SSL伺服器數位憑證IIS6.0伺服器操作手冊

SSL 伺服器數位憑證 IIS 6.0 操作手冊 機密等級 : 公開版本 :V3.3 文件編號 :MNT-03-071 生效日期 :102 年 6 月 28 日 臺灣網路認證股份有限公司 TAIWAN-CA. Inc. 台北市 100 延平南路 85 號 10 樓 電話 :02-2370-8886 傳真 :02-2370-0728 www.twca.com.tw

目 錄 1. 目的... 1 2. 參照資料... 2 3. 定義... 3 4. 作業程序... 4 4.1 產生 憑證請求檔 (CSR)... 4 4.2 將製作好的憑證請求檔 (CSR) 上傳... 12 4.3 下載已核發憑證... 21 4.4 安裝根憑證... 27 4.5 安裝中繼憑證... 30 4.6 安裝伺服器憑證... 33 4.7 檢視憑證是否安裝成功... 37 4.8 匯出憑證 ( 備份 )... 39 4.9 匯入憑證 ( 還原 )... 43 4.10 更新 SSL 憑證... 51 4.11 新增憑證管理單元... 58 5. 附件... 62 第 ii 頁

1. 目的 1.1. 介紹 IIS 6.0 網頁伺服器之憑證請求檔產製步驟及 SSL 伺服器數位憑證安裝說明 1.2. 符合本公司資訊安全政策之規範 第 1 頁

2. 參照資料 無 第 2 頁

3. 定義 無 第 3 頁

4. 作業程序 4.1 產生 憑證請求檔 (CSR) 如申請站台已安裝 SSL 憑證 ( 非首次申請 ), 請參照 4.10 章節進行憑證更新! 在產生的過程中, 所有需要填入的資料, 請務必以英文方式填寫! 憑證請求檔 (CSR) 產生後, 不可點選刪除擱置要求, 否則憑證將無法安裝! 4.1.1 執行網際網路資訊服務 (IIS) 管理員點選桌面左下角開始 程式集 ( 或所有程式 ) 系統管理員 執行網際網路資訊服務 (IIS) 管理員 在欲安裝 SSL 憑證的站台上按滑鼠右鍵 內容 目錄安全設定 點選伺服器憑證 ( 若找不到 IIS 管理員或 Internet Information Services 請先以 Windows2003 原版光碟安裝此功能後, 再執行此步驟 ) 第 4 頁

4.1.2 Web 伺服器憑證精靈 點選下一步 4.1.3 準備產生憑證請求檔 (1) 點選建立新憑證 點選下一步 第 5 頁

4.1.4 準備產生憑證請求檔 (2) 點選準備要求, 但於稍後傳送 點選下一步 第 6 頁

4.1.5 輸入憑證資訊 (1) 4.1.5.1 名稱 : 出現在憑證管理清單中的名稱, 可自由設定 請填入較有意義之文字 4.1.5.2 位元長度 : 請選擇 2048 位元長度 點選下一步 第 7 頁

4.1.6 輸入憑證資訊 (2) 以下欄位會出現在憑證內容之中, 請小心填寫! 各欄位說明如下 : 4.1.6.1 公司 : 公司名稱, 可使用縮寫, 必須以英文方式填寫! ( 如 : 臺灣網路認證股份有限公司為 TWCA) 4.1.6.2 單位 : 使用該憑證之單位名稱 必須以英文方式填寫! ( 如 : 系統部為 SYSTEM) 設定完成後 點選下一步 第 8 頁

4.1.7 輸入憑證資訊 (3) 一般名稱 : 網站名稱 ( 如 :www.twca.com.tw, 不必加 http:// 或 https://) 設定完成後 點選下一步 4.1.8 輸入憑證資訊 (4) 4.1.8.1 國家 ( 地區 ): 選擇國家簡稱, 如 :TW( 台灣 ) 4.1.8.2 州 / 省 : 國家全名, 必須以英文方式填寫!( 如 :TAIWAN) 4.1.8.3 城市 / 位置 : 城市全名, 必須以英文方式填寫!( 如 :TAIPEI) 設定完成後 點選下一步 第 9 頁

4.1.9 指定執行出之憑證申請檔 (CSR) 檔案存放路徑 如 :C:\certreq.txt 設定完成後 點選下一步 4.1.10 確認憑證資訊 (1) 請先確認畫面所列出之內容是否皆為英文方式書寫且正確無誤 點選下一步 第 10 頁

4.1.11 確認憑證資訊 (2) 點選完成, 憑證請求檔 (CSR) 產生完成 4.1.12 完成之憑證請求檔內容如下 第 11 頁

4.2 將製作好的憑證請求檔 (CSR) 上傳 4.2.1 連接 TWCA 網站 (1) 連接至本公司首頁 http://www.twca.com.tw 點選右上方圖示憑證申請展期或註銷請由此進入 第 12 頁

4.2.2 連接 TWCA 網站 (2) 點選 SSL 伺服器憑證 第 13 頁

4.2.3 連接 TWCA 網站 (3) 點選 TWCA SSL 類 如申請 EV SSL 伺服器憑證, 請點選 TWCA EV SSL 類 第 14 頁

4.2.4 連接 TWCA 網站 (4) 點選上傳 CSR(WEB) 第 15 頁

4.2.5 貼上憑證請求檔將瀏覽器視窗畫面往下拉, 開啟在 4.1 章節產生的憑證請求檔, 利用全選後複製貼上的方式 (CSR 檔案內容包含 -----BEGIN CERTIFICATE REQUEST----- -----END CERTIFICATE REQUEST-----), 將製作好之憑證請求檔 (CSR) 內容貼到申請欄位中 選擇繼續 第 16 頁

4.2.6 再次檢視上傳之憑證請求檔案內容 第 17 頁

4.2.7 填寫聯絡人基本資料使用視窗右方式下拉移動方式, 將申請之伺服器與聯絡資料填入適當欄位 ( 聯絡資料欄位請務必與申請同意書所填內容相符 ) 第 18 頁

第 19 頁

4.2.8 送出後等待 CA 系統簽發憑證 CSR 上傳完成後, 三個工作天內會完成資料審查作業, 憑證簽發後會以 Email 通知業務及技術聯絡人 (TWCA SSL 伺服器數位憑證下載通知 ), 憑證亦可以在 TWCA 網站搜尋及下載 第 20 頁

4.3 下載已核發憑證 1 相關檔案說明若上傳之 CSR 及相關聯絡資料經過審驗通過, 將會寄送 SSL 伺服器數位憑證下載通知 電子郵件給相關聯絡人, 郵件內容包含附件憑證鏈壓縮檔 (cert.zip) 及 TWCA SSL 動態認證標章之安裝說明與標章圖檔連結 將附件憑證鏈壓縮檔 cert.zip 解壓縮後, 可得到三個或四個憑證鏈檔 如解壓縮後得到三個憑證鏈檔, 內容及憑證用途如下圖所式 : 如解壓縮後得到四個憑證鏈檔, 內容及憑證用途如下圖所式 : 第 21 頁

2 檔案下載說明如果因為貴公司之 mail server 設定, 導致無法順利取得附件憑證鏈壓縮檔案, 請依照下列步驟, 利用本公司網站憑證搜尋功能, 下載憑證鏈壓縮檔 4.3.1 連接 TWCA 網站 (1) 連接至本公司首頁 http://www.twca.com.tw, 點選右上方憑證申請展期或 註銷請由此進入 第 22 頁

4.3.2 連接 TWCA 網站 (2) 點選 SSL 伺服器憑證 第 23 頁

4.3.3 連接 TWCA 網站 (3) 點選 TWCA SSL 類 如申請 EV SSL 伺服器憑證, 請點選 TWCA EV SSL 類 第 24 頁

4.3.4 連接 TWCA 網站 (4) 點選憑證搜尋 4.3.5 輸入申請之網站名稱在網站名稱中輸入憑證申請單上填寫之網站名稱 (Common Name), 如 www.twca.com.tw ( 注意, 大小寫需一致, 不必加 http:// 或 https://), 輸入完成後, 按下搜尋鍵 第 25 頁

4.3.6 下載憑證鏈壓縮檔確認憑證相關資訊與申請相符後點選下載 憑證鏈, 另開檔案下載視窗, 按下儲存, 儲存憑證鏈壓縮檔 cert.zip 第 26 頁

4.4 安裝根憑證 4.4.1 儲存根憑證請參照 4.3 章節相關步驟, 將根憑證檔 (root.cer) 儲存於電腦中可存取位置 4.4.2 新增憑證管理單元請參照 4.11 章節新增憑證管理單元 4.4.3 安裝根憑證 (1) 點選展開主控台根目錄內的憑證 ( 本機電腦 ) 信任的根憑證授權 於憑證上按滑鼠右鍵選所有工作 點選匯入 4.4.4 安裝根憑證 (2) 啟動歡迎使用憑證匯入精靈 點選下一步 第 27 頁

4.4.5 安裝根憑證 (3) 點選瀏覽, 指定根憑證檔存放位置 點選下一步 4.4.6 安裝根憑證 (4) 按預設點選將所有憑證放入以下的存放區 憑證存放區 信任的根憑證 授權 點選下一步 第 28 頁

4.4.7 安裝根憑證 (5) 點選完成 4.4.8 完成根憑證安裝 第 29 頁

4.5 安裝中繼憑證 4.5.1 儲存中繼憑證請參照 4.3 章節相關步驟, 將中繼憑證檔 (uca.cer) 儲存於電腦中可存取位置 如 4.3 章節解壓縮後得到四個憑證鏈檔, 請儲存兩張中繼憑證 (uca_1.cer 與 uca_2.cer) 於電腦中可存取位置, 並重複以下步驟安裝 4.5.2 新增憑證管理單元請參照 4.11 章節新增憑證管理單元 4.5.3 安裝中繼憑證 (1) 點選展開主控台根目錄內的憑證 ( 本機電腦 ) 中繼憑證授權 於憑證上按滑鼠右鍵選所有工作 點選匯入 4.5.4 安裝中繼憑證 (2) 啟動歡迎使用憑證匯入精靈 點選下一步 第 30 頁

4.5.5 安裝中繼憑證 (3) 點選瀏覽, 指定中繼憑證檔存放位置 點選下一步 4.5.6 安裝中繼憑證 (4) 按預設點選將所有憑證放入以下的存放區 憑證存放區 中繼憑證授權 點選下一步 第 31 頁

4.5.7 安裝中繼憑證 (5) 點選完成 4.5.8 完成中繼憑證安裝 第 32 頁

4.6 安裝伺服器憑證 4.6.1 儲存伺服器憑證檔請參照 4.3 章節相關步驟, 將伺服器憑證檔 (server.cer) 儲存於電腦中可存取位置 4.6.2 執行網際網路資訊服務 (IIS) 管理員點選桌面左下角開始 程式集 系統管理員 執行網際網路資訊服務 (IIS) 管理員 在 4.1 章節產生憑證申請檔 (CSR) 的站台上按滑鼠右鍵 點選內容 目錄安全設定 點選伺服器憑證 第 33 頁

4.6.3 安裝伺服器憑證 (1) 處理擱置要求及安裝憑證 下一步 ( 請注意, 不可點選刪除擱置要求, 否則憑證將無法安裝 ) 若畫面不是這兩種選項有下列兩種可能 : 1. 憑證請求檔已被刪除, 請依照 4.1 章節重新產生憑證請求檔 (CSR) 2. 憑證請求檔不是在此電腦 ( 站台 ) 產生, 請至原電腦 ( 站台 ) 進行憑證安裝作業 4.6.4 安裝伺服器憑證 (2) 點選瀏覽, 指定到取得的 server.cer 檔案 下一步 第 34 頁

4.6.5 安裝伺服器憑證 (3) 請先設定 SSL 連接埠, 預設值為 443 下一步 4.6.6 安裝伺服器憑證 (4) 請先確認畫面所列出之內容是否為提出申請憑證之內容 下一步 第 35 頁

4.6.7 安裝伺服器憑證 (5) 點選完成, 完成伺服器憑證安裝 第 36 頁

4.7 檢視憑證是否安裝成功 4.7.1 新增憑證管理單元請參照 4.11 章節新增憑證管理單元 4.7.2 新增憑證管理單元點選展開主控台根目錄內的憑證 ( 本機電腦 ) 個人 憑證 查看右側欄位是否顯示已安裝之伺服器憑證 若無, 代表憑證並未安裝成功, 請參照 4.6 章節安裝伺服器憑證 若有, 請點選開啟該張憑證 4.7.2.1 一般欄位 : 請確認有效期起迄時間是否正確, 並於下方顯示這個憑證有一個對應的私密金鑰 第 37 頁

4.7.2.2 憑證路徑欄位 : 請確認憑證鏈是否正確, 且憑證狀態顯示這個憑證 沒有問題, 可確認憑證已安裝成功 第 38 頁

4.8 匯出憑證 ( 備份 ) 4.8.1 新增憑證管理單元請參照 4.11 章節新增憑證管理單元 4.8.2 匯出憑證 (1) 點選展開主控台根目錄內的憑證 ( 本機電腦 ) 個人 憑證, 在欲匯出的伺服器憑證上按右鍵所有工作 點選匯出 4.8.3 匯出憑證 (2) 啟動歡迎使用憑證匯出精靈 點選下一步 第 39 頁

4.8.4 匯出憑證 (3) 點選是, 匯出私密金鑰 (Y) 點選下一步 4.8.5 匯出憑證 (4) 點選個人資訊交換 -PKCS#12(*.PFX) 勾選如果可能的話, 包含憑證路徑中的所有憑證及啟用加強保護 ( 需要 IE5.0 或 NT4.0 SP4 以上的版本 ) 點選下一步 第 40 頁

4.8.6 匯出憑證 (5) 設定匯出資料的保護密碼 點選下一步 ( 請務必記住此密碼, 匯入憑證時需使用 ) 4.8.7 匯出憑證 (6) 點選瀏覽 指定一個匯出檔案存放的路徑與檔名 ( 副檔名固定為.PFX) 點選下一步 第 41 頁

4.8.8 完成匯出憑證 ( 備份 ) 點選完成 第 42 頁

4.9 匯入憑證 ( 還原 ) 4.9.1 新增憑證管理單元請參照 4.11 章節新增憑證管理單元 4.9.2 匯入憑證 (1) 點選展開主控台根目錄內的憑證 ( 本機電腦 ) 個人, 按滑鼠右鍵 所有工作 點選匯入 4.9.3 匯入憑證 (2) 啟動歡迎使用憑證匯入精靈 點選下一步 第 43 頁

4.9.4 匯入憑證 (3) 點選瀏覽 4.9.5 匯入憑證 (4) 指定到當初匯出備份的檔案 (*.PFX) 點選開啟 第 44 頁

4.9.6 匯入憑證 (5) 點選下一步 4.9.7 匯入憑證 (6) 輸入匯出 ( 備份 ) 憑證時所設定的密碼 勾選將私密金鑰標示成可匯出 點選下一步 第 45 頁

4.9.8 匯入憑證 (7) 按預設點選將所有憑證放入以下的存放區 憑證存放區 個人 點選下一步 4.9.9 完成匯入憑證 ( 還原 ) 點選完成 第 46 頁

4.9.10 確認伺服器憑證是否匯入成功點選展開主控台根目錄內的憑證 ( 本機電腦 ) 個人 憑證 確認右側欄位確實顯示已匯入之伺服器憑證 4.9.11 執行網際網路資訊服務 (IIS) 管理員點選桌面左下角開始 程式集 系統管理員 執行網際網路資訊服務 (IIS) 管理員 在欲執行 SSL 模式的站台上按右鍵 內容 目錄安全設定 點選伺服器憑證 第 47 頁

4.9.12 啟動伺服器憑證精靈 啟動歡迎使用網頁伺服器憑證精靈 點選下一步 4.9.13 取代目前的憑證 (1) 點選取代目前的憑證 點選下一步 第 48 頁

4.9.14 取代目前的憑證 (2) 選擇已匯入的憑證項目 點選下一步 4.9.15 取代目前的憑證 (3) 請先設定 SSL 連接埠, 預設值為 443 點選下一步 第 49 頁

4.9.16 取代目前的憑證 (4) 檢視已選取安裝憑證資訊 點選下一步 4.9.17 取代目前的憑證完成 點選完成 4.9.18 安裝根憑證及中繼憑證 執行完以上步驟後, 請參照 4.4 章節安裝根憑證及 4.5 章節安裝中繼憑證 第 50 頁

4.10 更新 SSL 憑證 4.10.1 申請說明臺灣網路認證公司會在 SSL 伺服器憑證到期前二個月發出憑證更新通知信給貴公司 這二個月內您隨時可以至本公司網站 http://www.twca.com.tw 下載申請表單, 填寫完畢後寄回臺灣網路認證公司, 即可進行 SSL 憑證更新申請 4.10.2 更新步驟 4.10.2.1 新增臨時站台由於原站台上已安裝 SSL 憑證, 無法比照 4.1.3 利用建立新憑證選項, 產生憑證請求檔 (CSR); 故請先選用下列兩種方法, 新增一臨時站台, 以利後續更新作業 於本機 Web Server 新增臨時站台 於另一台有安裝 IIS 服務的 Windows 主機, 新增臨時站台新增步驟如下 : 4.10.2.1.1 新增臨時站台 (1) 點選桌面左下角開始 程式集 系統管理員 執行網際網路資訊服務 (IIS) 管理員 點選展開電腦名稱 ( 本機電腦 ) 在網站上按右鍵選擇新增 點選網站 第 51 頁

4.10.2.1.2 新增臨時站台 (2) 啟動歡迎使用網站建立精靈 點選下一步 4.10.2.1.3 新增臨時站台 (3) 說明欄位可自由設定, 請填入較有意義之文字 點選下一步 第 52 頁

4.10.2.1.4 新增臨時站台 (4) 按預設值設定 點選下一步 4.10.2.1.5 新增臨時站台 (5) 請自行選擇主目錄存放路徑 點選下一步 第 53 頁

4.10.2.1.6 新增臨時站台 (6) 按預設值設定存取權限 點選下一步 4.10.2.1.7 新增臨時站台 (7) 點選完成 新增臨時站台完成 第 54 頁

4.10.2.2 產生 憑證請求檔 (CSR) 請於臨時站台, 參照 4.1 章節步驟, 產生憑證請求檔 (CSR) 憑證請求檔 (CSR) 產生後, 不可點選刪除擱置要求, 否則憑證將無法安裝! 4.10.2.3 將製作好的憑證請求檔 (CSR) 上傳請參照 4.2 章節步驟, 將製作好的憑證請求檔 (CSR) 上傳 4.10.2.4 下載已核發憑證請參照 4.3 章節步驟, 取得或下載已核發憑證 4.10.2.5 安裝根憑證請參照 4.4 章節步驟, 安裝根憑證 4.10.2.6 安裝中繼憑證請參照 4.5 章節步驟, 安裝中繼憑證 4.10.2.7 安裝伺服器憑證請於產生憑證請求檔 (CSR) 的臨時站台, 參照 4.6 章節步驟, 安裝伺服器憑證 4.10.2. 修改目前的憑證指派 若是於本機 Web Server 新增臨時站台, 執行完 4.6 章節安裝伺服器憑證後, 不必匯出憑證 請您於 IIS 的網站清單中, 將欲更新 SSL 憑證的站台上按右鍵 內容 目錄安全設定 點選伺服器憑證 取代目前的憑證, 於憑證清單中選取憑證即可完成 SSL 憑證更新 第 55 頁

若是利用另一台有安裝 IIS 服務的 Windows 主機新增臨時站台, 請於該主機執行完 4.6 章節安裝伺服器憑證後, 參照 4.8 章節步驟匯出憑證, 將匯出之檔案 (*.PFX) 儲存至欲更新 SSL 憑證的 Web Server 主機上, 再參照 4.9 章節將憑證匯入, 將欲更新 SSL 憑證的站台上按右鍵 內容 目錄安全設定 點選伺服器憑證, 取代目前的憑證, 於憑證清單中選取憑證即可完成 SSL 憑證更新 第 56 頁

第 57 頁

4.11 新增憑證管理單元 4.11.1 開啟 MMC 主控台 點選開始 點選執行 輸入 mmc 並按下確定 4.11.2 新增 / 移除嵌入式管理單元 點選檔案 點選新增 / 移除嵌入式管理單元 第 58 頁

4.11.3 新增獨立嵌入式管理單元單元 點選新增 4.11.4 新增憑證單元 點選憑證 點選新增 第 59 頁

4.11.5 選擇電腦帳戶 點選電腦帳戶 點選下一步 4.11.6 選擇本機電腦 點選本機電腦 ( 執行這個主控台的電腦 ) 點選完成 第 60 頁

4.11.7 新增憑證管理單元完成 當憑證 ( 本機電腦 ) 新增完成後 點選關閉 點選確定 第 61 頁

5. 附件 無 第 62 頁