===== 从 IIS Windows 伺服器上汇出 SSL 凭证 ===== 请先把您的 IIS 凭证以 pfx 的档案格式汇出(这也是档案备份的一种方式): * 执行 mmc.exe * 点击 '控制台' 选单,接着点击 '新增/移除 Snap-in'。 * 点击 '新增' 按钮,接着选择 '凭证' snap-in 并点击'新增'。 * 选择 '电脑帐户' 接着点击 '下一步'。 * 选择 '本地电脑' 接着点击 'OK'. * 点击 'Close' ,接着点击 'OK'. * 展开'凭证'选单,接着点击'个人'资料夹。 * 在您要汇出的凭证上点击右键,接着选择'所有任务' -> '汇出'。 * 您会看到协助精灵显示。请确定您已经勾选包含私钥的方块选项,并请依照协助精灵的指示继续进行直到您取得 .PFX 档案。 ===== 将已生成的 SSL 凭证进行转换,以便 IIS 得以将私钥及凭证档案转换成在 Apache 上于 windows 或 Linux 可用的档案 ===== 执行 openssl 以便解压缩私钥及凭证档案。 * 从 .PFX 档案汇出私钥 openssl pkcs12 -in filename.pfx -nocerts -out key.pem * 从 .PFX 档案汇出凭证档案 openssl pkcs12 -in filename.pfx -clcerts -nokeys -out cert.pem * 这将移除私钥的密码,所以 Apache 不会在开始时询问您密码 openssl rsa -in key.pem -out server.key ===== 将 SSL 凭证从 .crt 转换成 .pem 或 .pfx (Windows / Linux 相容) ===== * 将 DER 档案格式(.crt .cer .der)转换成 PEM openssl x509 -inform der -in certificate.cer -out certificate.pem * 将 PEM 档案格式转换成 DER openssl x509 -outform der -in certificate.pem -out certificate.der * 转换包含私钥及凭证档案的 PKCS#12 档案(.pfx .p12)成为 PEM openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes * 将 PEM 凭证档案及私钥转换成 PKCS#12 (.pfx .p12) openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt ===== 在 IIS 上汇入您的凭证 ===== 汇入您的凭证/私钥 (从 .pfx 档案格式) * 请从开始选单裡选择"执行..."。输入 "mmc" 接着点击 Enter。 * 在档案选单底下选择新增/移除 Snap in。 * 点击新增,接着从单独新增 Snap-in 界面上选择凭证,并点击新增。 * 选择电脑帐户,选择下一步,接着选择本地电脑,然后点击完成。 * 点击关闭以便将新增单独 Snap-In 视窗关闭。 * 点击 ok 就可以关闭新增/移除 Snap in 视窗。 * 点击 + 以便展开凭证(本地电脑)控制台树状图 * 在个人凭证商店(资料夹)上点击右键 * 选择 > 所有任务 > 汇入 * 依照凭证汇入精灵的指示把您的主要凭证从 .pfx 档汇入。当提示出现时,选择自动将凭证依照类型放置在相对应的凭证商店内。 * 关闭 MMC 控制台。如果您收到提示时,您不需要储存您对 MMC 控制台所做的变更。 ===== 在 IIS 上设定您的凭证 ===== * 在您的 IIS 管理界面底下,请于您要使用凭证的网站上点击右键并选择属性。 * 点击目录安全分页卡并点击伺服器凭证按钮。接着会启用伺服器凭证精灵。 * 在给您的选项裡,为网站选取'指定一个已建立的凭证',并选择您刚汇入的凭证。\\ 如果您没有该选项,则您会被询问目前网站上的凭证该如何处理。请选择"取代"您目前的凭证这个选项。 * 浏览以便选取您稍早所建立的 .pfx 档。 * 完成凭证精灵的流程。 有时候,您必须重新启动伺服器或是 IIS,您的伺服器才能识别新的凭证。