基本上汇入凭证的过程非常简单,我们开启IIS 管理原之后先点选伺服器节点,也就是下图“WEB” 这里,然后点选「伺服器凭证」这一项:
接着我们在右侧视窗的空白处按下滑鼠右键,点选「汇入」功能
在选取凭证档案(.pfx) 与输入当初汇出凭证时输入的密码后,还有一个选项是「允许汇出此凭证」的勾选项目,此选项在资安要求较高的伺服器上都是建议不要勾选比较安全,这样一来就算你的伺服器被骇客拿下,也可以保护你的凭证不会被骇客取走,本文最后会提到凭证被劫走会有什么样的资安风险。
以前我在汇入凭证时,其实还是会勾选这个选项,因为客户通常不会妥善保管凭证,这一点从我们经常接手客户的主机来管理就很清楚的知道了,只要问到客户凭证档在哪,有90% 的机会客户会回答你说:「我不知道,应该在伺服器上吧,你自己去找」,这就是业界的现实状况啊! :-p
如果你也会勾选允许汇出此凭证,那么应该不会感觉到我本篇文章提到的问题。 不过若你选择不勾选这个选项,那么接下来的步骤就会让你非常挫折。
当我们汇入完凭证后,接下来当然是在网站的地方设定「站台系结」,如下图示,当你在设定系结并按下「确定」键后,竟然会发生【指定的登入工作阶段不存在。 可能已被终止。 (发生例外状况于HRESULT: 0x80070520)】的错误,这样的错误还真让人丈二金刚摸不着头绪阿!
在解决此问题之前,我们先在比较一下两个凭证管理介面的关系,如下图是「凭证主控台」与「IIS 管理员」的伺服器凭证 管理单元,当我们从IIS 管理员汇入凭证时,其实汇入的目的地正式凭证主控台在本机电脑的「个人/凭证」这个位置,相对的,我们直接从凭证主控台汇入凭证到本机电脑的「个人/凭证」也一样会出现在「IIS 管理员」的伺服器凭证这里。
解决问题的方法,就是从「凭证主控台」汇入凭证,如此一来IIS 在站台系结的地方就不会出问题!
以下是汇入的步骤说明:
选取汇入凭证档案时,记得要选取含有私密金钥的个人资讯交换(*.pfx ; *.p12) 档案类型:
凭证汇入精灵执行到输入私密金钥密码步骤时,就有一个与IIS 管理员一样的选项,但是文字描述不太一样,这里称为「将这个金钥设定成可汇出」,在凭证主控台这里预设就是没有勾选,不像是IIS 管理员里预设是勾选的。
这里汇入成功之后,IIS 就可以正确的设定站台系结到该凭证,也不会再出现错误了。
Comments