环境介绍
由于部分内网web服务器使用的是微软的iis,并且iOS设备访问内网web服务器时需要使用https协议,因此需要将iis上的网站绑定到https域名。
已经拥有外网域名:
src.dancen.com
该域名在外网不为具体的业务服务;在内网DNS上,将该域名解析至内网的指定服务器,即iis服务器;也就是说,在公司的内网,使用该域名访问的将是内网的服务器,而在公司之外,使用该域名访问到的将是没有具体业务内容外网服务器。
证书绑定步骤
一. 申请ssl证书
在域名对应的外网nginx服务器上,为该域名申请证书,这很容易办到。例如,我们利用acme.sh等工具,可以申请到zeroSSL等免费ssl证书。申请到的证书两个部分,即公钥证书以及私钥,对应两个文件,如:
证书:src.dancen.com.fullchain.cer
私钥:src.dancen.com.key
二. 转换证书格式
在外网申请到的证书格式为cer,今包含公钥,私钥独立保存为单独的key文件,而iis服务器接受的ssl证书要求将证书公钥和私钥打包为单独一个文件。这里通过openssl工具将cer证书与key文件合并为一个pfx文件,命令如下:
openssl pkcs12 -export -out C:\src.pfx -inkey C:\src.key -in C:\src.cer
在导出pfx文件时需要设置一个导出密码,以为该文件提供基本的保护,后续在使用该pfx文件时,将需要提供该密码。
三. 导入证书
在获得证书的pfx文件后,接下来便是导入证书。iis服务器控制界面无法直接为iis服务器导入证书,因为iis服务器控制界面只提供了在本机选择证书的功能。因此,我们首先需要在iis所在服务器的证书控制单元上导入证书,具体即是在iis所在服务器上执行以下操作。
注意:在证书控制单元也可以直接导入cer证书,但是由于cer证书不包含私钥,因此无法提供给iis使用。
1. 打开Windows服务器控制台
开始 > 运行 > 输入mmc,打开Windows服务器控制台(MMC,Microsoft Management Console)。
2. 在控制台添加证书管理单元
如果控制台中不包含证书管理单元,则在控制台的顶部菜单栏,选择文件 > 添加/删除管理单元,为本地计算机添加证书管理单元。
在证书管理单元对话框,选择计算机账户,单击下一步。
在选择计算机对话框,选择本地计算机(运行此控制台的计算机),单击完成。
在添加或删除管理单元对话框,单击确定。
3. 在证书管理单元中导入证书
在控制台左侧导航栏,展开控制台根节点 > 证书(本地计算机) > 个人 > 证书,然后打开右键菜单,选择所有任务 > 导入。
使用证书导入向导:单击下一步。
要导入的文件对话框:单击浏览,选择pfx格式的证书文件,单击下一步。注意,在打开文件时,可能需要将文件过滤类型设置为所有文件(*),然后再选择pfx证书文件。
私钥保护:输入我们在使用openssl转换cer文件为pfx文件时提供的导出密码。
证书存储:选中根据证书类型,自动选择证书存储,单击下一步。
正在完成证书导入向导:单击完成。
收到导入成功提示后,单击确定。
四. 绑定证书
完成证书导入后,即可通过iis控制界面,为站点绑定证书。
在左侧连接导航栏,展开主机,单击网站,选择对应的域名。
在右侧操作导航栏,单击绑定。
在网站绑定对话框,单击添加。
在添加网站绑定对话框,完成网站的相关配置,并单击确定。
网站绑定的具体配置如下:
类型:选择https。
IP地址:选择服务器的IP地址。
端口:默认为443,按需修改。
主机名:填写网站域名。
ssl证书:选择已导入的与该域名匹配的证书。
在网站绑定对话框,单击关闭。
五. 验证证书是否安装成功
打开浏览器,在地址栏输入安装的证书所绑定的域名,验证证书在iis服务器上是否绑定成功。