17.1 在 Windows 中間層伺服器上設定 SSL 和證書

當您為 Windows 2000 機器上的中間層伺服器設定 SSL 時,將透過網際網路服務管理員和 ConsoleOne® 執行所有的管理工作。主要的設定程序包括:

17.1.1 產生證書簽署申請

在安裝於 Windows 2000 伺服器上之中間層伺服器上產生證書申請的步驟:

  1. 在伺服器的桌面上,按一下「程式集」>「系統管理工具」>「網際網路服務管理員」>「網際網路資訊服務」以開啟「網際網路資訊服務」視窗。

  2. 按一下中間層伺服器圖示旁邊的「+」符號,以展開其階層。

  3. 在「預設網站」上按一下滑鼠右鍵,然後按一下「內容」,以開啟「預設網站內容」對話方塊。

    如果尚未設定 SSL 證書,則 SSL 連接埠欄位將會顯示為灰色。

  4. 按一下「目錄安全設定」以開啟「目錄安全設定」頁。

  5. 按一下「伺服器憑證」以啟動 Web 服務憑證精靈。

    1. 在精靈的歡迎頁上,按一下「下一步」以開啟「伺服器憑證」頁。

    2. 在「伺服器憑證」頁上,選取「建立新憑證」,然後按一下「下一步」。

    3. 在精靈的「延遲或立即」頁上,選取「準備要求,但於稍後傳送」,然後按一下「下一步」。

    4. 在「名稱及安全設定」頁上,指定證書名稱 (例如 DaveMiddleTier Web Site),將位元長度變更為 1024,然後按一下「下一步」。

    5. 在精靈的「公司資訊」頁上,於「組織」和「組織單位」欄位中指定組織和組織單位的名稱,然後按一下「下一步」。

    6. 在精靈的「您網站的一般名稱」頁上,如果您使用的是 DNS 表格,則指定您的完整 DNS 名稱 (例如 zztop1.zenworks.provo.novell.com),然後按一下「下一步」。

      如果 IP 位址為靜態且所有存取均透過 IP 位址進行,則還可指定您的 IP 位址。

      如果您的伺服器受防火牆保護,請指定 DNS 名稱,以供外界識別該伺服器。

    7. 在精靈的「地理資訊」頁上,於「國家/地區」、「州/省」和「城市」欄位中輸入正確的資訊,然後按一下「下一步」。

    8. 在精靈的「憑證要求檔案名稱」頁上,將證書申請儲存於可存取的位置,然後按一下「下一步」。

      此申請是要提交至信任證書授權單位 (Certificate Authority, CA) 進行簽署的檔案。

    9. 在精靈的「要求的檔案摘要」頁上,查看所有資訊。如有必要,您可以使用「上一步」按鈕在相應頁面上進行變更。按一下「下一步」。

    10. 在精靈的「正在完成網頁伺服器憑證精靈」頁上,按一下「完成」。

  6. 將證書申請提交至相應的信任證書授權單位。當信任 CA 發出證書後,請繼續執行處理有關 IIS 的待處理證書申請中概述的步驟。

17.1.2 使用 eDirectory 根 CA 發出證書

eDirectory 根 CA 可以用於為有效的證書簽署申請 (Certificate Signing Request, CSR) 發出證書。如果您使用此方法,則此根部不是託管根部。如需更多資訊,請參閱步驟 4

此機器應已安裝 Novell Client™ 4.83 或更高版本、ConsoleOne 1.3.3 或更高版本以及 Novell International Cryptographic Infrastructure (NICI) client 2.4.0 或更高版本。

  1. 在伺服器桌面上,啟動 ConsoleOne。

  2. 在樹狀結構中選取伺服器物件所在的容器。

  3. 選取「工具」>「發出證書」以啟動發出證書精靈。

    1. 在「檔名」欄位中,指定包含證書申請的檔案之名稱,然後按一下「下一步」。

    2. 在「組織證書授權」頁上,按一下「下一步」。

    3. 在 SSL 或 TLS 頁上,按一下「下一步」。

    4. 在精靈的下一個頁面上,按一下「下一步」以接受預設值。

    5. 在「儲存證書」頁上,將檔案儲存為預設 (即儲存為 .der 格式)。

  4. 從證書授權單位輸出自行簽署的證書。

    由於根部並非託管根部,所以您需要從根 CA 將自行簽署的證書輸入至將連接到中間層伺服器的所有工作站。如果不輸入自行簽署的證書,則此 CA 發出之所有證書的證書驗證均會失敗。

    1. 在 ConsoleOne 中,瀏覽至樹狀結構中的「安全性」容器。「安全性」容器以掛鎖圖示標示。

    2. 在「伺服器名稱組織 CA」上按一下滑鼠右鍵,然後選取「內容」。

    3. 按一下「證書」,然後選取「自行簽署的證書」。

    4. 按一下「輸出」。

    5. 在隨後的頁面上接受預設,直至您需要儲存至某個位置。

17.1.3 在中間層伺服器上安裝根 CA

如果是由非信任 CA (例如 eDirectory 根 CA) 簽署證書申請,則您需要在中間層伺服器上安裝來自該 CA 的自行簽署證書:

  1. 找到並連按兩下包含來自該 CA 之自行簽署證書的檔案。

  2. 在「證書」頁上,按一下「安裝證書」以啟動精靈。

    1. 在精靈的首頁上,按一下「下一步」。

    2. 在精靈的第二頁上,當您看到「自動選取證書儲存區」訊息時,按一下「下一步」。

    3. 在精靈的第三頁上,按一下「完成」。

    4. 在「根證書儲存」訊息方塊中,選取「」。

    5. 在「成功輸入」對話方塊中,按一下「確定」。

      將會顯示「輸入成功」訊息。

17.1.4 處理有關 IIS 的待處理證書申請

當信任 CA 發出證書後,您可以使用網際網路服務管理員來處理該申請。

  1. 在伺服器的桌面上,按一下「程式集」>「系統管理工具」>「網際網路服務管理員」>「網際網路資訊服務」以開啟「網際網路資訊服務」視窗。

  2. 按一下中間層伺服器圖示旁邊的「+」符號,以展開其階層。

  3. 在「預設網站」上按一下滑鼠右鍵,然後按一下「內容」,以開啟「預設網站內容」對話方塊。

  4. 按一下「目錄安全設定」以開啟「目錄安全設定」頁。

  5. 按一下「伺服器憑證」以啟動 Web 服務憑證精靈。

  6. 使用 Web 服務憑證精靈處理「憑證要求」:

    1. 在「歡迎」頁上,按一下「下一步」。

    2. 在「伺服器憑證」頁上,選取「「處理擱置要求及安裝憑證」,然後按一下「下一步」。

    3. 在下一頁上,輸入從證書授權單位收到的已簽署證書之完整路徑。

      這可以是 .der 檔案或 .cer 檔案,也可以是具有某些其他副檔名的檔案 (取決於證書授權單位使用的命名慣例)。

    4. 在精靈的下一頁上,按一下「下一步」。

    5. 在精靈的最後一頁上,按一下「完成」。

  7. 關閉「內容」頁。

  8. 在樹狀結構中的伺服器圖示上按一下滑鼠右鍵,然後選取「重新啟動 IIS」。

  9. IIS 重新啟動後,開啟預設網站的內容以驗證 SSL 連接埠是否可以使用。