Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
如何在运行 IIS 服务器的 EC2 Windows 实例上安装 SSL/TLS 证书?
2 分钟阅读
0
我希望在 Amazon Elastic Compute Cloud (Amazon EC2) 实例上运行的 Web 应用程序或网站使用 HTTPS。为此,我想在运行 Internet Information Services (IIS) 服务器的 Amazon EC2 Windows 实例上安装我自己的 SSL/TLS 证书。
简短描述
**注意:**如果您使用的是弹性负载均衡 (ELB),则可以使用 Amazon 提供的来自 AWS Certificate Manager (ACM) 的证书。有关详细信息,请参阅如何将 ACM SSL/TLS 证书与应用程序负载均衡器、网络负载均衡器或经典负载均衡器关联?
在 EC2 Windows 实例上安装 SSL/TLS 证书需要三个步骤:
- 创建证书签名请求 (CSR) 并申请 SSL/TLS 证书。
- 安装 SSL/TLS 证书。
- 将 SSL/TLS 证书分配给 IIS 部署。
您还可以修改分配给站点的现有 SSL/TLS 证书。
解决方法
创建 CSR 并申请 SSL/TLS 证书
完成以下步骤:
- 打开 IIS 管理器。要打开 IIS 管理器,请先依次选择 Start(开始)、Control Panel(控制面板)、Administrative Tools(管理工具),然后选择 Internet Information Services (IIS) Manager(Internet Information Services (IIS) 管理器)。
- 在 Connections(连接)中,选择要安装证书的服务器的名称。
- 在主页的 IIS 部分中,选择 Server Certificates(服务器证书)。
- 在服务器证书控制台中的 Actions(操作)下,选择 Create Certificate Request(创建证书请求)。
- 在 Request Certificate(申请证书)向导中输入以下值:
对于 Common name(常用名称),输入域的完全限定域名 (FQDN)(例如,www.example.com)。
对于 Organization(组织),输入您的公司的名称。
(可选)对于 Organizational unit(组织单位),输入组织内部门的名称。
对于 City/locality(城市/地区),输入公司司法辖区所在的城市。
对于 State/province(州/省),输入公司司法辖区所在的州或省。
对于 Country(国家/地区),输入公司司法辖区所在的国家/地区。 - 选择 Next(下一步)。
- 在 Cryptographic Service Provider Properties(加密服务提供商属性)中,输入以下值:
对于 Cryptographic service provider(加密服务提供商),选择 Microsoft RSA Channel Cryptographic Provider(Microsoft RSA Channel 加密提供商)。您也可以选择其他选项。
对于 Bit length(位长),选择 2048。最佳做法是使用 2048,除非需要更高的值。 - 选择 Next(下一步)。
- 对于 File Name(文件名),导航到要保存 CSR 的位置。
**注意:**如果您没有指定位置,则文件将保存到 C:\windows\system32 或 ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools。 - 选择 Finish(完成)。
- 使用文本编辑器从创建的文件中复制文本。以下是文本示例:
-----BEGIN NEW CERTIFICATE REQUEST-----<examplekey> -----END NEW CERTIFICATE REQUEST-----
- 将前面的值(包括第一行和最后一行)发送给您选择的证书提供商,以便他们可以颁发证书。
当证书可用时,安装您的 SSL/TLS 证书。
安装 SSL/TLS 证书
完成以下步骤:
- 将所选提供商颁发的证书文件保存到创建 CSR 的服务器上。
- 打开 IIS 管理器。
- 在 Connections(连接)中,选择要安装证书的服务器的名称。
- 在 IIS 部分中,选择 Server Certificates(服务器证书)。
- 在 Actions(操作)中,选择 Complete Certificate Request(完成证书请求)。
- 在 Specify Certificate Authority Response(指定证书颁发机构响应)向导中,输入以下信息:
对于 File name containing the certificate authority's response(包含证书颁发机构响应的文件名),选择证书 (.cer) 文件。
对于 Friendly name(友好名称),输入用于标识证书的名称。最佳做法是添加到期日期和使用案例,以便于识别。
对于 Select a certificate store for the new certificate(为新证书选择证书存储),选择 Web Hosting(Web 托管)。
将 SSL/TLS 证书安装到服务器上且证书可供使用后,将其分配给您的站点。
将 SSL/TLS 证书分配给 IIS 部署
完成以下步骤:
- 打开 IIS 管理器。
- 在 Connections(连接)中,选择要安装证书的服务器的名称。
- 选择 Sites(站点)以展开该部分,然后选择要分配证书的站点。
- 在 Actions(操作)中,选择 Bindings(绑定)。
- 在 Site Bindings(站点绑定)向导中,选择 Add(添加)。
- 在 Add Site Binding(添加站点绑定)中,输入以下信息:
对于 Type(类型),选择 HTTPS。
对于 IP Address(IP 地址),选择该站点的 IP 地址。或者,选择 All Unassigned(全部未分配)。
对于 Port(端口),输入 443。端口 443 是 HTTPS 用于 SSL/TLS 安全流量的端口。
对于 SSL Certificate(SSL 证书),选择此站点的 SSL 证书(例如,www.example.com)。 - 选择 Ok(确定)。
SSL/TLS 证书将分配给该特定站点,以便与 HTTPS 一起使用。
修改分配给站点的现有 SSL/TLS 证书
要修改分配给站点的证书,请完成以下步骤:
- 按照本文“创建 CSR 并申请 SSL/TLS 证书”部分中的步骤进行操作。
- 按照本文“安装 SSL/TLS 证书”部分中的步骤进行操作。
- 按照本文“将 SSL/TLS 证书分配给 IIS 部署”部分中的步骤 1-4 进行操作。
- 在 Site Bindings(站点绑定)向导中,找到 HTTPS 绑定。选择该绑定,然后选择 Edit(编辑)。
- 从 SSL certificate(SSL 证书)下拉列表中选择新证书,然后选择 Ok(确定)。
没有评论
