如何在執行於 IIS 伺服器的 EC2 Windows 執行個體上安裝 SSL/TLS 憑證？

簡短描述

**注意：**如果您使用的是 Elastic Load Balancing (ELB)，那麼您可以使用 Amazon提供的 AWS Certificate Manager (ACM) 憑證。如需詳細資訊，請參閱如何將 ACM SSL/TLS 憑證與 Application、Network 或 Classic Load Balancer？

在 EC2Windows 執行個體上安裝 SSL/TLS 憑證有三個步驟：

1. 建立憑證簽署請求 (CSR) 並請求 SSL/TLS 憑證。
2. 安裝您的 SSL/TLS 憑證。
3. 將 SSL/TLS 憑證指派給您的 IIS 部署。

您也可以修改指派給網站的現有 SSL/TLS 憑證。

解決方法

建立 CSR 並請求 SSL/TLS 憑證

請完成下列步驟：

1. 開啟 IIS Manager (IIS 管理員)。若要開啟 IIS Manager (IIS 管理員)，請先選擇 Start (開始)，選擇 Control Panel (控制面板)，選擇 Administrative Tools (管理工具)，然後選擇 Internet Information Services (IIS) Manager (網際網路資訊服務 (IIS) 管理員)。
2. 在 Connections (連線) 中，選擇要安裝憑證之伺服器的名稱。
3. 在首頁的 IIS 區段中, 選擇 Server Certificates (伺服器憑證)。
4. 在 Server Certificates console (伺服器憑證主控台) 的 Actions (動作) 下，選擇 Create Certificate Request (建立憑證請求)。
5. 在 Request Certificate (請求憑證) 精靈中輸入下列值:
   在 Common name (一般名稱) 中，輸入網域的完整網域名稱 (FQDN，例如 www.example.com)。
   在 Organization (組織) 中，輸入您公司的名稱。
   (選用) 在 Organizational unit (組織單位) 中，輸入組織內部門的名稱。
   在 City/locality (城市/地區) 中，輸入公司法定所在地的城市。
   在 State/province (州/省) 中，輸入公司法定所在地的州或省。
   在 Country (國家/地區)，輸入公司法定所在的國家/地區。
6. 選擇 Next (下一步)。
7. 在 Cryptographic Service Provider Properties (加密編譯服務提供者屬性) 中，輸入以下值：
   在 Cryptographic Service Provider (加密編譯服務提供者) 中，選取 Microsoft RSA Channel Cryptographic Provider (Microsoft RSA 通道加密編譯提供者)。您也可以選取其他選項。
   在 Bit length (位元長度) 中，選取 2048。除非需要更高的值，否則使用 2048 是最佳做法。
8. 選擇 Next (下一步)。
9. 在 File Name (檔案名稱) 中，瀏覽至您要儲存 CSR 的位置。
   **注意：**如果您未指定位置，檔案將儲存至 C:\windows\system32 或 ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools。
10. 選擇 Finish (完成)。
11. 使用文字編輯器從建立的檔案複製文字。以下是文字範例：

-----BEGIN NEW CERTIFICATE REQUEST-----<examplekey>
-----END NEW CERTIFICATE REQUEST-----

12. 將上述的值 (包括第一行和最後一行) 傳送給您選擇的憑證提供者，以便他們可以發行憑證。

當憑證可用時，請安裝您的 SSL/TLS 憑證。

安裝您的 SSL/TLS 憑證

請完成下列步驟：

1. 將所選提供者發出的憑證檔案儲存至您建立 CSR 的伺服器。
2. 開啟 IIS Manager (IIS 管理員)。
3. 在 Connections (連線) 中，選擇要安裝憑證之伺服器的名稱。
4. 在 IIS 區段中, 選擇 Server Certificates (伺服器憑證)。
5. 在 Actions (動作) 中，選擇 Complete Certificate Request (完成憑證請求)。
6. 在 Specify Certificate Authority Response (指定憑證授權單位回應) 精靈中，輸入下列資訊：
   在 File name containing the certificate authority's response (包含憑證授權單位回應的檔案名稱) 中，選取憑證 (.cer) 檔案。
   在 Friendly name (易記名稱) 中，輸入用於識別憑證的名稱。最佳做法是新增到期日期和使用案例以便於識別。
   在 Select a certificate store for the new certificate (選取新憑證的憑證存放區) 中，選取 Web Hosting (Web 託管)：

當您的 SSL/TLS 憑證安裝在伺服器上並已可使用時，請將其指派給您的網站。

將 SSL/TLS 憑證指派給您的 IIS 部署

請完成下列步驟：

1. 開啟 IIS Manager (IIS 管理員)。
2. 在 Connections (連線) 中，選擇要安裝憑證之伺服器的名稱。
3. 選取 Sites (網站) 以展開區段，然後選擇要指派憑證的網站。
4. 在 Actions (動作) 中，選擇 Bindings (繫結)。
5. 在 Site Bindings (網站繫結) 精靈中，選擇 Add (新增)。
6. 在 Add Site Binding (新增網站繫結) 上，輸入下列資訊：
   在 Type (類型) 中，選取 HTTPS。
   在 IP Address (IP 位址) 中，選取網站的 IP 位址。或者，選取 All Unassigned (全部未指派)。
   在 Port (連接埠) 中，輸入 443。連接埠 443 是 HTTPS 用於 SSL/TLS 安全流量的連接埠。
   在 SSL Certificate (SSL 憑證) 中，選取此網站的 SSL 憑證 (例如，例如 www.example.com)。
7. 選擇 Ok (確定)。

現在，SSL/TLS 憑證已指派給此特定網站，以供 HTTPS 使用。

修改指派給網站的現有 SSL/TLS 憑證

若要修改指派給網站的憑證，請完成以下步驟：

1. 請依照本文的建立 CSR 並請求 SSL/TLS 憑證區段中的步驟進行操作。
2. 請依照本文的安裝 SSL/TLS 憑證區段中的步驟進行操作。
3. 請依照本文的將 SSL/TLS 憑證指派給您的 IIS 部署區段中的步驟 1-4 進行操作。
4. 在 Site Bindings (網站繫結) 精靈中，找到 HTTPS 繫結。選取繫結，然後選擇 Edit (編輯)。
5. 從 SSL certificate (SSL 憑證) 下拉式清單中選取新憑證，然後選擇 Ok (確定)。