IIS6的SSL配置，如何配置SSL到登陆页，如何将SSL证书设置成受信任的证书

一、 申请证书
1. 到受信任的机构申请

略

2. 到自建的证书服务器申请

a. 安装证书服务

通过控制面板中的“添加/删除程序”，选择“添加/删除Windows组件”。在Windows组件向导中找到“证书服务”，安装即可，基本都是下一步（需要系统盘或者指定系统镜像的I386文件夹）。

如果觉得这期间设置有问题，删除此组件重新安装即可（此过程中重新设置）。

安装的过程中会提示需要IIS及ASP，单击“是”即可。

安装完毕，申请证书的地址就是http://你的证书服务器IP/certsrv/

b. 准备证书

到要申请证书的网站，右键点击“属性”→“目录安全性”→“服务器证书”→“新建证书”→“现在准备证书请求，但稍后发送”→设置证书的名称和特定位长，在位长处我们通过下拉菜单选择512→输入单位信息，包括单位和部门→在站点公用名称窗口输入IP（实际环境输入域名）→填写地理信息→设置证书请求的文件名及路劲，保存的文件名为certreq.txt→完成。

c. 申请

访问http://你的证书服务器IP/certsrv/，点击“申请一个证书”→“高级证书申请”→“使用 base64 编码的 CMC 或 PKCS #10 文件提交 一个证书申请，或使用 base64 编码的 PKCS #7 文件续订证书申请。”

用记事本打开上面保存的那个certreq.txt文件，将里面的内容全部复制，粘贴，提交，完成申请。

二、 颁发证书

1. 到信任机构申请的，按对方说明处理即可。

2. 到自建证书服务器申请的，需要到该服务器颁发。

“开始”→“程序”→“管理工具”→“证书颁发机构”

在待申请的证书上单击鼠标右键，弹出菜单中有“所有任务”项，接着选择子项“颁发”。这时这个“待定申请”就会转移到“颁发的证书”节点下。

在“颁发的证书”下找到刚才那个证书，双击打开。并在“证书属性窗口”的详细信息标签中选择“复制到文件”。

在“证书导出向导”中，任意选择一种CER格式导出，比如“DER 编码二进制”并保存成文件。

三、 安装证书

IIS中选择刚才新建过证书的网站，右键 “属性”→“目录安全性”→“服务器证书”，挂起的证书请求窗口中选择“处理挂起的请求并安装证书”选项。通过浏览按钮找到证书，点击“下一步”，完成安装。

四、 配置IIS

配置到整个网站：
点击网站，右键 “属性”→“目录安全性”→“编辑”，勾选“要求安全通道（SSL）”。

配置到网站的某个目录：
点击该网站的指定目录，右键 “属性”→“目录安全性”→“编辑”，勾选“要求安全通道（SSL）”。

配置到网站的某个页面（比如登陆页）：
点击该网站的指定页面，右键 “属性”→“目录安全性”→“编辑”，勾选“要求安全通道（SSL）”。

五、 添加自签发的 SSL 证书为受信任的根证书（IE）

因为是自己签发的安全证书而不是经过认证的机构签发的，所以 Windows 无法自动信任该证书：此 CA 根目录证书不被信任。

要启用信任，请将该证书安装到“受信任的根证书颁发机构”存储区。单击“安装证书”按钮即可打开 Windows 证书导入向导，单击“ 下一步”即可开始安装证书。然后系统会询问该证书的存储位置。因为是未经认证的组织或个人自己签发的证书，如果选择让 Windows “根据证书类型，自动选 择证书存储”的话，一般会给存储到“中级证书颁发机构”中。以后加密访问该网站的时候还是会收到安全警告。 根据我们的需要 —— 以后打开自己的网站时候不会再发出安全警告，而且又是自己签发的证书，信任不成问题，咱就直接给添加到“受信任的根证书颁发机构”存储中。

点选“将所有的证书放入下列存储(P)”，然后单击“浏览(R)”，打开“选择证书存储”窗口来选择。有些时候可能需要选择“显示物理存储区(S)”，然后勾选“受信任的根证书颁发机构”下面的“本地计算机（Local Computer）”来存储。剩下的就是确认几次，任务完成！然后关闭浏览器重新打开，就可以试试效果了。

其他：403.4自动跳转到https是用js实现自动跳转到https链接，但是实际登陆页如果是https，不做处理的话后续页面也会是https，需要使用js或者后台代码将页面跳转到http的（登陆信息不会丢失）。

补充：证书服务器与web服务器不能是同一台电脑，如果证书服务器在internet不可见，那么即使在IE中添加信任也无效。

参考：

windows server 2003中IIS6.0 搭配https本地测试环境

添加自签发的 SSL 证书为受信任的根证书