SSL 伺服器數位憑證 IIS 7.0 與 7.5 操作手冊 機密等級 : 公開版本 :V1.1 文件編號 :MNT-03-088 生效日期 :101 年 9 月 27 日 臺灣網路認證股份有限公司 TAIWAN-CA. Inc. 台北市 100 延平南路 85 號 10 樓 電話 :02-2370-8886 傳真 :02-2370-0728 www.twca.com.tw
SSL 伺服器數位憑證 IIS 7.0 與 7.5 操作手冊 目 錄 1. 目的...1 2. 範圍...2 3. 參考資料...3 4. 定義...4 5. 作業程序...5 5.1 產生 憑證請求檔 (CSR)...5 5.2 將製作好的憑證請求檔 (CSR) 上傳...12 5.3 下載已核發憑證...21 5.4 安裝根憑證...27 5.5 安裝中繼憑證...30 5.6 安裝伺服器憑證...34 5.7 檢視憑證是否安裝成功...38 5.8 繫結 SSL 憑證...40 5.9 匯出憑證 ( 備份 )...45 5.10 匯入憑證 ( 還原 )...49 5.11 更新 SSL 憑證...54 5.12 新增憑證管理單元...55 6. 附件...59 第 ii 頁
1. 目的 1.1. 介紹 IIS 7.0 與 7.5 網頁伺服器之憑證請求檔產製步驟及 SSL 伺服器數位憑證安裝說明 1.2. 符合本公司資訊安全政策之規範 第 1 頁
2. 範圍 2.1. 本操作手冊適用於 IIS7.0 (Windows Server 2008 Web Server) 及 IIS7.5 (Windows Server 2008 R2 Web Server) 第 2 頁
3. 參考資料 無 第 3 頁
4. 定義 無 第 4 頁
5. 作業程序 請以 Administrator 系統管理者權限執行所有動作執行所有動作 5.1 產生 憑證請求檔 (CSR) 在產生的過程中, 所有需要填入的資料, 請務必以英文方式填寫! 5.1.1 執行網際網路資訊服務 (IIS) 管理員點選桌面左下角開始 系統管理工具 點選 Internet Information Services(IIS) 管理員 第 5 頁
5.1.2 準備產生憑證請求檔 (1) 先選擇左側欄位中電腦名稱 ( 電腦名稱 \Administrator) 再於伺服器憑證選項按滑鼠右鍵, 點選開啟功能 第 6 頁
5.1.3 準備產生憑證請求檔 (2) 點選右側欄位中建立憑證要求 第 7 頁
5.1.4 輸入憑證資訊 (1) 5.1.4.1 一般名稱 (M): 網站名稱, 不必加 http:// 或 https:// ( 如 :www.twca.com.tw) 5.1.4.2 組織 (O): 公司名稱, 可使用縮寫, 必須以英文方式填寫! ( 如 : 臺灣網路認證股份有限公司為 TWCA) 5.1.4.3 組織單位 (U): 使用該憑證之單位名稱, 必須以英文方式填寫! ( 如 : 系統部為 SYSTEM) 5.1.4.4 縣市 / 位置 : 城市全名, 必須以英文方式填寫! ( 如 :TAIPEI) 5.1.4.5 省份 : 國家全名, 必須以英文方式填寫! ( 如 :TAIWAN) 5.1.4.6 國家 ( 地區 )(R): 選擇國家簡稱 ( 如 :TW) 輸入憑證資訊完成後 點選下一步 第 8 頁
5.1.5 輸入憑證資訊 (2) 5.1.5.1 密碼編譯服務提供者 : 請選擇 Microsoft RSA SChannel Cryptographic Provider 5.1.5.2 位元長度 : 請選擇 2048 位元長度 點選下一步 第 9 頁
5.1.6 指定憑證請求檔名稱及存放路徑 選擇存放路徑及指定檔名, 點選 開啟舊檔 第 10 頁
5.1.7 儲存憑證請求檔 確認存放路徑及指定檔名後, 點選完成 5.1.8 憑證請求檔內容 利用記事本開啟憑證請求檔, 內容範例如下圖所示 第 11 頁
5.2 將製作好的憑證請求檔 (CSR) 上傳 5.2.1 連接 TWCA 網站 (1) 連接至本公司首頁 http://www.twca.com.tw 點選右上方圖示憑證申請展期或註銷請由此進入 第 12 頁
5.2.2 連接 TWCA 網站 (2) 點選 SSL 伺服器憑證 第 13 頁
5.2.3 連接 TWCA 網站 (3) 點選 TWCA SSL 類 如申請 EV SSL 伺服器憑證, 請點選 TWCA EV SSL 類 第 14 頁
5.2.4 連接 TWCA 網站 (4) 點選上傳 CSR(WEB) 第 15 頁
5.2.5 貼上憑證請求檔將瀏覽器視窗畫面往下拉, 開啟在 5.1 章節產生的憑證請求檔, 利用全選後複製貼上的方式 (CSR 檔案內容包含 -----BEGIN CERTIFICATE REQUEST----- -----END CERTIFICATE REQUEST-----), 將製作好之憑證請求檔 (CSR) 內容貼到申請欄位中 選擇繼續 第 16 頁
5.2.6 再次檢視上傳之憑證請求檔案內容 第 17 頁
5.2.7 填寫聯絡人基本資料使用視窗右方式下拉移動方式, 將申請之伺服器與聯絡資料填入適當欄位 ( 聯絡資料欄位請務必與申請同意書所填內容相符 ) 第 18 頁
第 19 頁
5.2.8 送出後等待 CA 系統簽發憑證 CSR 上傳完成後, 三個工作天內會完成資料審查作業, 憑證簽發後會以 Email 通知業務及技術聯絡人 (TWCA SSL 伺服器數位憑證下載通知 ), 憑證亦可以在 TWCA 網站搜尋及下載 第 20 頁
5.3 下載已核發憑證 1 相關檔案說明若上傳之 CSR 及相關聯絡資料經過審驗通過, 將會寄送 SSL 伺服器數位憑證下載通知 電子郵件給相關聯絡人, 郵件內容包含附件憑證鏈壓縮檔 (cert.zip) 及 TWCA SSL 動態認證標章之安裝說明與標章圖檔連結 將附件憑證鏈壓縮檔 cert.zip 解壓縮後, 可得到三個或四個憑證鏈檔 如解壓縮後得到三個憑證鏈檔, 內容及憑證用途如下圖所式 : 如解壓縮後得到四個憑證鏈檔, 內容及憑證用途如下圖所式 : 第 21 頁
2 檔案下載說明如果因為貴公司之 mail server 設定, 導致無法順利取得附件憑證鏈壓縮檔案, 請依照下列步驟, 利用本公司網站憑證搜尋功能, 下載憑證鏈壓縮檔 5.3.1 連接 TWCA 網站 (1) 連接至本公司首頁 http://www.twca.com.tw, 點選右上方憑證申請展期或 註銷請由此進入 第 22 頁
5.3.2 連接 TWCA 網站 (2) 點選 SSL 伺服器憑證 第 23 頁
5.3.3 連接 TWCA 網站 (3) 點選 TWCA SSL 類 如申請 EV SSL 伺服器憑證, 請點選 TWCA EV SSL 類 第 24 頁
5.3.4 連接 TWCA 網站 (4) 點選憑證搜尋 5.3.5 輸入申請之網站名稱在網站名稱中輸入憑證申請單上填寫之網站名稱 (Common Name), 如 www.twca.com.tw ( 注意, 大小寫需一致, 不必加 http:// 或 https://), 輸入完成後, 按下搜尋鍵 第 25 頁
5.3.6 下載憑證鏈壓縮檔確認憑證相關資訊與申請相符後點選下載 憑證鏈, 另開檔案下載視窗, 按下儲存, 儲存憑證鏈壓縮檔 cert.zip 第 26 頁
5.4 安裝根憑證 5.4.1 儲存根憑證請參照 5.3 章節步驟, 將根憑證檔 (root.cer) 儲存於電腦中可存取位置 5.4.2 新增憑證管理單元請參照 5.12 章節步驟, 新增憑證管理單元 5.4.3 安裝根憑證 (1) 點選展開主控台根目錄內的憑證 ( 本機電腦 ) 展開信任的根憑證授權 於憑證上按滑鼠右鍵選所有工作 點選匯入 5.4.4 安裝根憑證 (2) 啟動歡迎使用憑證匯入精靈 點選下一步 第 27 頁
5.4.5 安裝根憑證 (3) 點選瀏覽, 指定根憑證檔 (root.cer) 所在位置 點選下一步 5.4.6 安裝根憑證 (4) 按預設點選將所有憑證放入以下的存放區 憑證存放區 信任的根憑證 授權 點選下一步 第 28 頁
5.4.7 安裝根憑證 (5) 點選完成 5.4.8 完成根憑證安裝 點選確定 第 29 頁
5.5 安裝中繼憑證 5.5.1 儲存中繼憑證請參照 5.3 章節步驟, 將中繼憑證檔 (uca.cer) 儲存於電腦中可存取位置 如 5.3 章節解壓縮後得到四個憑證鏈檔, 請儲存兩張中繼憑證 (uca_1.cer 與 uca_2.cer) 於電腦中可存取位置, 並重複以下步驟安裝步驟安裝 5.5.2 新增憑證管理單元請參照 5.12 章節步驟, 新增憑證管理單元 5.5.3 安裝中繼憑證 (1) 點選展開主控台根目錄內的憑證 ( 本機電腦 ) 展開中繼憑證授權 於憑證上按滑鼠右鍵選所有工作 點選匯入 第 30 頁
5.5.4 安裝中繼憑證 (2) 啟動歡迎使用憑證匯入精靈 點選下一步 5.5.5 安裝中繼憑證 (3) 點選瀏覽, 指定中繼憑證檔 (uca.cer) 存放位置 點選下一步 第 31 頁
5.5.6 安裝中繼憑證 (4) 按預設點選將所有憑證放入以下的存放區 憑證存放區 中繼憑證授權 點選下一步 5.5.7 安裝中繼憑證 (5) 點選完成 第 32 頁
5.5.8 完成中繼憑證安裝 點選確定 第 33 頁
5.6 安裝伺服器憑證 在安裝伺服器憑證之前, 請先完成根憑證及中繼憑證安裝作業! 5.6.1 儲存伺服器憑證檔請參照 5.3 章節步驟, 將伺服器憑證檔 (server.cer) 儲存於電腦中可存取位置 5.6.2 執行網際網路資訊服務 (IIS) 管理員點選桌面左下角開始 系統管理工具 點選 Internet Information Services(IIS) 管理員 第 34 頁
5.6.3 安裝伺服器憑證 (1) 先選擇左側欄位中電腦名稱 ( 電腦名稱 \Administrator) 再於伺服器憑證選項按滑鼠右鍵, 點選開啟功能 第 35 頁
5.6.4 安裝伺服器憑證 (2) 點選右側欄位中完成憑證要求 5.6.5 安裝伺服器憑證 (3) 5.6.5.1 含有憑證授權單位回應的檔案名稱 (R): 瀏覽選擇自我憑證檔路徑及檔名 ( 如 :server.cer) 5.6.5.2 好記的名稱 (Y): 此用途為顯示此憑證的名稱 ( 如 :twca) 設定完成後, 點選確定 第 36 頁
5.6.6 安裝伺服器憑證 (4) 伺服器憑證欄位顯示已安裝之憑證, 完成伺服器憑證安裝 第 37 頁
5.7 檢視憑證是否安裝成功 5.7.1 利用 IIS 伺服器憑證功能檢視請參照 5.6.3 章節步驟, 開啟伺服器憑證功能, 並點選開啟欲檢視之憑證 5.7.1.1 一般欄位 : 請確認有效期起迄時間是否正確, 並於下方顯示這個憑證有一個對應的私密金鑰 第 38 頁
5.7.1.2 憑證路徑欄位 : 請確認憑證鏈是否正確, 且憑證狀態顯示這個憑證 沒有問題, 可確認憑證已安裝成功 第 39 頁
5.8 繫結 SSL 憑證 5.8.1 執行網際網路資訊服務 (IIS) 管理員點選桌面左下角開始 系統管理工具 點選 Internet Information Services(IIS) 管理員 第 40 頁
5.8.2 繫結 SSL 憑證 (1) 選擇左側欄位中電腦名稱 ( 電腦名稱 \Administrator) 展開點選欲設定 SSL 憑證加密的站台 於右側欄位點選繫結 第 41 頁
5.8.3 繫結 SSL 憑證 (2) 點選新增, 新增 SSL 連接埠設定 5.8.4 繫結 SSL 憑證 (3) 下拉類型選項, 選擇 https, 使連接埠選項顯示 SSL 預設 443 埠, 並出現 SSL 憑證選項可供選擇 第 42 頁
5.8.5 繫結 SSL 憑證 (4) 下拉 SSL 憑證選項, 選擇 5.6 章節安裝之伺服器憑證 第 43 頁
5.8.6 確認選擇的憑證是否正確 點選檢視, 確認選擇的憑証是否正確 第 44 頁
5.9 匯出憑證 ( 備份 ) 5.9.1 新增憑證管理單元請參照 5.12 章節步驟, 新增憑證管理單元 5.9.2 匯出憑證 (1) 點選展開主控台根目錄內的憑證 ( 本機電腦 ) 個人 憑證, 在欲匯出的伺服器憑證上按右鍵所有工作 點選匯出 5.9.3 匯出憑證 (2) 啟動歡迎使用憑證匯出精靈 點選下一步 第 45 頁
5.9.4 匯出憑證 (3) 點選是, 匯出私密金鑰 (Y) 點選下一步 5.9.5 匯出憑證 (4) 點選個人資訊交換 -PKCS#12(.PFX) 勾選如果可能的話, 包含憑證中所 有的憑證 點選下一步 第 46 頁
5.9.6 匯出憑證 (5) 設定匯出資料的保護密碼 點選下一步 ( 請務必記住此密碼, 匯入憑證時需使用 ) 5.9.7 匯出憑證 (6) 點選瀏覽 指定一個匯出檔案存放的路徑與檔名 ( 副檔名固定為.PFX) 點選下一步 第 47 頁
5.9.8 完成匯出憑證 ( 備份 ) 點選完成, 完成匯出憑證 ( 備份 ) 第 48 頁
5.10 匯入憑證 ( 還原 ) 5.10.1 安裝根憑證請參照 5.4 章節步驟, 進行根憑證安裝作業 5.10.2 安裝中繼憑證請參照 5.5 章節步驟, 進行中繼憑證安裝作業 5.10.3 新增憑證管理單元請參照 5.12 章節步驟, 新增憑證管理單元 5.10.4 匯入憑證 (1) 點選展開主控台根目錄內的憑證 ( 本機電腦 ) 個人 憑證, 按滑鼠右鍵 所有工作 點選匯入 第 49 頁
5.10.5 匯入憑證 (2) 啟動歡迎使用憑證匯入精靈 點選下一步 5.10.6 匯入憑證 (3) 點選瀏覽 第 50 頁
5.10.7 匯入憑證 (4) 指定到當初匯出備份的檔案 (*.PFX) 點選開啟舊檔 5.10.8 匯入憑證 (5) 點選下一步 第 51 頁
5.10.9 匯入憑證 (6) 輸入當初匯出 ( 備份 ) 憑證時所設定的密碼 勾選將私密金鑰標示成可匯出 這樣您可以在以後備份或傳輸您的金鑰及包含所有延伸內容 點選下一步 5.10.10 匯入憑證 (7) 按預設點選將所有憑證放入以下的存放區 憑證存放區 個人 點選下 一步 第 52 頁
5.10.11 匯入憑證 (8) 點選完成 5.10.12 繫結 SSL 憑證 請參照 5.8 章節步驟進行繫結 SSL 憑證作業, 完成匯入憑證 ( 還原 ) 第 53 頁
5.11 更新 SSL 憑證 5.11.1 申請說明臺灣網路認證公司會在 SSL 伺服器憑證到期前二個月發出憑證更新通知信給貴公司 這二個月內您隨時可以至本公司網站 http://www.twca.com.tw 下載申請表單, 填寫完畢後寄回臺灣網路認證公司, 即可進行 SSL 憑證更新申請 5.11.2 更新步驟請參照 5.1 至 5.8 章節步驟申請安裝憑證, 即可完成 SSL 憑證更新 第 54 頁
5.12 新增憑證管理單元 5.12.1 開啟 MMC 主控台 點選開始 點選執行 輸入 mmc 並按下確定 第 55 頁
5.12.2 新增 / 移除嵌入式管理單元 點選檔案 點選新增 / 移除嵌入式管理單元 第 56 頁
5.12.3 新增憑證管理單元 (1) 點選憑證 點選新增 5.12.4 新增憑證管理單元 (2) 選擇電腦帳戶 點選下一步 第 57 頁
5.12.5 新增憑證管理單元 (3) 點選本機電腦 ( 執行這個主控台的電腦 ) 點選完成 5.12.6 新增憑證管理單元完成 當憑證 ( 本機電腦 ) 新增完成後 點選確定 第 58 頁
6. 附件 無 第 59 頁