OpenSSL来制作证书,在IIS中配置HTTPS(SSL)笔记

第11卷第1期沙洲职业工学院学报V ol. 11, No.1 2008年3月 Journal of Shazhou Professional Institute of Technology Mar. , 2008 利用OpenSSL实现IIS服务器安全通信汤建龙，陆国浩（沙洲职业工学院，江苏张家港 215600）摘要：简述了基于SSL的信息安全通道的原理及应用，介绍了利用OpenSSL软件包在windows 2000 server上IIS服务器搭建一条基于SSL的信息安全通道的过程，其中包括对CA服务的配置，WEB服务器端证书的申请、安装和配置，以及客户端和服务端SSL的通信过程。

关键词：OpenSSL；IIS；证书中图分类号：TP39 文献标识码：A 文章编号：1009－8429(2008)01－0012－05Realizing the Secure Communication on the IIS server with the OpenSSLTANG Jian-long，LU Guo-hao( Shazhou Professional Institute of Technology, Zhangjiagang 215600, China )Abstract: This paper summarizes the principle and the application of SSL-based information security channel, introduces the process for the SSL-based information security channel with the Open SSL software package on the Windows 2000 server and the IIS server, including the CA service configuration, the application for, the installation as well as the disposition of the WEB server certificate, and the SSL course of communications between the client end and the server end.Key words: OpenSSL; IIS; Certificate0 引言随着计算机网络技术的发展，互连网成为人们日常生活中获取信息的主要方式之一。

在IIS下部署SSL证书实现HTTPS【来源：小鸟云计算】Ps.小鸟云，国内专业的云计算服务商HTTPS是以安全为目标的HTTP通道，简单讲是HTTP的安全版。

谷歌已经制定了一项长远的计划，它的最终目标是将所有通过HTTP协议呈现的网页标为“不安全”，对于站长来说，部署SSL证书来迁移到HTTPS是一个现实和重要的问题，那么，对于IIS系统来说，如何部署SSL证书实现HTTPS协议呢？下面就讲述一下具体的实现方法。

IIS6对于IIS6 来说，支持PFX格式证书，下载包中包含PFX格式证书和密码文件。

（1 ）证书导入开始-〉运行-〉MMC；启动控制台程序，选择菜单“文件”中的“添加/删除管理单元”-> “添加”，从“可用的独立管理单元”列表中选择“证书”-> 选择“计算机帐户”；在控制台的左侧显示证书树形列表，选择“个人”->“证书”，右键单击，选择“所有任务”-〉“导入”，根据“证书导入向导”的提示，导入PFX文件（此过程当中有一步非常重要：“根据证书内容自动选择存储区”）。

安装过程当中需要输入密码为当时设置的密码。

导入成功后，可以看到证书信息。

（2 ）分配服务器证书打开IIS管理器（或开始-运行-输入inetmgr-回车）。

选择网站，右键打开“属性”，选择“目录安全性”，点击“服务器证书”。

根据证书配置向导，点击“下一步”。

如果已经完成了“证书导入”，则选择“分配现有证书”，选择已经导入的证书即可。

否则，选择“从。

pfx文件导入证书”，点击下一步。

浏览选择。

pfx格式的证书文件，点击“下一步”。

输入证书的密码，并继续下一步。

确认SSL端口为：443，点击下一步，并完成IIS证书配置。

可通过“查看证书”，确认证书是否导入成功。

Chrome将在网站上显示不安全警告IIS7/8IIS 7/8 支持PFX格式证书，下载包中包含PFX格式证书和密码文件。

（1 ）证书导入开始-〉运行-〉MMC；启动控制台程序，选择菜单“文件”中的“添加/删除管理单元”-> “添加”，从“可用的独立管理单元”列表中选择“证书”-> 选择“计算机帐户”；在控制台的左侧显示证书树形列表，选择“个人”->“证书”，右键单击，选择“所有任务”-〉“导入”，根据“证书导入向导”的提示，导入PFX文件（此过程当中有一步非常重要：“根据证书内容自动选择存储区”）。

ssl tools for iis 工具使用方法以下是一些用于IIS的SSL工具的使用方法：1. OpenSSL：这是一个开源的安全套接字层(SSL)工具包，可以在IIS上使用。

您可以使用以下命令来生成和管理SSL证书： - 生成证书请求：openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr- 生成自签名证书：openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt- 创建PFX文件：openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt2. IIS SSL/ TLS证书生成工具：这是微软提供的一个工具，可以帮助您在IIS上生成和管理SSL证书。

您可以按照以下步骤使用该工具：- 打开IIS管理器，选择服务器节点，双击“服务器证书”。

- 在右侧操作窗格中，选择“生成证书请求”或“导入证书”。

- 根据向导提供的信息，填写证书请求或导入现有证书。

3. Let's Encrypt：这是一个免费的证书颁发机构，提供了一个名为Certbot的工具，可以用于在IIS上自动安装和更新SSL证书。

您可以按照以下步骤使用Certbot：- 安装Certbot工具，并运行命令：certbot certonly --webroot -w [网站根目录] -d [您的域名]- Certbot将验证您的域名所有权，并为您生成和安装SSL证书。

4. IIS Crypto：这是一个图形化工具，用于配置IIS服务器上的SSL和TLS设置。

您可以按照以下步骤使用IIS Crypto：- 下载并运行IIS Crypto工具。

- 在“Best Practices”选项卡中，选择适当的安全套件，然后点击“Apply”应用更改。

在IIS上SSL的部署和启动SSL安全在这次的项⽬中遇见了这个问题，之前我并懂了不了多少，只对了SSL和HTTPS理论了解。

但并不知道在实际中如何运⾏。

经过⾃⼰在⽹上查阅⼀番，最后靠⾃⼰解决了这个问题，现在在这⾥和⼤家分享⼀下。

如果写的有不对或者是不恰当的，就请⼤家指正，多交流。

SSL（安全套接⼦层：Secure Socket Layer）：SSL是Secure Socket Layer（安全套接⼦层）：是由⽹景公司（Netscape）⾃主研发的⽤以保障在Internet上敏感数据传输之安全，利⽤数据加密技术，可确保数据在⽹络上之传输过程中不会被截取及窃听。

SSL协议位于TCP/IP协议与各种应⽤层协议之间，为数据通讯提供安全⽀持。

SSL协议可分为两层： SSL记录协议（SSL Record Protocol）：它建⽴在可靠的传输协议（如TCP）之上，为⾼层协议提供数据封装、压缩、加密等基本功能的⽀持。

SSL握⼿协议（SSL Handshake Protocol）：它建⽴在SSL记录协议之上，⽤于在实际的数据传输开始前，通讯双⽅进⾏⾝份认证、协商加密算法、交换加密密钥等。

SSL协议提供的服务主要有：１：认证⽤户和服务器，确保数据发送到正确的客户机和服务器；２：加密数据以防⽌数据中途被窃取；３：维护数据的完整性，确保数据在传输过程中不被改变。

HTTPS（安全超⽂本传输协议：Secure Hypertext Transfer Protocol）：HTTPＳ（Secure Hypertext Transfer Protocol）安全超⽂本传输协议就是应⽤了⽹景公司的安全套接字层（SSL）作为HTTP应⽤层的⼦层。

（HTTPS默认端⼝为443）SSL使⽤40 位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。

HTTPS 和SSL⽀持使⽤X.509数字认证，如果需要的话⽤户可以确认发送者是谁．HTTPS是以安全为⽬标的HTTP通道，简单讲是HTTP的安全版。

Linux命令高级技巧使用openssl生成和管理SSL证书使用OpenSSL生成和管理SSL证书一、介绍SSL证书是用于保护网站和网络通信安全的重要工具。

OpenSSL是一个开源加密库，能够提供各种加密算法和SSL/TLS协议的实现。

本文将介绍如何使用OpenSSL生成和管理SSL证书的高级技巧。

二、安装OpenSSL首先，确保已经在Linux系统上安装了OpenSSL。

可以通过以下命令来检查OpenSSL是否已安装：$ openssl version如果没有安装，可以使用包管理工具，如apt、yum等进行安装。

三、生成自签名证书自签名证书用于测试环境或本地开发，不需要经过权威机构的认证。

使用OpenSSL可以轻松生成自签名证书。

以下是生成自签名证书的步骤：1. 生成私钥：$ openssl genrsa -out private.key 20482. 生成证书签发请求(CSR)：$ openssl req -new -key private.key -out csr.csr在生成CSR的过程中，需要填写一些证书相关的信息，如国家、地区、组织、通用名等。

3. 生成自签名证书：$ openssl x509 -req -in csr.csr -signkey private.key -out certificate.crt生成的certificate.crt即为自签名证书，可以用于配置Web服务器等需要SSL证书的场景。

四、生成CA证书除了自签名证书，我们也可以生成CA（Certificate Authority）证书，以进行证书签发。

以下是生成CA证书的步骤：1. 生成私钥：$ openssl genrsa -out ca.key 20482. 生成证书签发请求(CSR)：$ openssl req -new -key ca.key -out ca.csr在生成CSR的过程中，需要填写一些证书相关的信息，如国家、地区、组织、通用名等。

openssl创建ssl证书openssl 创建ssl证书博客分类：•信道加密WebServiceTomcatWeblogic浏览器Scheme转自这里前段时间接触webservice，需要建立基于ssl的webservice以保证安全性，并要提供数字的支持。

关于这部分以前没有搞过，经过摸索总算有些收获。

现在把我的一些经验share一下。

一、数字证书的相关准备关于数字证书部分我是用openssl做的，也是个开源的软件，前不久刚刚发布了1.0版本（做了11年才正式发布，由衷的佩服，老外真是有股哏劲）。

网上很多文章介绍用java自带的keytool命令完成，我没有试过，不过看文章介绍好像keytool没有CA认证的功能。

下面开始数字证书相关操作。

1．下载、安装openssl（好像是废话）Openssl建议大家用1.0版本，毕竟是正式版本。

我用的时候正式版还没出来，当时用的是OpenSSL 0.9.8m，不要用OpenSSL 0.9.8h 这个版本（有个bug，会影响到后面的操作）。

安装后从命令行进入安装目录下的bin目录。

Ready! GO!。

2.创建CA的私钥执行以下命令openssl genrsa -des3 -out ../demo/ca/ca.key 1024demo是我的工作目录,接下来会提示你输入密码，后面用到的密码会很多，最好都认真记下来。

3.创建CA证书openssl req -new -x509 -key ../demo/ca/ca.key -out ../demo/ca/ca.crt -days 365x509是一种加密的标准，-out是指输出的文件路径，-key是指定私钥，也就是上一步生成的那个，-days是指证书有效期。

注：再输入common name时你可以指定你自己的名字，但是不能输入你的服务器名（）4.创建server端的私钥因为咱们是要在server端提供SSL的webservice，所以在server 端需要使用私钥库和信任库。

一、概述在网络通信中，安全性是至关重要的。

为了确保数据的安全传输，使用SSL/TLS证书是一种十分常见的方法。

而openssl是一个开源的加密工具包，可以用来生成、管理和验证SSL/TLS证书。

在openssl 中，使用引擎来生成证书是一种高效的方法。

本文将介绍openssl如何使用引擎来申请证书。

二、openssl引擎概述1. 什么是openssl引擎openssl引擎是一种用于加密和解密操作的软件组件，它可以被openssl库动态加载。

引擎通常用于加速和优化SSL/TLS证书的生成和管理过程，能够提高证书生成的效率和安全性。

2. openssl引擎的种类openssl引擎有多种不同类型，包括软件引擎和硬件引擎。

软件引擎是在软件中实现的算法加速引擎，而硬件引擎则是通过专用的加密硬件实现的。

在openssl中，通过使用不同的引擎可以实现更高效的证书生成和管理过程。

三、使用引擎申请证书的步骤1. 下载和安装openssl在使用openssl引擎之前，首先需要下载和安装openssl工具包。

可以从openssl冠方全球信息站上下载最新版本的openssl工具包，并按照安装说明进行安装。

2. 配置openssl引擎在安装openssl工具包后，需要配置openssl引擎。

通过编辑openssl配置文件，可以指定要使用的引擎类型和参数。

3. 生成证书请求使用openssl工具包中的命令行工具，可以生成证书请求文件。

在生成证书请求时，可以选择指定要使用的openssl引擎，以加速证书生成的过程。

4. 提交证书请求将生成的证书请求文件提交给证书颁发机构（CA），等待CA签发的SSL/TLS证书。

5. 安装证书一旦CA签发了证书，将证书安装到服务器上，使得服务器可以使用生成的SSL/TLS证书进行安全通信。

四、openssl引擎的优势和应用场景1. 优势使用openssl引擎可以提高证书生成和管理的效率。

尤其在大型网络系统中，通过使用引擎可以显著缩短证书生成的时间，提高系统的安全性和可靠性。

openssl做证书的方法
使用 OpenSSL 工具生成证书的方法有多种，以下是其中一种常见的方法：
1. 生成私钥：首先使用 OpenSSL 生成一个私钥文件，可以使用以下命令生成一个 2048 位的 RSA 私钥文件：
openssl genrsa -out private.key 2048。

2. 生成证书签名请求（CSR）：接下来使用私钥生成证书签名请求文件，可以使用以下命令生成 CSR 文件：
openssl req -new -key private.key -out csr.pem.
3. 自签名证书：如果您需要生成自签名的证书，可以使用以下命令生成一个有效期为一年的自签名证书：
openssl req -x509 -days 365 -key private.key -in csr.pem -out certificate.pem.
以上是使用 OpenSSL 工具生成证书的简单方法，您还可以根据具体需求使用 OpenSSL 工具进行更复杂的证书操作，如创建 CA 证书、签发证书等。

希望这些信息能够帮助到您。