現(xiàn)在到處是劫持網(wǎng)址加廣告的,，這樣通過https訪問，就不用擔(dān)心了,，比較適合對安全級別要求高的網(wǎng)站,，當(dāng)然老站更需要開啟https了。

無廢話圖文教程,，教你一步一步搭建CA服務(wù)器,，以及讓IIS啟用HTTPS服務(wù)。

一,、架設(shè)證書服務(wù)器（CA服務(wù)）

1.在系統(tǒng)控制面板中,，找到“添加/刪除程序”，點(diǎn)擊左側(cè)的“添加/刪除windows組件”,，在列表中找到“證書服務(wù)”,，安裝之。

2.CA類型,，這里有四種選擇,，這里以“獨(dú)立根CA”為介紹,。

3.CA識別信息，這里可以為你的CA服務(wù)器起個名字,。

4.證書數(shù)據(jù)庫設(shè)置,，用于保存證書的相關(guān)數(shù)據(jù)庫和日志文件，這個默認(rèn)就行了,。

5.安裝完成后,，在 控制面板 - 管理工具 中就可以打開 證書頒發(fā)機(jī)構(gòu)，這個工具是用于審核證書用的,，后面會提到。

6.安裝完成后,，在IIS中,，還會增加三個相關(guān)的目錄，其中的“CertSrv”就是證書申請的頁面了,。

7.打開相應(yīng)的頁面,，可以看到如下圖，至此,，CA服務(wù)器基本已架設(shè)完成,。

二、讓IIS開啟HTTPS（SSL）功能

1.在IIS中的“默認(rèn)網(wǎng)站”右鍵,，選擇“屬性”,，可看到網(wǎng)站屬性，點(diǎn)擊“目錄安全性”標(biāo)簽頁,，點(diǎn)擊“服務(wù)器證書”按鈕,。

2.選擇“新建證書”，下一步

3.選擇“現(xiàn)在準(zhǔn)備證書請求,，但稍后發(fā)送”,，下一步

4.單位信息，這里需要自己填寫,，至于寫什么,，自己可以決定，這些信息會在證書中顯示,。

5.名稱和安全性,，名稱默認(rèn)是IIS網(wǎng)站的名稱，密鑰長度默認(rèn)為1024位,，下一步

6.站點(diǎn)公用名稱,，這個默認(rèn)是服務(wù)器的機(jī)器名，請注意,，如果IIS是對象服務(wù)的,，此處必須填寫對應(yīng)的域名,。

7.地理信息，隨便填吧,，下一步

8.證書請求文件名,，默認(rèn)是保存在C盤下，打開后會看到如下一串加密的字符串,。

9.先將證書的加密串復(fù)制下來,，前往前面提到的證書申請的頁面，選擇“申請一個證書”

10.證書的申請方式,，選擇“高級證書申請”

11.選擇“使用base64……”

12.將證書串填入文本框中,，并“提交”，至此,，完成了證書的申請,。（先別急著關(guān)IE，點(diǎn)右上的“主頁”等著吧）

13.回到證書頒發(fā)機(jī)構(gòu)工具中,，選擇左邊的“掛起的申請”,，可以看到里面有一條申請記錄，申請ID就是你剛才申請的ID,。

選中記錄,，右鍵 - 所有任務(wù) - 頒發(fā)，這樣即可以頒發(fā)證書了,。

點(diǎn)擊“頒發(fā)的證書”就可以看到剛剛頒發(fā)的證書了,。

14，再回到證書申請頁面,，選擇“查看掛起的證書申請的狀態(tài)”

15.在這個頁面可以看到你之前申請的所有證書,，多個的話有多條鏈接），點(diǎn)擊其中一條,。

16.在這里,，如果已經(jīng)頒發(fā)的證書，就可以看到證書下載頁面了,，一般選擇Base64編碼,，下載證書。

下載證書鏈的話,，可以把根CA的證書也一起下載,。

17.回到IIS，目錄安全性的那個頁面,，還是點(diǎn)擊“服務(wù)器證書”,，此時界面已改變，選擇“處理掛起的請求并安裝證書”,，下一步

18.選擇剛下載的證書,，下一步

19.填寫SSL使用的端口,，一般默認(rèn)是443，不需要修改,。至此,，便完成了證書的申請。

20.如果要強(qiáng)制使用HTTPS訪問網(wǎng)站的話,，在“目錄安全性”標(biāo)簽頁中,，點(diǎn)擊“編輯”按鈕。

21.鉤選”要求安全通道（SSL）”一項(xiàng)

22,，此時,，我們再刷新一下證書申請頁面，就可以看到403.4的錯誤頁面了,，因?yàn)槲覀儚?qiáng)制要求使用HTTPS來訪問網(wǎng)站了,。

注意：如果不是整個網(wǎng)站要求使用HTTPS的話，也可以針對一個虛擬目錄進(jìn)行設(shè)置,，方法同上。

23.修改為HTTPS訪問后,，會提示安全警報,，這里提示證書名與站點(diǎn)名不匹配，那是因?yàn)槲覀兪褂胠ocalhost來訪問了,。

還記得上面申請證書時,，提到的公用名稱嗎？就是這個了,，當(dāng)時我們填的是機(jī)器名,，所以和localhost當(dāng)然不匹配。

這也是為什么如果IIS有對外的話,，要填域名的原因了,，否則就會提示此安全警報了。

此處只需要將地址修改為：https://dier-vm03/certsrv,，就不會提示安全警報了,。

 24.擴(kuò)展一下，不是每個用戶都是懂技術(shù)的,，當(dāng)普通用戶看到403.4錯誤,，要求就不懂得加個S就能訪問，那腫么辦,？

其實(shí)很簡單,，在“自定義錯誤”標(biāo)簽頁中，找到403.4指向的頁面文件的位置,，然后進(jìn)去打開來,。加一段腳本就搞定了,。

其實(shí)就是利用javascript判斷是不是使用http的，如果是就自動跳轉(zhuǎn)到https

  好了,，無廢話的圖文教程至此全部完成,。-