最近因為公司組織架構的關係,SSL都要等另一分部的同仁來進行設定,因為只有他有權限去相關主機進行設定,偏偏又有其他網域主機服務需要SSL憑證,只好就先申請Let's Encrypt SSL來安裝,等該同仁有空再換成購買的SSL憑證。
最近因為公司組織架構的關係,SSL都要等另一分部的同仁來進行設定,因為只有他有權限去相關主機進行設定,偏偏又有其他網域主機服務需要SSL憑證,只好就先申請Let's Encrypt SSL來安裝,等該同仁有空再換成購買的SSL憑證。
在安裝過程當中不管透過甚麼方式都無法順利進行安裝(自動驗證),只好使用ZeroSSL並且選擇手動安裝,即便如此在驗證的過程當中也是完全無法自動驗證,最後只好透過使用MAIL驗證的方式才驗證成功,即便如此在安裝好SSL後,想要驗證是否順利安裝依舊無法驗證,看來應該是跟公司防火牆有極大的關係,偏偏防火牆又完全沒有任何阻擋的LOG,一整個就是鬼打牆啊!
順便記錄一下安裝過程的幾個重要步驟,申請憑證的過程就不多說了這在網路上一堆,主要就是要將申請的憑證安裝到IIS主機上面去,一般申請SSL後核發的檔案會有三個分別是certificate.crt、ca_bundle.crt、private.key,但是這三個檔案是無法直接安裝在IIS上面的,因為IIS是吃.pfx的檔案格式,因此我們需要先將檔案轉換成pfx才行。
要轉換檔案需要先下載OpenSSL來替我們進行檔案的轉換,進到OpenSSL網站後看你作業系統是32位元還是64位元來下載對應的檔案並安裝。
安裝完成後打開OpenSSl的程式。
開啟後輸入以下指令接換到SSL檔案所存放的資料夾路徑,請自行替換路徑位置。
cd C:\SSL
接著再輸入以下指令,檔案名稱請自行替換,注意在這過程當中會需要你設定密碼,這個等等在IIS匯入憑證的時候會需要你輸入密碼來驗證。
openssl pkcs12 -export -in certificate.crt -inkey private.key -certfile ca_bundle.crt -out sample.pfx
指令執行後就會在上面指定的目錄資料夾當中看到產生的sample.pfx檔案了。
接下來在命令視窗中輸入以下指令開啟主控台
MMC.exe
在主控台畫面點選左上角的檔案=>新增/移除嵌入式管理單元。
找到憑證這個單位並將其移到右邊完成後按下確定。
接著在主控台憑證單元中,找到中繼憑證授權單位用滑鼠右鍵點選所有工作=>匯入將剛剛的pfx檔案匯入。
接著開啟IIS主機在設定部分點選伺服器憑證
在右邊找到匯入的選項點擊匯入
接著匯入pfx的檔案並輸入先前產生pfx檔案時所設定的密碼最後按下確定。
完成匯入後選擇要安裝SSL的網站並點選右邊的繫結開啟設定視窗。
接著點選新增開起站台繫結設定視窗,類型改為https,主機名稱請輸入自己的網域名稱,SSL憑證選擇剛剛所匯入的憑證,最後按下確定就完成SSL設定這時開啟網站就會啟用SSL了。
留言