如何在运行 IIS 服务器的 EC2 Windows 实例上安装 SSL/TLS 证书?

2 分钟阅读
0

我希望我的 Web 应用程序或在 Amazon Elastic Compute Cloud(Amazon EC2)实例上运行的网站使用 HTTPS。如何在运行互联网信息服务 (IIS) 服务器的 EC2 Windows 实例上安装我自己的 SSL 证书以允许这样做?

简短描述

**注意:**如果您使用的是弹性负载均衡(ELB),则可以使用来自 AWS Certificate Manager(ASM)的由 Amazon 提供的证书。有关更多信息,请参阅如何将 ACM SSL/TLS 证书与经典负载均衡器、应用程序负载均衡器或网络负载均衡器相关联?

在 EC2 Windows 实例上安装 SSL/TLS 证书有三个步骤:

  1. 创建证书签名请求 (CSR) 并申请 SSL 证书。
  2. 安装 SSL 证书。
  3. 将 SSL 证书分配到 IIS 部署。

您还可以修改分配给站点的现有 SSL 证书。

解决方法

步骤 1:创建 CSR 并申请 SSL 证书

1.    依次选择 Start(开始)、Control Panel(控制面板)、Administrative Tools(管理工具)、Internet Information Services (IIS) Manager(互联网信息服务 (IIS) 管理器)以打开 IIS 管理器

2.    选择 Connections(连接),然后选择要安装证书的服务器的名称。

3.    在主页的 IIS 部分,选择 Server Certificates(服务器证书)。

4.    在服务器证书控制台上,选择 Actions(操作),然后选择 Create Certificate Request(创建证书请求)。Request Certificate(申请证书)向导随即打开。

5.    在 Request Certificate(申请证书)向导中输入以下值:

  • **Common name(通用名称):**为域输入完全限定域名 (FQDN),如 www.example.com。
  • **Organization(组织):**输入贵公司的名称。
  • Organizational unit(组织部门):(可选)输入在组织内的部门名称。
  • **City/locality(市/县):**输入公司司法辖区所在的城市。
  • **State/province(州/省):**输入公司司法辖区所在的州或省。
  • **Country(国家/地区):**输入公司司法辖区所在的国家/地区。

6.    Cryptographic Service Provider Properties(加密服务提供商属性),请输入以下信息:

  • Cryptographic service provider(加密服务提供商):选择 Microsoft RSA 渠道加密提供商。如果需要,可以选择其他选项。
  • **Bit length(位长):**当前的最佳实践是 2048,除非需要更高的值,否则请使用该值。

7.    选择 Specify a file name for the certificate request(为证书请求指定文件名)字段旁的 Browse(浏览),找到要保存 CSR 的位置。

**注意:**如果不选择位置,文件将保存在 C:\windows\system32 下。

8.    选择 Next(下一步)。

9.    选择 Finish(完成)。

10.    使用文本编辑器从已创建的文件中复制文本。以下是该文本的示例:

-----BEGIN NEW CERTIFICATE REQUEST-----
<examplekey>
-----END NEW CERTIFICATE REQUEST-----

11.    将该值(包括第一行和最后一行)发送给您选择的证书提供商,以便他们颁发证书。

当证书可用时,转到步骤 2:安装 SSL 证书

步骤 2:安装 SSL 证书

1.    将所选提供商颁发的证书文件保存到您创建证书签名请求 (CSR) 的服务器。

2.    依次选择 Start(开始)、Control Panel(控制面板)、Administrative Tools(管理工具)、Internet Information Services (IIS) Manager(互联网信息服务 (IIS) 管理器)以打开 IIS 管理器

3.    选择 Connections(连接),然后选择要安装证书的服务器的名称。

4.    在 IIS 部分,选择 Server Certificates(服务器证书)。

5.    依次选择 Actions(操作)、Complete Certificate Request(完成证书申请)。向导将启动。

6.    对于 Specify Certificate Authority Response(指定证书颁发机构响应),请输入以下信息:

  • **File name containing the certificate authority's response(包含证书颁发机构响应的文件名):**选择证书 (.cer) 文件。
  • **Friendly name(友好名称):**输入便于您识别证书的名称。为了更轻松地识别,请考虑添加到期日期和使用案例。
  • Select a certificate store for the new certificate(为新证书选择证书存储):选择 Web Hosting(Web 托管)。

您的 SSL 证书已安装在服务器上,可供使用。现在您必须将其分配到您的网站。

步骤 3:将 SSL 证书分配到 IIS 部署

1.    依次选择 Start(开始)、Control Panel(控制面板)、Administrative Tools(管理工具)、Internet Information Services (IIS) Manager(互联网信息服务 (IIS) 管理器)以打开 IIS 管理器

2.    在 Connections(连接)下,展开安装证书的服务器部分。

3.    展开 Sites(站点)部分,然后选择要分配证书的站点。

4.    在站点主页上,选择 Bindings(绑定)。

5.    在 Site Bindings(站点绑定)向导中,选择 Add(添加)。

6.    在 Add Site Binding(添加站点绑定)中,输入以下信息:

  • **Type(类型):**选择 HTTPS
  • **IP Address(IP 地址):**选择站点的 IP 地址或选择 All Unassigned(全部未分配)。
  • **Port(端口):**输入 443。端口 443 是 HTTPS 用于 SSL 安全流量的端口。
  • **SSL Certificate(SSL 证书):**为此站点(如,example.com)选择 SSL 证书。

现在,SSL 证书已分配到要使用 HTTPS 的特定站点。

修改分配给站点的现有 SSL 证书

要修改分配给站点的证书,请执行以下操作:

1.    按照步骤 1:创建 CSR 并申请 SSL 证书中的步骤操作。

2.    按照步骤 2:安装 SSL 证书中的步骤进行操作。

3.    执行步骤 3:将 SSL 证书分配到 IIS 部署中的步骤 1 到 4

4.    在 Site Bindings(站点绑定)向导中,找到 HTTPS 绑定,选择它,然后选择 Edit(编辑)。

5.    从SSL Certificate(SSL 证书)下拉列表中选择新证书,然后选择 OK(确定)。


相关视频

AWS 官方
AWS 官方已更新 2 年前