS（SSL）功能

1.在IIS中的“默認(rèn)網(wǎng)站”右鍵，選擇“屬性”，可看到網(wǎng)站屬性，點擊“目錄安全性”標(biāo)簽頁，點擊“服務(wù)器證書”按鈕。

 

2.選擇“新建證書”，下一步

 

3.選擇“現(xiàn)在準(zhǔn)備證書請求，但稍后發(fā)送”，下一步

 

4.單位信息，這里需要自己填寫，至于寫什么，自己可以決定，這些信息會在證書中顯示。

 

5.名稱和安全性，名稱默認(rèn)是IIS網(wǎng)站的名稱，密鑰長度默認(rèn)為1024位，下一步

 

6.站點公用名稱，這個默認(rèn)是服務(wù)器的機器名，請注意，如果IIS是對象服務(wù)的，此處必須填寫對應(yīng)的域名。

 

7.地理信息，隨便填吧，下一步

 

8.證書請求文件名，默認(rèn)是保存在C盤下，打開后會看到如下一串加密的字符串。

 

9.先將證書的加密串復(fù)制下來，前往前面提到的證書申請的頁面，選擇“申請一個證書”

 

10.證書的申請方式，選擇“高級證書申請”

 

11.選擇“使用base64……”

 

12.將證書串填入文本框中，并“提交”，至此，完成了證書的申請。（先別急著關(guān)IE，點右上的“主頁”等著吧）

 

13.回到證書頒發(fā)機構(gòu)工具中，選擇左邊的“掛起的申請”，可以看到里面有一條申請記錄，申請ID就是你剛才申請的ID。

選中記錄，右鍵 – 所有任務(wù) – 頒發(fā)，這樣即可以頒發(fā)證書了。

點擊“頒發(fā)的證書”就可以看到剛剛頒發(fā)的證書了。

 

 

14，再回到證書申請頁面，選擇“查看掛起的證書申請的狀態(tài)”

 

15.在這個頁面可以看到你之前申請的所有證書，多個的話有多條鏈接），點擊其中一條。

 

16.在這里，如果已經(jīng)頒發(fā)的證書，就可以看到證書下載頁面了，一般選擇Base64編碼，下載證書。

下載證書鏈的話，可以把根CA的證書也一起下載。

 

17.回到IIS，目錄安全性的那個頁面，還是點擊“服務(wù)器證書”，此時界面已改變，選擇“處理掛起的請求并安裝證書”，下一步

 

18.選擇剛下載的證書，下一步

 

19.填寫SSL使用的端口，一般默認(rèn)是443，不需要修改。至此，便完成了證書的申請。

 

20.如果要強制使用HTTPS訪問網(wǎng)站的話，在“目錄安全性”標(biāo)簽頁中，點擊“編輯”按鈕。

 

21.鉤選”要求安全通道（SSL）”一項

 

22，此時，我們再刷新一下證書申請頁面，就可以看到403.4的錯誤頁面了，因為我們強制要求使用HTTPS來訪問網(wǎng)站了。

注意：如果不是整個網(wǎng)站要求使用HTTPS的話，也可以針對一個虛擬目錄進(jìn)行設(shè)置，方法同上。

 

23.修改為HTTPS訪問后，會提示安全警報，這里提示證書名與站點名不匹配，那是因為我們使用localhost來訪問了。

還記得上面申請證書時，提到的公用名稱嗎？就是這個了，當(dāng)時我們填的是機器名，所以和localhost當(dāng)然不匹配。

這也是為什么如果IIS有對外的話，要填域名的原因了，否則就會提示此安全警報了。

此處只需要將地址修改為：https://dier-vm03/certsrv，就不會提示安全警報了。

24.擴展一下，不是每個用戶都是懂技術(shù)的，當(dāng)普通用戶看到403.4錯誤，要求就不懂得加個S就能訪問，那腫么辦？

其實很簡單，在“自定義錯誤”標(biāo)簽頁中，找到403.4指向的頁面文件的位置，然后進(jìn)去打開來。加一段腳本就搞定了。

其實就是利用javascript判斷是不是使用http的，如果是就自動跳轉(zhuǎn)到https

好了，全部搞定，https是未來的趨勢，可以預(yù)見以后會越來越多https網(wǎng)站，而http也將退出歷史舞臺，現(xiàn)在國外https網(wǎng)址已經(jīng)很普及了，外國網(wǎng)站有80%的網(wǎng)站啟用https，而瀏覽器更是有些直接屏蔽掉http，所以網(wǎng)址https勢在必行