我希望在 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體上運行的 Web 應用程序或網站使用 HTTPS。如何在運行互聯網信息服務(IIS)服務器的 EC2 Windows 執行個體上安裝自己的 SSL 證書以允許這個?
簡短描述
**注意:**如果您使用 Elastic Load Balancing (ELB),則可以使用亞馬遜提供的來自 AWS 憑證管理器 (ASM) 憑證。如需詳細資訊,請參閱如何將 ACM SSL/TLS 憑證與傳統、應用程式或 Network Load Balancer 關聯?
在您的 EC2Windows 執行個體上安裝 SSL/TLS 憑證有三個步驟:
- 建立憑證簽署要求 (CSR) 並請求您的 SSL 憑證。
- 安裝您的 SSL 憑證。
- 將 SSL 憑證指派給您的 IIS 部署。
您也可以修改指派給網站的現有 SSL 憑證。
解決方法
步驟1: 建立 CSR 並請求您的 SSL 憑證
-
透過選擇開始、控制台、系統管理工具、網際網路資訊服務 (IIS) 管理員開啟IIS 管理員。
-
選取連線,然後選取要安裝憑證的伺服器名稱。
-
在首頁的 IIS 欄中, 選取伺服器憑證。
-
在伺服器憑證主控台上, 選取動作,然後選取建立憑證要求。要求憑證工具隨即打開。
-
在要求憑證工具中輸入下列值:
- **通用名稱:**輸入網域的完整網域名稱 (例如,www.example.com)。
- **組織:**輸入您公司的名稱。
- **組織單位:**選擇性地輸入組織內部門的名稱。
- **城市/所在地:**輸入公司合法所在的城市。
- **州/省:**輸入公司合法所在的州或省。
- **國家:**輸入公司合法所在的國家/地區。
- 密碼編譯服務提供者屬性,請輸入下列資訊:
- 加密服務供應商: 選取Microsoft RSA 通道密碼編譯提供者。如有需要,您可以選取其他選項。
- **位元長度:**除非需要更高的值,否則請使用 2048,這是目前的最佳做法。
- 選取指定憑證要求的檔案名稱欄位旁的瀏覽,以瀏覽至您要儲存 CSR 的位置。
注意:如果您未選取位置,檔案會儲存到 C:\windows\system32。
-
選取下一步。
-
選取完成。
-
使用文字編輯器從建立的檔案複製文字。以下是文本的一個例子:
-----BEGIN NEW CERTIFICATE REQUEST-----
<examplekey>
-----END NEW CERTIFICATE REQUEST-----
- 將此值 (包括第一行和最後一行) 傳送給您選擇的憑證提供者,以便他們可以發行憑證。
當憑證可用時,請移至步驟 2: 安裝您的 SSL 憑證。
步驟2: 安裝您的 SSL 憑證
-
將所選提供者所核發的憑證檔案儲存至您建立憑證簽署要求(CSR)的伺服器。
-
透過選擇開始、控制台、系統管理工具、網際網路資訊服務 (IIS) 管理員開啟IIS 管理員。
-
選取連線,然後選取要安裝憑證的伺服器名稱。
-
在** IIS ** 區段中,選取伺服器憑證。
-
選取動作,完成憑證要求。工具會打開。
-
在指定憑證授權單位回應中,輸入下列資訊:
- **包含憑證授權單位回應的檔案名稱:**選取憑證 (.cer) 檔案。
- **友好名稱:**輸入用於識別憑證的名稱。為了更容易識別,請考慮添加到期日和用例。
- 選取新憑證的憑證存放區:選取虛擬主機。
您的 SSL 憑證已安裝在伺服器上,即可使用。現在,您必須將其分配給您的站點。
步驟3: 將 SSL 憑證指派給您的 IIS 部署
-
透過選擇開始、控制台、系統管理工具、網際網路資訊服務 (IIS) 管理員開啟IIS 管理員。
-
在連線下,展開安裝憑證的伺服器區段。
-
展開網站區段,然後選取您要指派憑證的網站。
-
在網站首頁上,選取繫結。
-
在網站繫結工具中,選取新增。
-
在**新增網站繫結上,**輸入下列資訊:
- 類型:選取HTTPS。
- IP 地址:選取網站的 IP 地址或選取全部未指派。
- 端口:輸入 443。連接埠 443 是 HTTPS 用於 SSL 安全流量的連接埠。
- **SSL 憑證:**選取此網站的 SSL 憑證 (例如,例如 example.com)。
現在,SSL 證書被分配給這個特定的站點,以與 HTTPS 一起使用。
修改指派給網站的現有 SSL 憑證
若要修改指派給網站的憑證,請執行下列動作:
-
請按照步驟 1 中的步驟操作: 建立 CSR 並要求您的 SSL 憑證。
-
按照步驟 2 中的步驟進行操作: 安裝您的 SSL 憑證。
-
按照步驟 3 中的1 至 4進行操作: 將 SSL 憑證指派給您的 IIS 部署。
-
在網站繫結工具中,找到** HTTPS 繫結,選取它,然後選擇編輯**。
-
從** SSL 憑證下拉式清單中選取新憑證,然後選取確定**。