IIS web证书申请与安装

数字证书一般是由权威机构颁发的，操作系统会携带权威机构的根证书和中级证书。如果操作系统没有携带权威机构签发的根证书，浏览器会报警，如www.12306.cn，需要安装铁道部根证书后，才能正常访问。

证书使用性质可以分为服务端证书和客户端证书。

web证书是服务端证书，用来证明服务器的身份和进行通信加密。可以防止服务截断及数据窃取，但不能防止欺诈钓鱼站点。如银行官网htttps://www.***b.com,用户访问钓鱼网站：https://www.***bank.com，如果用户无法识别两个网站的真伪，会泄露个人重要信息。

服务端证书不能识别客户端有效性，如需要验证客户端有效性，需要配合客户端证书或客户其他凭证（用户名、密码）。

服务端证书不能保证客户端处数据的安全，在浏览器中毒、电脑中毒、伪造浏览器、浏览器不法收集信息的情况下，数据都有泄露的风险。假如浏览器想收集信息，https是不能防止的。

下面来说说IIS站点部署https的过程：

1、申请证书

1.1、打开IIS，选中左侧根节点，在右侧”功能视图“中，打开“服务器证书”，在最右侧的“操作”窗口，点击“创建证书申请...”,如：

1.2 填写申请资料，如图所示

下一步

下一步命名一个名称mycertreq.txt。导出申请文件，该申请文件将用于权威颁发机构证书申请。

2、权威颁发机构会颁发一个服务器证书，如server.cer。部分机构还会携带中级证书。

2.1、如果携带中级证书，需要先安装中级证书

运行--》“cmd”命令--》“mmc”命令，打开控制台。如果在左侧没有携带“证书”功能菜单，需要在“文件”--》“添加或删除管理单元”--》在可用管理单元中找到“证书”单元，添加到所选单元中。

选中打开”证书“，在左侧子菜单中，找到”中级证书颁发机构“，在其下选中”证书“子菜单，右键--》”所有任务“--》”导入“，导入中级证书。

2.2、在IIS中，选中左侧根节点，在右侧”功能视图“中，打开“服务器证书”，在最右侧的“操作”窗口，点击”完成证书申请...”,选中权威机构颁发的证书。如图：

完成证书导入。

2.3、选中刚导入的证书，导出证书备份*.pfx.此文件可用作证书备份，及在其他机器中直接导入使用（在IIS中，选中左侧根节点，在右侧”功能视图“中，打开“服务器证书”，在最右侧的“操作”窗口，点击”导入”，如果携带中级证书，其他机器先部署中级证书）。

3、为网站设置https绑定。选择要使用https的网站，添加绑定，选择类型https,主机名后，在SSL证书上选择刚导入的证书即可。

天威诚信各种服务器证书申请指南：

http://www.itrus.cn/html/fuwuyuzhichi/fuwuqizhengshuanzhuangpeizhizhinan/

IIS上服务器证书申请安装流程总结：
1、在A电脑上IIS服务器证书中->创建证书申请，导出txt文件
2、提交txt文件到证书颁发机构
3、证书颁发机构颁发证书后，在A电脑的IIS服务器证书中->完成证书申请，选择颁发的“*.cer” 文件

4、在A电脑的IIS中的服务器证书，选中刚导入的证书，选择导出证书“*.pfx”.(此文件包含密钥）
5、在服务器上的IIS的服务器证书中，导入”*.pfx"   (为安全选择不允许导出），服务器具备和A电脑同样证书（可用于多台部署）

6、选择站点，配置ssl证书

注意：

A电脑的安全级别，不要使用公用或个人电脑，最好是使用此证书的web服务器.

如A电脑非使用证书的电脑，在导出“*.pfx"，在确认”*.pfx“可用的情况下,要记得及时删除A电脑上的证书