我需要为证书申请创build一个公钥/私钥对。 我想用IIS。 一旦证书被签名,我将分发给多个服务器,因此也需要私钥部分。
有很多关于如何创build对的教程,并且我已经成功完成了这一步,但是我似乎只能find公钥部分(我意识到这是我应该发送给权威的唯一的东西)。 我不想给公共密钥,直到我确信我拥有私钥。
我将不胜感激任何帮助; 请记住,当我来到服务器pipe理我是一个noob。 谢谢!
编辑:根据我在下面给出的信息,也许IIS不是我使用的最佳工具。 有人可以推荐一个可靠的工具,让我在Windows上使用?
在现代版本的IIS上,启动IISpipe理器控制台,在左窗格中单击您的服务器,然后双击右窗格中的“服务器证书”。 现在您会注意到,在最右侧的窗格中,您可以select“创build证书申请”和“完成证书申请”。
所以,一旦你创build了CSR,把它交给证书颁发机构,他们将授予或拒绝它。
这里的关键(没有双关意义)是在创buildCSR时生成私钥,因此现在拥有与该CSR权限对应的私钥的唯一主机就是您创buildCSR的Web服务器。 所以你只能在同一台服务器上完成证书请求。 假设证书颁发机构授予您的请求,那么您在完成证书请求时,将从CA获得的已签名响应绑定到您的私钥。
完成证书请求后,打开一个MMC控制台并添加证书pipe理单元,并find您刚收到的证书。 你可以看到你有一个相应的私钥用于这个证书,因为它的图标上有一个小键。 右键单击并导出它,并确保您导出私钥。 向导应该要求您密码保护文件。
您现在可以将此导出证书和其私钥用于您喜欢的任何其他服务器。 对这个文件要非常小心,因为它包含这个证书的公钥和私钥,所以你显然希望保持它的安全。
如果您的SSL证书没有与其关联的私钥,则会有一个命令行修复实用程序,它将重新关联私钥和导入的证书:
在相应的商店find证书,然后双击它。 转到详细信息选项卡并复制序列号。 打开pipe理命令提示符并运行以下命令:
certutil -repairstore我的“SerialNumber”
按照列出的顺序插入序列号。 一旦实用程序运行刷新MMCpipe理单元,您现在应该看到左上angular的密钥符号,指示私钥与新证书关联。