1、windows server12 iis伺服器申請證書時需要提供的申請文件內容怎麼獲得
1首先打開iis管理器, 2然後在右擊默認網站,在單擊屬性。 3這里在單擊目錄安全性,在單擊伺服器證書。 4這里在單擊下一步。 5這里在選擇新建證書,在單擊下一步。 6在選擇現在准備證書請求,但稍後發送,在單擊下一步。 7在名稱這里可以輸入網站,在單擊下一步。 8在單位和部門輸入在單擊下一步。 9在公用名稱可以域名,輸入之後在單擊下一步。 10這里在輸入省/市,在單擊下一步。 11這里就默認就可以了,在單擊下一步。 12配置好之後在單擊下一步。 13如下圖完成了web服務項器證書。 14在打開剛才保存的證書可以看到了如下圖加密的文件。
2、iis伺服器證書添加為什麼丟失
盡管Windows伺服器憑借其特有的穩定性,贏得了眾多用戶的青睞;不過在該伺服器中搭建IIS伺服器時,IIS伺服器的安全並不是無懈可擊,這主要是Windows伺服器中的IIS組件存在不少安全漏洞,這樣一來就很容易招來各種非法攻擊,盡管通過安裝相關補丁能夠及時修復這些安全漏洞,但無奈新漏洞又會層出不窮地出現。為了讓IIS伺服器變得無懈可擊,本文特意為各位準備了以下安全防範招法,相信在這些招法的「保駕護航」下,你的IIS伺服器的安全性能一定得到進一步增強。 1、及時刪除無效映射 在默認狀態下,IIS伺服器會自動創建好十幾種應用程序的映射關系,可事實上,許多Web網站僅僅用到asp這個應用程序映射,其他應用程序映射幾乎沒有任何作用;如果你將這些用不著的無效映射保留在IIS伺服器中的話,它們可能會給伺服器帶來安全威脅,因為不少應用程序映射都存在安全漏洞,這些漏洞往往很容易被黑客或非法攻擊者利用。為此,筆者建議各位僅將Web網站使用到的幾個應用程序映射保留下來,而其他用不著的映射必須及時刪除,哪怕以後需要用時再重新添加一次也可以。在刪除無效應用程序映射時,你可以按照下面的步驟來操作: 依次單擊「開始」/「程序」/「管理工具」/「Internet服務管理器」命令,在彈出的Internet信息服務控制台窗口中,用滑鼠右鍵單擊目標Web網站,從彈出的快捷菜單中執行「屬性」命令,在其後出現的Web站點屬性設置窗口中,單擊「主目錄」標簽; 在接著出現的對應標簽頁面中,單擊「配置」按鈕,進入到應用程序映射配置界面;從該界面中,你將看到IIS伺服器已經自動創建好十幾種應用程序的映射關系了;此時你可以選中某個暫時用不到的應用程序的映射項目,然後單擊「刪除」按鈕,就能把當前選中的映射項目刪除掉了。你也可以接著Ctrl、Shift鍵來同時選中多個無效的應用程序映射項目,然後再單擊「刪除」按鈕,這樣就能一次性刪除多個無效程序映射項目了。 當然,要是你的確需要某個應用程序映射項目時,就必須在系統中安裝對應該映射的系統修補補丁,同時打開對應映射項目的編輯窗口,並將該窗口中的「檢查文件是否存在」復選項選中;如此一來,日後IIS伺服器一旦接受到對應文件請求時,就會自動先檢查對應文件是否存在,要是文件的確存在的話,IIS才會去調用映射中事先定義好的動態鏈接庫來解析目標文件。 2、取消匿名訪問功能 要是允許任何人隨意訪問IIS伺服器的話,那麼伺服器遭受攻擊的可能性就會大大增加;要想盡可能地降低被攻擊的風險,對伺服器進行限制訪問就成為了必然需求。目前限制用戶訪問最常用的一種方式,就是對用戶的身份進行驗證,但無奈IIS伺服器在默認狀態下,會允許匿名訪問的;因此在對用戶進行身份驗證之前,你必須先取消IIS伺服器的匿名訪問功能: 依次單擊「開始」/「程序」/「管理工具」/「Internet服務管理器」命令,在彈出的Internet信息服務控制台窗口中,用滑鼠右鍵單擊目標Web網站,從彈出的快捷菜單中執行「屬性」命令,在其後出現的Web站點屬性設置窗口中,單擊「目錄安全性」標簽;在對應標簽頁面的「匿名訪問和驗證控制」設置項處,單擊「編輯」按鈕,在彈出的設置窗口中,取消「匿名訪問」選項的選中狀態;接著再選中「集成Windows驗證」復選項,再單擊一下「確定」按鈕就可以了。 3、進行SSL加密驗證 大家知道在預設狀態下,SSL伺服器是通過http協議以普通明文的方式來傳輸信息的,黑客或非法攻擊者只要通過專業的嗅探器,就能輕易截取傳輸的帳號或密碼,這樣就容易給IIS伺服器自身帶來安全危險。為了阻止黑客或非法攻擊者輕易竊取重要的隱私信息,你可以採用下面的方法來對IIS伺服器進行SSL加密驗證,以便對在IIS伺服器中傳輸的信息進行加密: 要想對IIS伺服器進行SSL加密,你首先需要在Windows 2003伺服器系統中安裝證書服務,而在默認狀態下該服務是沒有被安裝的。在安裝證書服務時,你可以依次單擊「開始」/「設置」/「控制面板」命令,在其後出現的控制面板窗口中,雙擊「添加/刪除程序」圖標,然後單擊「添加/刪除Windows組件」標簽,並在對應的標簽頁面中,選中「證書服務」選項,單擊「下一步」按鈕,在接著出現的向導設置窗口中,選中「獨立根CA」選項,繼續單擊「下一步」按鈕後,正確設置好CA伺服器的名稱信息以及使用期限,最後再為證書資料庫以及相關日誌文件指定好保存路徑,就可以完成對證書服務的安裝操作了。 接著我們需要對安裝在SSL伺服器中的目標網站,創建一個請求證書文件。在創建請求證書文件時,必須依次單擊「開始」/「程序」/「管理工具」/「Internet服務管理器」命令,在彈出的Internet信息服務控制台窗口中,用滑鼠右鍵單擊目標Web網站,從彈出的快捷菜單中執行「屬性」命令,在其後出現的Web站點屬性設置窗口中,單擊「目錄安全性」標簽; 在對應標簽頁面的「安全通信」設置項處,單擊一下「伺服器證書」按鈕,在接著打開的證書創建向導窗口中,單擊「下一步」按鈕,在隨後彈出的設置窗口中,選中「創建一個新證書」選項,繼續單擊「下一步」按鈕,然後將「現在准備請求,但稍候發送」項目選中; 當向導窗口出現命名和安全設置提示時,你必須要為新證書正確輸入證書名稱,同時設置好加密密鑰的位長,默認位長為512位;繼續單擊「下一步」按鈕,然後按照提示設置好證書的組織單位、公用名稱等信息,再設置好請求證書的保存路徑,最後單擊「完成」按鈕就可以了。 完成上面的設置後,你還需要將前面創建好的請求證書文件提交給IIS網站的證書伺服器。在將請求證書文件提交給IIS網站的證書伺服器時,首先需要將Windows系統目錄「system32」下的「CertSrv」子目錄,直接復制到目標網站的根目錄下;然後在伺服器系統中打開IE瀏覽器窗口,並在其地址欄中輸入「/CertSrv/default.asp」URL地址(其中「」為目標網站的網址),在接著出現的證書服務歡迎界面中,單擊一下「申請一個證書」鏈接,並在其後的頁面中將證書申請類型設置為「高級證書申請」;接下來在高級證書申請頁面中,單擊「使用base64編碼……」鏈接,然後把前面創建好的證書請求文件,直接復制到此處的「保存的申請」文本框中,再單擊「提交」按鈕就能完成證書請求文件的提交任務了。 一旦將請求證書文件提交給證書伺服器後,你還需要進行頒發證書操作,才能使證書有效。在頒發證書時,你可以依次單擊「開始」/「設置」/「控制面板」命令,在彈出的控制面板窗口中,找到「證書頒發機構」圖標,然後用滑鼠雙擊該圖標;在接著打開的設置窗口中,將滑鼠定位到「掛起的申請」選項上,然後用滑鼠右鍵單擊前面申請的證書,在其後彈出的右鍵菜單中依次單擊「所有任務」/「頒發」命令; 等到頒發操作完畢後,再雙擊剛剛頒發成功的證書,並在證書設置窗口中單擊「詳細信息」標簽,然後在對應標簽頁面中單擊一下「復制到文件」按鈕,打開一個文件導出向導界面,根據向導提示設置好導出文件的名稱以及保存路徑,最後單擊一下「完成」按鈕。 頒發完伺服器證書之後,IIS伺服器還沒有把SSL加密功能啟動起來,你還需要在Internet服務管理器控制台中,對IIS伺服器進行進一步配置。在配置時,你必須重新進入到目標網站的「目錄安全性」標簽頁面,再次單擊該頁面中的「伺服器證書」按鈕,在隨後打開的設置窗口中,將「處理掛起的請求……」項目選中,接著按照向導提示設置好伺服器證書文件的存放路徑,同時啟用SSL默認的「443」埠,再單擊「完成」按鈕;然後重新返回到「目錄安全性」標簽頁面,單擊「安全通信」設置項處的「編輯」按鈕,在其後打開的編輯設置窗口中,將「要求安全通信」選項選中,最後單擊一下「確定」按鈕,這樣IIS伺服器的SSL加密功能就被正式啟用了。日後你想訪問目標網站「」時,就必須在IE地址欄中輸入「https://」才可以瀏覽到網站內容,而且你在該網站中提交的任何信息都是被加密之後才傳輸的,因此網站信息的安全性就會得到大大增強。 4、巧用日誌尋找安全隱患 任何對IIS伺服器的訪問,都會在伺服器中留下訪問記錄,黑客或非法攻擊者的訪問同樣也會在日誌文件中留下痕跡;因此,要是我們能活用日誌文件,就能及時知道黑客是否對IIS伺服器進行了攻擊,並且還能知道什麼時候進行了攻擊;一旦發現有攻擊記錄時,必須及時採用安全應對措施來阻止黑客的繼續攻擊。考慮到IIS伺服器的日誌記錄,在默認狀態下保存在Windows系統的「system32\logfiles」文件夾中,許多黑客很容易從這里找到原始日誌文件,並對該日誌文件進行修改,從而抹除其攻擊痕跡,這樣我們就無法從日誌文件中知道IIS伺服器是否存在安全隱患。為了阻止黑客隨意更改日誌記錄文件,你可以按照如下步驟來修改日誌文件的保存路徑: 依次單擊「開始」/「程序」/「管理工具」/「Internet服務管理器」命令,在彈出的Internet信息服務控制台窗口中,用滑鼠右鍵單擊目標Web網站,從彈出的快捷菜單中執行「屬性」命令,在其後出現的Web站點屬性設置窗口中,單擊「Web站點」標簽;在對應的標簽頁面中,將「啟用日誌記錄」選項選中,同時單擊一下「屬性」按鈕,在隨後出現的屬性設置框中,你將看到IIS伺服器的日誌文件默認存放位置為「%Windir%\System32\Logfiles」; 此時你可以單擊「瀏覽」按鈕,在接著出現的文件夾選擇對話框中,選擇一個藏匿較深的子文件夾,作為IIS伺服器日誌文件新的存放位置。此外,為了能讓日誌文件及時記錄黑客攻擊行為,你最好在「新日誌時間間隔」設置項處,選中「每天」選項;然後在「擴充的屬性」標簽頁面中,你必須指定IIS伺服器到底記錄哪方面的內容;最後為了防止黑客隨意改動日誌文件,你還需要返回到系統資源管理器窗口,修改一下目標日誌文件的屬性,讓日誌文件只有本地管理員才有許可權訪問。完成上面的設置後,IIS伺服器的日誌文件就能發揮應有作用,並能幫助你及時查找到伺服器中存在的安全隱患了。 5、限定特定區域主機的來訪 要是安裝在IIS伺服器中的防火牆,總提示你有來自特定區域的某些上網主機,在不斷嘗試著攻擊你的伺服器時,你完全可以將這些「可疑」主機全部封殺,以阻止它們對伺服器的繼續攻擊。在封殺這些「可疑」主機時,你可以按照如下步驟來進行: 依次單擊「開始」/「程序」/「管理工具」/「Internet服務管理器」命令,在彈出的Internet信息服務控制台窗口中,用滑鼠右鍵單擊目標Web網站,從彈出的快捷菜單中執行「屬性」命令,在其後出現的Web站點屬性設置窗口中,單擊「目錄安全性」標簽; 在對應的標簽頁面中,單擊「IP地址及域名限制」設置項處的「編輯」按鈕,在彈出的設置窗口中,你可以選中「授權訪問」選項,然後在「以下所列除外」列表處單擊「添加」按鈕,在其後彈出的「拒絕訪問」設置框中,你可以將「一組計算機」選中,接著輸入該組區域中的任何一台計算機的IP地址,同時在「子網掩碼」處輸入該區域的子網掩碼,這樣你就能將來自「可疑」區域的全部主機都封殺掉了。 要是你只想對單台可疑計算機進行「封殺」的話,那麼你可以選中「一台計算機」選項,同時在「IP地址」文本框中直接輸入需要封殺的計算機IP地址,最後單擊「確定」按鈕返回到圖7所示的設置窗口中;倘若還想限制其他單台計算機對IIS伺服器的訪問時,你可以繼續單擊「添加」按鈕,然後繼續輸入需要限制的計算機IP地址,這樣所有出現在「以下所列除外」框中的目標計算機,都沒有訪問IIS伺服器的許可權了,而其他計算機都能正常訪問IIS伺服器。 6、巧用內容分級確保訪問安全 要是在IIS伺服器中發布的網站信息,你不想讓所有訪問者都能看到的話,那麼你可以對發布的網站內容進行分級設置,以便阻止受限用戶隨意查看目標站點的內容。巧用內容分級功能,你可以輕松限制哪些網站內容可以被授權訪問,哪些內容又不能被用戶隨意訪問。要對目標網站進行內容分級的話,可以按照下面的步驟來進行: 依次單擊「開始」/「程序」/「管理工具」/「Internet服務管理器」命令,在彈出的Internet信息服務控制台窗口中,用滑鼠右鍵單擊目標Web網站,從彈出的快捷菜單中執行「屬性」命令,在其後出現的Web站點屬性設置窗口中,單擊「HTTP頭」標簽; 在對應的標簽頁面中,你可以單擊「內容分級」設置項處的「編輯分級」按鈕,在其後打開的編輯設置窗口中,單擊「分級」標簽,然後在標簽頁面中,將「此資源啟用分級」復選框選中; 下面,在「類別」設置項處,選中一種合適的類別名稱,這樣對應類別的分級滑塊將會自動顯示出來,此時你只要移動該滑塊,就能改變當前類別的分級級別;完成好上面的設置操作後,再單擊一下「確定」按鈕,這樣就能把前面的設置保存好了,以後瀏覽者在訪問指定類別內容時,就會受到一定的限制了。
3、IIS伺服器安裝SSL證書後提示不可信怎麼辦
IIS伺服器安裝SSL證書後提示不可信怎麼辦?
SSL證書應用越來越普及,很多站點都開始部署SSL證書來加密重要數據和預防釣魚網站。不同的伺服器環境安裝SSL證書的方法和出現的問題各不相同,這里給大家介紹常見的IIS伺服器安裝SSL證書後提示不可信的解決辦法!
第一步:打開mmc——點擊文件——添加刪除管理單元——證書——計算機帳戶
第二步:在計算機帳戶的個人證書裡面導入pfx格式的證書,導入時選擇將證書全部導入到個人裡面,然後在個人裡面可以看到下面三個證書;
第三步:將中級根和交叉根直接拖到到中級證書頒發機構裡面
第四步:找到受信任的根證書頒發機構,把頂級根拖到不受信任裡面(防止恢復)
(以英文證書鏈為准,中文的就是對應的——CA沃通根證書)
第五步:在IIS裡面找到SSL站點,重新分配證書,重啟站點!
4、IIS怎麼刪除證書文件/如何刪除伺服器證書
刪除證書之前,咗嚛建議應該先導出備份一下證書文件。點擊打開IIs找到需要導出的網站,屬性---
目錄安全性---伺服器證書
打開查看伺服器證書---
詳細信息---
復制到文件
然後進入證書導出向導頁面
建議選擇導出私鑰,如果是直接導入的證書可能沒有私鑰。就導出證書文件吧
5、Iis怎麼更新證書
首先找到iis管理器(我的電腦管理也能找到)
internet信息伺服器(IIS)」 在控制面板---管理工具裡面查找
選擇需要更新證書的網站,查看屬性---安全--伺服器證書
更新證書
點擊下一步之後,選擇【更新當前證書】通過更新證書申請來申請證書
然後依次選擇,當然也沒得選了= = 【現在准備證書請求,但稍後發送】
系統會自動生成一個證書申請文件,選擇需要保存的路徑。選擇【瀏覽】
設置好之後,會提示證書申請文件的概要信息。如 機構名稱等
然後點擊下一步,完成。把剛剛導出的那個certereg.txt文件發送郵件到證書頒發機構申請
把申請到的證書,導入到IIS裡面就更新了。
6、網站綠鎖裡面顯示的ssl證書 在iis伺服器證書列表裡面找不到,請問這個證書是在哪兒綁定的
您好,根據確定,您當前的證書並沒有安裝到伺服器,而是採取的(騰訊)CDN控制面板裡面直接配置安裝的,當前您的證書到期時間:2018-07-26,建議您在到期之前, 辦理2年SSL證書信任率較高的SSL證書,可以登陸淘寶搜索:Gworg(辦理相關SSL證書與安裝業務)。
7、IIS伺服器申請伺服器證書的目的是什麼?
保證來訪者的身份,是否合法,比如現在的網上銀行都是會給一個U盾的,保證你的身份,證書部分的概念比較多一點,CA,RA(證書頒發機構),現在的銀行做的都不好,CA應該是第三方信任的機構,而不應該是相關的銀行的,總之一句話:一定程度上保證來訪者的身份,希望幫到你
8、如何在win7上為IIS伺服器配置SSL服務!
1.1 配置伺服器證書
第一步:執行「開始à程序à管理工具àInternet服務管理器」,打開服務管理器。
第二步:右鍵單擊需要採用SSL協議的WEB站點,選擇「屬性」,在Web站點選項視圖中填寫SSL埠為:443。(也可以根據需要修改埠)如圖
第三步:選擇「目錄安全性」選項,第四步:選擇伺服器證書,單擊下一步會出現設置IIS伺服器證書向導,
第五步:選擇「創建一個新證書」,然後跟隨向導填寫相關內容,生成證書申請書。用此申請書到CA簽發伺服器證書。注意在CA填寫的證書申請信息一定要同此處填寫的證書申請信息相同。
第六步:當證書簽發完畢後,再次打開向導,現在里邊的選項已經不同了,跟隨向導將證書導入,關於每一步向導中都備有詳細說明,這里不做贅述。
第七步:現在,你的伺服器已經有了屬於自己的證書,我們可以開始配置SSL選項。在「目錄安全性」選項視圖下的「安全通信」中選擇「編輯」選項。如圖
第八步:在此選擇「申請安全通道(SSL)」項,就已經建立起SSL通道,在「客戶證書」項下可以選擇驗證客戶證書的具體方式,「忽略客戶證書」是不要求驗證客戶證書,「接收客戶證書」是用證書驗證擁有證書的客戶,沒有證書的客戶按其他方法來驗證。「申請客戶證書」是只與擁有證書的客戶進行通信。我們可以根據需要來進行選擇。對於雙向驗證要求選擇「申請客戶證書」。
第九步:在服務端導入CA根證書
在IIS伺服器上,雙擊打開CA的根證書(必須是簽發IIS伺服器證書的CA)。CA的
根證書可以從CA的網站上下載
單擊安裝證書,出現安裝證書向導
單擊下一步選擇證書存儲區域,
選擇「將所有證書放入下列存儲區域」,單擊「瀏覽」出現選擇存儲區域對話框,
選中「顯示物理存儲區」後,選擇「受信任的根證書頒發機構->本地計算機」,單擊確定。
顯示我們剛剛選擇的路徑,單擊下一步,顯示我們剛剛做過的設置
單擊完成按鈕,導入CA根證書完成。
第十步:取消IIS對CRL列表信息的校驗
在公安PKI/PMI體系中,對於證書有效性的驗證在應用程序中進行。故需要取消IIS自身對CRL的檢驗。
在控制台下進入C:\Inetpub\AdminScripts目錄(這個目錄在安裝完IIS後會自動生成)
執行如下命令,取消IIS對CRL的校驗:
cscript adsutil.vbs set w3svc/certcheckmode 1
9、IIS證書伺服器的作用?
安裝以後 擁有證書客戶端 可以正常瀏覽網頁等。
10、一個iis 伺服器只能有一個 ssl證書嗎
如伺服器支持SNI(證書擴展功能),就可以綁定多個SSL證書。SSL證書的申請安裝和技術問題等,可以找GDCA,我司就是跟他們合作的。