如何在IIS 7中创建自签名证书

SSL是保护IIS 7.0站点的重要组成部分，在IIS 7中创建自签名证书比在以前版本的IIS中更容易。SSL证书可以加密发送到IIS网站和从IIS网站发送的所有流量，防止其他人查看敏感信息。它使用公钥加密来建立安全连接。这意味着使用公钥（SSL证书）加密的任何内容只能使用私钥解密，反之亦然。

一、何时使用IIS自签名证书

切勿在电子商务网站或任何传输有价值个人信息的网站上使用自签名证书，如信用卡，社会安全号码等。
SSL证书有多种用途：分发公钥，并在受信任的第三方签名时验证服务器的身份，以便客户知道他们没有将信息（加密或非加密）发送给错误的人。一个自签名证书是由其自身签署，而不是一个可信的第三方证书。这意味着您无法验证是否连接到正确的服务器，因为任何攻击者都可以创建自签名证书并启动中间人攻击。因此，您几乎不应在公共IIS服务器上使用自签名证书，该证书要求匿名访问者连接到您的站点。但是，在某些情况下，自签名证书可能是适当的：
自签名证书可以在Intranet上使用。当客户端只需要通过本地Intranet到达服务器时，几乎没有机会进行中间人攻击。
可以在IIS开发服务器上使用自签名证书。在开发或测试应用程序时，无需花费额外的现金购买可信证书。
自签名证书可用于访问者很少的个人网站。如果您有一个小型个人网站可以传输非关键信息，那么很少有人可以攻击该连接。
请记住，访问者在连接到使用自签名证书的IIS站点时，会在其浏览器中看到警告（如下所示），直到永久存储在证书库中。切勿在电子商务网站或任何传输有价值个人信息的网站上使用自签名证书，如信用卡，社会安全号码等。

二、生成IIS自签名证书

现在您知道何时使用IIS自签名证书以及何时不使用。现在让我们创建一个
单击“开始”菜单，转到“ 管理工具”，然后单击“ Internet信息服务（IIS）管理器”。
单击左侧Connections列中的服务器名称。双击“ 服务器证书”。
在右侧的Actions列中，单击Create Self-Signed Certificate ...
输入任何友好名称，然后单击“ 确定”。
您现在将拥有一份在服务器证书下列出的有效期为1年的IIS自签名证书。证书公用名（Issued To）是服务器名称。现在我们只需要将自签名证书绑定到IIS站点。

三、绑定自签名证书

在左侧的Connections列中，展开sites文件夹，然后单击要将证书绑定到的网站。单击右列中的 Bindings ....
单击添加...按钮。
将类型更改为https，然后选择刚刚安装的SSL证书。单击确定。
您现在将看到列出的端口443的绑定。单击关闭。
现在让我们在浏览器中使用https访问站点来测试IIS自签名证书（例如https://site1.mydomain.com）。当您这样做时，您应该看到以下警告，指出“本网站提供的安全证书是针对不同网站的地址发出的”（名称不匹配）。

显示此信息是因为IIS在创建自签名证书时始终使用服务器名称（在本例中为WIN-PABODPHV6W3）作为公用名。这通常与您用于在浏览器中访问站点的主机名（site1.mydomain.com）不匹配。对于使用IIS自签名证书的许多情况，这不是问题。只需点击“继续浏览此网站”即可。但是，如果您想完全摆脱错误消息，则需要按照以下两个步骤操作。

四、使用正确的公用名生成自签名证书

仅当您要删除显示的警告消息时才需要执行此步骤，因为自签名证书上的公用名与网站的主机名不匹配。为了解决此问题，我们需要使用与在IIS 6.0中创建自签名证书的方法相同的方法创建自签名证书（使用SelfSSL而不是通过IIS）。
下载Internet信息服务（IIS）6.0资源工具包工具并安装SelfSSL 1.0（如果执行自定义安装，则可以取消选中除SelfSSL之外的所有内容）。安装完成后，单击“开始”菜单，转到“ IIS资源”，然后转到“SelfSSL”，然后运行 SelfSSL。
粘贴以下命令，并将site1.mydomain.com替换为IIS站点的主机名。如果您收到错误“错误打开配置数据库：0x80040154”，请忽略它。我们将手动将证书绑定到网站。
SelfSSL /N:CN=site1.mydomain.com /V:1000
命令完成后，您将拥有一个IIS自签名证书，其中包含IIS的“服务器证书”部分中列出的正确公用名。现在按照上面的说明将证书绑定到IIS网站。
将新证书绑定到IIS站点后，在Web浏览器中使用https访问它，您将遇到另一个错误：“此网站提供的安全证书不是由受信任的证书颁发机构颁发的。” （SSL证书不可信任错误）

别担心; 这是我们需要解决的最后一个错误。这是自签名证书的正常错误，因为证书是由自己签名而不是受信任的SSL提供程序。除非将自签名证书导入其受信任的根证书颁发机构存储区（或其所使用的浏览器的相应SSL证书存储区），否则该站点的所有访问者都将看到该错误。您可以按照以下说明轻松地将IIS自签名证书添加到服务器上的存储中。如果需要在另一台Windows计算机上导入证书，请按照有关如何从Windows服务器移动或复制SSL证书的说明进行操作。

五、将自签名证书添加到受信任的根证书颁发机构

单击“开始”菜单，然后单击“运行”。
键入mmc，然后单击“ 确定”。
单击“ 文件”菜单，然后单击“ 添加/删除管理单元”...
双击“ 证书”。
单击计算机帐户，然后单击下一步。
离开本地计算机中选择并单击Finish（完成）。
展开左侧的“证书”项，然后展开“个人”文件夹。单击Certificates文件夹，右键单击刚刚创建的自签名证书，然后选择Copy。
展开“受信任的根证书颁发机构”文件夹，然后单击其下的“证书”文件夹。右键单击证书下方的白色区域，然后单击“ 粘贴”。
现在，您可以在Web浏览器中使用https访问您的站点，并且您不应收到任何错误，因为Windows现在将自动信任您的IIS自签名证书。