在配置IIS(Internet Information Services)以支持HTTPS时,一个常见的需求是创建和使用自签名证书。这使得您可以在没有购买正式SSL证书的情况下进行安全通信。以下步骤将指导您如何为IIS服务器生成并安装自签名证书。
准备工作
首先确保您的计算机上已经安装了IIS,并且具有管理员权限。确认您的Windows操作系统版本支持“MakeCert”工具或“Certreq”命令行工具,这些工具可以帮助我们创建自签名证书。
使用MakeCert生成自签名证书
步骤1: 打开命令提示符(以管理员身份运行)。
步骤2: 输入以下命令来生成一个新的自签名证书:makecert -r -n "CN=YourServerName" -b 01/01/2023 -e 01/01/2024 -eku 1.3.6.1.5.5.7.3.1 -ss my -sr localmachine -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12
请将 “YourServerName” 替换为您服务器的实际名称。
此命令会生成有效期为一年的自签名证书,并将其存储在个人证书存储区。
使用Certreq生成自签名证书
如果您的系统不支持MakeCert,可以考虑使用Certreq工具。
步骤1: 创建一个文本文件,命名为 certreq.inf,内容如下:
[NewRequest] Subject = "CN=YourServerName" Exportable = TRUE KeyLength = 2048 KeySpec = 1 KeyUsage = 0xA0 MachineKeySet = TRUE ProviderName = "Microsoft RSA SChannel Cryptographic Provider" RequestType = Cert [EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
请记得替换 “YourServerName” 为您的服务器名。
步骤2: 在命令提示符中执行以下命令:certreq -new certreq.inf certreq.req
这将根据提供的模板生成一个请求文件。
步骤3: 接下来,用以下命令提交请求并立即签发证书:certreq -submit -config "LOCALHOSTRootCA" certreq.req certreq.cer
注意:如果您没有本地根证书颁发机构,则需要省略 “-config” 参数。
步骤4: 导入刚刚生成的证书:certreq -accept certreq.cer
安装自签名证书到IIS
步骤1: 打开IIS管理器,找到左侧列表中的目标网站。
步骤2: 双击右侧操作面板中的“服务器证书”。
步骤3: 点击“完成”按钮旁边的“创建自签名证书…”链接。
步骤4: 如果之前通过其他方式生成了证书,可以选择“导入”功能,浏览并选择已有的.pfx格式证书文件。
步骤5: 完成后,在“站点绑定”设置里添加HTTPS类型的新绑定,指定端口号(通常是443),然后从下拉菜单选择刚才创建或导入的证书。
验证证书安装
为了确保一切正常工作,请尝试访问https://yourserver:port/ (将 ‘yourserver’ 和 ‘port’ 替换为实际值),检查浏览器是否显示绿色锁图标表示连接安全。如果有任何警告信息出现,可能是因为浏览器无法识别自签名证书作为可信来源;对于测试环境来说这是正常的,但对于生产环境则建议采购正式SSL证书。
通过上述步骤,您可以轻松地为IIS服务器生成并安装自签名证书。这对于开发和测试环境特别有用,因为它允许您在不需要购买昂贵的商业SSL证书的情况下建立安全的HTTPS连接。在正式部署到公网前,请考虑获取由受信任的第三方认证机构颁发的SSL证书,以避免客户端遇到不受信任的安全警告。
