Fatal编程技术网
  • iis/
  • Iis 使用makecert进行SSL开发

Iis 使用makecert进行SSL开发

iis ssl

Iis 使用makecert进行SSL开发,iis,ssl,makecert,Iis,Ssl,Makecert,我的情况如下: 我正在尝试创建一个SSL证书,它将安装在所有开发人员的机器上,以及两个内部服务器上(一切都是非生产的) 我需要做什么来创建一个可以安装在所有这些地方的证书 现在,我通过使用Microsoft Visual Studio 8\SDK\v2.0\Bin中的makecert应用程序获得了以下内容: makecert -r -pe -n "CN=MySite.com Dev" -b 01/01/2000 -e 01/01/2033 -eku 1.3.6.1.5.5.7.3.1 -ss R

我的情况如下:

我正在尝试创建一个SSL证书,它将安装在所有开发人员的机器上,以及两个内部服务器上(一切都是非生产的)

我需要做什么来创建一个可以安装在所有这些地方的证书

现在,我通过使用Microsoft Visual Studio 8\SDK\v2.0\Bin中的makecert应用程序获得了以下内容:

makecert -r -pe -n "CN=MySite.com Dev" -b 01/01/2000 -e 01/01/2033 -eku 1.3.6.1.5.5.7.3.1 -ss Root -sr localMachine -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 mycert.cer
但是,我不确定如何将此.cer文件放在其他计算机上,当我在本地计算机IIS上安装它时,每次通过https:访问页面时,都会收到安全提示(即使在安装证书之后)。以前有人这样做过吗?

以下是我的脚本:

创建证书颁发机构 使用SHA1(-r)为签名(-sky签名)创建具有可导出私钥(-pe)的自签名证书(-r)。 私钥被写入文件(-sv)

(^=允许批处理命令行换行)

创建服务器证书 为密钥交换(-sky exchange)使用SHA1(-a)创建具有可导出私钥(-pe)的服务器证书。 它可以用作SSL服务器证书(-eku 1.3.6.1.5.5.7.3.1)。 颁发证书和密钥(-iv)位于文件(-ic)中。 使用特定的加密提供程序(-sp,-sy)

然后在服务器应用程序中使用.PFX文件(或在IIS中安装)。请注意,默认情况下,
pvk2pfx
不会对输出PFX文件应用密码。为此,您需要使用
-po
开关

要使所有客户端计算机都信任它,请在其证书存储中(在受信任的根权限存储中)安装CA.cer。如果您在域上,则可以使用Windows组策略全局执行此操作。如果没有,您可以使用certmgr.mscMMC管理单元或certutil命令行实用程序:

certutil -user -addstore Root CA.cer
要以编程方式在IIS 6.0中安装证书,请参阅。对于IIS 7.0,我不知道。

在创建证书颁发机构时,您应该向交换机添加
-cy authority
,否则某些证书存储将不会将其视为正确的CA。

我遵循这些步骤,能够创建pfx文件,但是当我尝试将pfx文件导入IIS7时,它会说“指定的网络密码不正确。”您知道如何导入它吗?感谢您,我只是没有为密码输入任何内容,它就导入了它。@dscoduc nice tool,对于Win7,它需要masty的参数(-cy authority)对于IIS7,这就像进入IIS MMC->服务器证书->右键单击->创建自签名证书一样简单。然后将其添加到您的站点绑定。这是迄今为止我见过的最完整的答案。肯定是+1。 
makecert -pe -n "CN=fqdn.of.server" -a sha1 -sky Exchange ^
         -eku 1.3.6.1.5.5.7.3.1 -ic CA.cer -iv CA.pvk ^
         -sp "Microsoft RSA SChannel Cryptographic Provider" ^
         -sy 12 -sv server.pvk server.cer

pvk2pfx -pvk server.pvk -spc server.cer -pfx server.pfx

certutil -user -addstore Root CA.cer