2018年12月25日 星期二

IIS 8.5 匯入Wildcard SSL憑證實作

這陣子將組織內的部分網站裝上Wildcard SSL憑證,作了一些記錄......

-----------------------------------
一般的SSL憑證申請/安裝流程,簡單來說是:
1. 建立憑證要求,會產出CSR檔(CSR包含了Key檔)
2. 將CSR檔提供給憑證發行機構(或是由代理商提交)
3. 認證後,憑證發行機構會將憑證寄到申請者的信箱(通常是ZIP檔)
4. 將憑證以完成憑證要求的方式匯入

------------------------------------
但由於是購買COMODO發行的Wildcard (又稱萬用型)SSL,好處是使用相同域名的主機都可安裝,但申請時是由A主機產生CSR/key,在收到憑證檔之後,要匯入B、C、D、......主機時,因為其他主機並不是一開始建立憑證要求(CSR檔),所以就不適用後續的完成憑證要求。

所以流程就有點不一樣了,但IIS要匯入憑證基本上並不會太複雜

------------------------------------
IIS 8.5的安裝/匯入流程:
1. 將申請憑證時的主機產出的.key檔務必保留著;申請流程非本文重點,故不多加詳述。
2. COMODO認證、憑證核發後是採用email寄到admin@exmple.com的信箱,所以就到自己admin信箱去收信;憑證核發的mail有附帶一個.zip檔,將zip檔解壓縮後會有兩個檔案。

例如:
server.crt →憑證
server.ca-bundle →使用apache的web server安裝憑證會需要用到的檔案

(圖例中的.key檔是原申請主機產出的,筆者只是放到與.zip核發憑證同一資料夾)

3. 由於IIS匯入憑證,需要.pfx檔,所以就需要使用OpenSSL的指令將.crt與.key合併。如果沒有OpenSSL則先安裝。在使用系統管理員身分開啟CMD(命令提示字元),到OpenSSL\bin的路徑。

4. 將crt與key合併,參考指令如下:
-------------------------------
openssl pkcs12 -export -in server.crt -inkey server.key -out server.pfx -certfile ca.crt -password pass:123456
-------------------------------
簡要說明:
「-certfile ca.crt」是如果有中繼憑證,可一起合併
「-password pass:123456」是.pfx匯入IIS時需要輸入密碼,所以在此需要建立一組密碼,難易皆可,重點是不可忘記

5. 合併產出後的檔案,複製到需要安裝的主機(通常是桌面,方便匯入時好找的路徑)

6. 開啟該主機IIS→到「伺服器憑證」

7. 點選右側的「匯入」,會跳出憑證匯入的視窗

8. 選擇.pfx憑證所在路徑,並輸入密碼(步驟4合併.crt、.key時建立的),匯入憑證儲存區為「個人」,確認後就可點選「確定」完成

9. 完成後就會回到「伺服器憑證」,可以看到多了一個憑證,可以按F5重新整理,確認憑證還在(如果重新整理後消失,表示憑證並非該主機可用)。這樣就完成憑證匯入了

10.接著就是到「站台」→在「Default Web Site」點滑鼠右鍵,點選「編輯繫結」

11.接著會跳出站台繫結視窗,點選「新增」

12.新增https的站台,SSL憑證則下拉選擇剛才匯入的憑證後,按「確定」完成

13.完成後回到站台繫結視窗,就多了一個https的站台了,完成後記得開開看網頁,確認該https站台是否有完成「建立安全連線」了

---------------------------------------------------
參考資料 -- OpenSSL指令參考於:
https://ssorc.tw/7142

==============================
相關文章:
1. 〈Exchange 2013 使用EAC匯入SSL憑證實作〉
2. IIS 8.5 匯入Wildcard SSL憑證實作
3. 在IIS (單一主機同IP)設定多HTTPS網站

沒有留言:

張貼留言

創用 CC 授權條款
本著作由Clement_Hsu製作,以創用CC 姓名標示-非商業性-相同方式分享 4.0 國際 授權條款釋出。