使用 OpenSSL 生成适用于 IIS 的证书,通常需要经过以下步骤:生成私钥、生成证书签名请求(CSR)、生成自签名证书或通过 CA 签名,最后将证书转换为 IIS 所需的 PFX 格式。以下是详细步骤:
1. 安装 OpenSSL
- 下载 :可以从 Win32 OpenSSL 网站下载适合 Windows 的 OpenSSL 安装包。
- 安装 :选择默认路径(如
C:\OpenSSL-Win64),完成安装。
2. 生成私钥
在 OpenSSL 安装目录的 bin 文件夹下运行 openssl.exe,输入以下命令生成私钥:
bash
openssl genrsa -des3 -out server.key 2048-des3表示对私钥进行加密,需要输入一个密码。2048表示密钥长度为 2048 位。
3. 生成证书签名请求(CSR)
输入以下命令生成 CSR 文件:
bash
openssl req -new -key server.key -out server.csr -config openssl.cnf- 根据提示输入相关信息,如国家、地区、组织名称、域名等。
- 这些信息将嵌入到证书中。
4. 生成自签名证书
输入以下命令生成自签名证书:
bash
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt-days 365表示证书有效期为 365 天。server.crt是生成的证书文件。
5. 将证书转换为 PFX 格式
IIS 需要 PFX 格式的证书,可以通过以下命令转换:
bash
openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt- 输入 PFX 密码,用于保护 PFX 文件。
6. 导入证书到 IIS
- 打开 IIS 管理器,选择服务器名称,双击"服务器证书"。
- 在右侧"操作"栏中点击"导入",选择生成的
server.pfx文件,并输入 PFX 密码。 - 选择要绑定证书的网站,右键点击选择"编辑绑定"。
- 在"网站绑定"窗口中,点击"添加",选择类型为
https,端口为443,并指定刚才导入的证书。 - 点击"确定"完成绑定。
注意事项
- 私钥保护 :私钥文件(如
server.key)非常重要,应妥善保管,避免泄露。 - 证书有效期:自签名证书的有效期可以根据需要设置,但建议不要设置过长。
- PFX 密码:PFX 文件的密码应足够复杂,以防止未经授权的访问。
通过以上步骤,即可使用 OpenSSL 生成适用于 IIS 的 SSL 证书,并完成配置。