SSL憑證申請設定 for windows IIS

SSL(Secure Sockets Layer)

是網頁伺服器和瀏覽器之間以加解密方式溝通的安全技術標準，這個溝通過程確保了所有在伺服器與瀏覽器之間通過資料的私密性與完整性， SSL是一個企業級標準，它被數百萬個網站用來保護他們與客戶的線上交易資訊，而為了使用SSL安全連結，一個網頁伺服器需要一張憑證。當您選擇在您的網頁伺服器上啟動SSL時，您將被提示必須填寫幾個關於您伺服器的身份確認問題(例如，您的伺服器網址)和您的公司資料(例如，您的公司名 稱和位置)，然後您的網頁伺服器將建立兩把密鑰，一把私鑰和一把公鑰，您的私鑰之所以如此稱呼的原因是它是用來維持私密性與安全性的，這個公鑰則不需去作 保密並且還置放在憑證需求檔(Certificate Signing Request，簡稱CSR)裡，它是一個包含您詳細資料的檔案，您必須將此CSR傳送給認證中心，透過 SSL 憑證申請程序，發證中心(Certification Authority)將驗證您的詳細資料然後核發一個包含您詳細資料的憑證，如此您才被允許使用SSL。

您的網頁伺服器將使用您的私鑰配合核發給您的SSL憑證，然後您的網頁伺服器就能在伺服器與您客戶的瀏覽器之間建立一個加密連結。

SSL憑證申請購買：

Verisign https://www.verisign.com.tw/ (提供免費試用)

WIS 匯智 SSL 數位憑證中心 https://www.cloudmax.com.tw/ (提供免費試用)

StartSSL http://www.startssl.com/

COMOD https://www.positivessl.com/

Gandi https://www.gandi.net/ssl

申請SSL憑證

提交CSR(證書簽發請求)

可參考：https://support.comodo.com/index.php?/comodo/Knowledgebase/List/Index/19

安裝SSL憑證

會用到
ssk.key
ssl.crt
p12 或 pfx
ca_bundle.crt

這四個檔

1. 打開IIS.

2. 伺服器憑證

3. 匯入p12 或 pfx檔

4.憑證安裝成功

5.安裝中繼憑證

1. 執行 / mmc 開啟主控台
2. 新增／移除崁入式管理單元
3. 新增憑證＞電腦帳戶
4. 至憑證＞中繼憑證授權單位＞憑證＞所有工作＞匯入憑證檔案＞完成

如版本為IIS 8.0，可運用PKCS7，此憑證編碼資訊已含中繼憑證了

6.設定站台繫結https，添加憑證

常見SSL錯誤和解決辦法

問題：此網站出具的安全憑證不是由受信任的憑證頒發機構頒發的。
原因和解決辦法:
伺服器正在使用的SSL憑證，沒有通過正式的CA頒發。通常是因為沒有正確安裝了憑證，請再檢查一下是否刪除了原來的測試憑證，如果網站使用的憑證是正確的，請重新啟動網站進程。

問題：此網站出具的安全憑證已過期或還未生效。
原因和解決辦法:
這個標識網站使用的憑證已經過期，請先檢查網站憑證的有效期，如果網站憑證有效期在本日以後，則請檢查本地電腦的日期設置，是否正確。

問題：此網站出具的安全憑證是為其他網站位址頒發的。
原因和解決辦法:
一個SSL憑證所對應的功能變數名稱是一個全功能變數名稱FQDN( Fully Qualified Domain Name )，如果憑證中的功能變數名稱是www.domain.com，則通過其他相近的功能變數名 稱：web.domain.com，app.domain.com，domain.com，系統都會報告和憑證中的功能變數名稱不匹配。

問題：我瀏覽網站看到的憑證不是我安裝的那張。
原因和解決辦法:
請檢查，在伺服器上相同的IP和相同的埠上，只安裝了一張憑證，SSL協議之允許一個IP上一個埠返回一張憑證。要解決這個問題，可以通過分配不同的埠號，或者不同的IP位址來解決這個問題。

問題：本頁面包含有不安全的內容。
原因和解決辦法:
如果一個頁面需要通過HTTPS瀏覽被瀏覽，則其中所有的元素都必須是HTTPS方式，如果有：圖片、JS腳本，FLASH插件是通過HTTP方式去調用 的，就會出現這個錯誤，最常見的，就是使用flash播放插件：codebase='http://download.macromedia.com /pub/shockwave/
cabs/flash/swflash.cab'，將http改成HTTPS即可。

問題：安裝完沒有出現"這個憑證有一個對應的私鑰"憑證裝不上去，無法使用呢
原因和解決辦法:
這可能是因為您的主機中沒有SSL的私鑰。如果是這樣，您需要通過PFX檔來匯入和安裝SSL。
首先，請獲取個人密鑰，並保存為 .key 後綴的純文本檔案。
獲取中間憑證，並保存為ca_bundle.crt 的純文本檔案。
然後使用 https://www.sslshopper.com/ssl-converter.html 提供的工具，將您的SSL和KEY轉換為 PFX 格式。
得到PFX檔案之後，在IIS8中匯入
或是用openssl匯出PFX檔案

檢查SSL https://sslcheck.globalsign.com/

在網頁中若有崁入連結圖片或檔案也必須是https，雖然資料仍會透過SSL傳輸，但是在某些瀏覽器網址列並不會出現鑰匙的圖案，或是會出現警告圖案！

若有設防火牆，443Port記得開啟

請改使用SHA-256 的憑證

由於微軟與世界各大憑證中心達成共識，將於 2017 年起，將不再信任演算機制 SHA-1 的憑證，

隨後各大版本瀏覽器也針對此一項目進行更新，例如目前使用新版本的 Chrome 、 Firefox 憑證將會被劃上紅線。

雖然不影響整個網站加密服務的運行，但此顯示資訊可能會使您的使用者產生瀏覽上的疑慮。

如何檢查本身憑證是否為 SHA-256？

1. 請透過瀏覽器(在此示範使用IE瀏覽器)，開啟您安裝憑證的網域位置 (請記得使用 https 來訪問)
2. 於網頁任一地方點選滑鼠右鍵，點選內容
3. 點選憑證
4. 查看頁籤 詳細資料 / 確認簽章雜湊演算法 是否為 SHA256

憑證續約、更新

憑證大約三年需要續約更新一次，獲得新的憑證後，進入IIS伺服器憑證，完成憑證要求，並到站台繫結添加新憑證。

不購買SSL，用IIS建立測試用的自我簽屬憑證

SNI(單一 IP 多個 SSL Certificate)

SNI(Server Name Indication)服務器名稱指示,這主要是解決多憑證(網域)共用一個IP使用問題!在客戶端與服務器端建立SSL連結的時候,剛開始客戶端並不會發送服務器的域名資料給服務器端,只會回傳最先找到的第一個設定,只能辨認這個網域,後來因為有多網站共同使用一個IP的需求出現,因此在2006年之後,SSL的協議就提供這樣的功能出現,叫做SNI,他允許客戶端再交握的時候送出所請求的域名資料,這樣服務器就知道要回哪個域名的證書了,因此來解決多域名共用IP的需求,這另一方面也解決IP不夠用的問題(雖然IPV6也可解決).另外注意的是瀏覽器與您的web server是否有支援SNI!大部份新版本的瀏覽器與webserver都有支援了

參考：
Host Different SSL’s on one IP with IIS 8 SNI
How to install and configure your SSL Certificate on Windows Server 2012 - IIS 8 and Windows Server 2012 R2 - IIS 8.5 (Multiple Certificates Using SNI)

由於SNI是新的技術，舊版的瀏覽器將不支援：

Desktop Browsers

• Internet Explorer 7 and later on Windows Vista and later
  Internet Explorer (any version) on Windows XP does not support SNI
• Mozilla Firefox 2.0 and later
• Opera 8.0 (2005) and later
  TLS 1.1 protocol must be enabled
• Google Chrome:
  Supported on Windows Vista and later
  Supported on Windows XP on Chrome 6 and later
  Supported on OS X 10.5.7 on Chrome v5.0.342.1 and later
• Safari 2.1 and later
  Supported on OS X 10.5.6 and later
  Supported on Windows Vista and later

Mobile Browsers

• Mobile Safari for iOS 4. and later
• Android default browser on Honeycomb (v3.x) and later
• Windows Phone 7

讓 IIS 讀取.well-known這個資料夾

HTTP 回應標頭，加入名稱： "." ，值："text/plain"即可。

pem 轉 pfx

若你的憑證檔為pem請使用SSL檔案格式轉換器轉為IIS可用的pfx檔