SSL证书导出备份与导入安装指南
服务器 SSL证书安装成功后, 一定要把SSL证书从服务器中备份出来,以便服务器硬件或软件系统坏了需要重装系统时可以重装服务器 SSL证书。虽然 WoSign承诺在一定期限内可以免费重新颁发新的数字证书,但不仅会耽误用户您的时间,同时也给我们增加了工作量,不如您在安装成功后马上备份出来,放在一个安全的地方,最好是刻成光盘放在一个物理上安全的地方。
不同的操作系统有不同的备份和导入方法,请参考操作系统的SSL证书备份指南,本备份与导入指南仅针对中文版 Windows 2003 Server 操作系统。
1. 在"运行"中输入" mmc "就出现"控制台"窗口( 图 1) :
2. 在控制台的主菜单选择"添加 / 删除管理单元"( 图 2):
3. 点击"添加"后出现以下界面,往下找选中"证书" ( 图 3) :
4. 点击"添加"后出现以下界面,选择"计算机帐户"后点击"下一步" ( 图 4) :
5. 出现如下界面后点击"完成"即可 ( 图 5)
6. 这样就成功添加了管理单位 — 证书,点击"确定" ( 图 6) :
7. 出现如下界面就表示已经可以管理服务器上安装的证书了 ( 图 7) :
8. 再点击"个人"的"证书",就会出现您的服务器上安装的SSL证书,选中您的服务器证书后,右键就出现"所有任务"的"导出"菜单,点击"导出"就可以备份您的服务器SSL证书了 ( 图 10) :
9. 请按照下图的红框指示,点击"下一步"按钮,导出您的数字证书备份 ( 图 11) :
10. 请选择"包含证书路径中所有证书",点击"下一步"按钮 ( 图 12) :
11. 请按照下图指示,在密码框内输入您的服务器数字证书私钥密码,一定要有足够长度 ( 建议 6 位以上 ) ,以后导入安装时需要此密码,一定不能忘了此密码,否则如果服务器重装时需要导入您的SSL证书就没有办法了。点击"下一步"按钮 ( 图 13) :
12. 请按照下图指示,选择您的数字证书保存目录和文件名,点击"下一步"按钮 ( 图 14) :
13. 如下图所示,您的服务器 SSL证书已经备份成功,显示保存的目录和文件名等信息。请把此证书文件保存好,最好是保存到光盘或其他电脑中 ( 图 15) 。
14. 证书备份出来后,一旦需要重新导入,则还是在控制台中操作,在"证书" - "个人"菜单右击鼠标就可以看到"所有任务" - "导入"按步骤就可以导入您的服务器 SSL证书即可 ( 图 16) :
15. 导入证书后,您还要到" Internet 服务管理器"中为您的网站分配一个系统中已经存在的证书,点击"目录安全性" - "服务器证书"即可,请注意:只能在原申请证书的域名(网站)上使用SSL证书(图 17):
16. 如果您在导出备份时没有选中"包含证书路径中所有证书",则表明您没有备份整个证书链,在导入安装时可能会有问题。补救的办法就是手动导入中级根证书:如果您购买的是 超真SSL,则需要 下载(或下载) 其中级根证书;如果您购买的是 SGC超真SSL,则需要 下载(或下载)其中级根证书;如果您购买的是 超快SSL,则需要 下载(或下载)其中级根证书;并按照如下图示在"中级证书颁发机构"-"证书"右击后的"所有任务"中的"导入"即可安装成功 ( 图 18) :
17. 证书导入成功后,您还需要在"目录安全性"-"编辑"中设置"要求安全通道",也就是访问此网站必须使用https://,如果不设置此选项,则用户既可以使用http://访问,也可以使用https://访问。您还可以设置"要求128位加密",但这样设置后,如果用户使用IE5浏览器就不能正常访问了,因为IE5浏览器只支持56位加密。对于客户端证书选项,一般情况下,都是设置"忽略客户端证书",如果您的网站要求用户使用客户端证书实现强身份认证,则选"要求客户端证书";同时,请检查服务器的"中级证书颁发机构"是否有WoSign客户端证书的中级根证书"WoSign Client Authority"根证书,如果没有,则需要 下载 和导入此根证书。如果您还需要支持WoTrust客户端证书,则检查是WoTrust客户端证书的中级根证书"WoTrust Client Authority"根证书,如果没有,则需要 下载 和导入此根证书(请参考上图18);如果您的网站既可以不使用客户端证书,也可以使用客户端证书,则选"接受客户端证书",如下图示 ( 图19) :
这样就完成了数字证书的备份和导入 ,同时正确设置客户端认证 ( 如果需要的话 ) 。现在,您可以退出控制台了,操纵系统会提示您保存您的控制台设置,在服务器的"管理工具"中就可以看到您保存的控制台设置,下次直接点击此处就可以进入管理。