如何安装在IIS中使用的cer和p7b证书？

Question

我在windows服务器上生成了CSR请求(我们需要使用keytool中的以下命令绑定托管在此服务器上的应用程序Https)：

Keytool -genkey -alias <server name> -keyalg RSA -keysize 2048 -keystore <server name>.keystore

keytool -certreq -keyalg RSA -alias <server name> -file certreq.csr -keystore <server name>.keystore

在此之后，我得到了一个csr和和keystore文件，我转发了这些文件以发出SSL。团队给了我一个压缩文件作为证书(包含一个.cer和一个.p7b文件)。现在我不知道如何在IIS中使用这两个文件。

我们迄今所做的努力：

• 使用完全证书请求选项在IIS中导入.cer，但当我们再次检查时，证书将从IIS中消失。
• 使用完全证书请求选项在IIS中导入.p7b，但在这种情况下证书也会消失。
• 在个人证书中的证书存储区中导入.cer，但它不会出现在IIS设置中。
• 在中间证书的证书存储区中导入.p7b，但它不会出现在IIS设置中。
• 在个人证书中的证书存储区中导入.cer，在中间证书中导入.p7b文件，但在IIS设置中没有出现证书。
• 尝试从证书存储区导出PFX格式的证书，但在导出时，pfx选项已变灰。

Answer 1

Windows有自己的创建证书请求的工具。您可以使用相当笨拙的certreq或简单得多的管理控制台(为Server2008R2及更早版本的计算机帐户添加Certificates插件，或在Server 2012及更高版本上运行certlm.msc )。

除了从CA返回的证书外，还需要在end实体上安装私钥。在您的示例中，该私钥位于运行keytool时使用的密钥存储库中，因此无法被Windows访问。

你有两个选择：

• 将新证书导入密钥存储库，并将其和私钥导出为PKCS#12 (.pfx)，然后可以将其导入Windows。
• 使用Microsoft工具生成新请求，并由CA签名。当您将返回的证书导入Windows时，它将与其私钥匹配，可以在IIS中使用它。

如果这是一个内部CA，我将选择后一个选项。但是，外部CA可能会向您收取另一个证书的费用，因此您需要决定什么是最具成本效益的解决方案。

如果您决定使用前者并将新签署的证书导入您的密钥存储库，请使用以下内容：

keytool -importcert -file certificate.cer -keystore <server name>.keystore -alias <server name>

然后将密钥存储转换为PKCS#12，您可以将其导入到Windows，并使用以下方法：

keytool -importkeystore -srckeystore <server name>.keystore -destkeystore <server name>.pfx -srcstoretype JKS - deststoretype PKCS12 -deststorepass <new password>

您需要Java 8或更高版本来运行上面的命令。

任何中级证书也应发送给您。这可能是p7b文件中的内容(尽管您还没有说明它的内容)。它们应该导入到Windows的中级证书颁发机构存储中，您似乎已经这样做了。

一旦您的*.pfx文件导入到服务器的本地机器证书存储中(不要浪费时间在IIS插件上)。

启动certlm.msc (W2K12或更高版本)或添加为计算机帐户和本地计算机配置的证书(用于W2K8R2或更早版本)。右键单击个人商店并导入证书。如果在*.pfx文件中收到任何其他证书，请将它们移动到中级证书颁发机构存储区(用于子CA证书)。否则，将它们单独导入到该商店。

Answer 2

我正在使用Windows Server 2012和IIS 8：

将您的.p7b文件放到您选择的文件夹中。右键单击该文件，然后单击“安装证书”。

运行certlm.msc，找到您安装的证书，右键单击“文件”，然后单击“打开”。单击“安装证书”。选择“本地机器”单选按钮，下一步。选择“自动选择证书存储区.”点击Finish。单击OK。关闭应用程序。

打开IIS，选择默认网站，然后转到绑定。设置Type = https，然后选择上面安装的新证书。保存。