# https憑證套了還是不安全? 用 mmc 產生憑證請求檔，並從 Windows AD 憑證服務取得憑證完成檔 ## 前言 最近被要求內網的所有 http 服務都要改 https ，對於網站開發來說算是習以為常的事，只要內部有準備好憑證申請的主機，就每台主機都照流程跑一次就好。 原本我是參考 hinet 的 **Windows IIS 10.0 SSL憑證請求檔製作與憑證安裝手冊** ，之前在其他外部網站申請的憑證沒什麼問題，但這次在內網卻發生只有 IE 能認可憑證， chrome 認為不安全。 檢查後，在 [余小章 @ 大內殿堂 的 請求可被 Chrome 瀏覽器信任的 Web 憑證](https://dotblogs.com.tw/yc421206/2019/05/24/mmc_request_web_certificate_from_ca_server_can_trusted_by_chrome_browser) 這篇找到 Chrome 信任憑證的條件，也因為 IIS圖形介面申請的憑證沒有辦法手動寫上 DNS 這個欄位，所以需要透過 Microsoft管理主控台 Microsoft Management Console (MMC) 來建立，因此這篇會逐一說明如何開啟 MMC 直到完成 https 憑證安裝的圖文過程。 --- ## 開始功能表搜尋輸入 mmc 開啟  --- ## 開啟憑證單元的視窗 * 檔案>新增/移除嵌入式單元 Ctrl+M * 新視窗拉到最下面選 憑證 * 點擊正中間的 新增  --- ## 選擇 電腦帳戶>本機電腦  --- ## 右邊的視窗有憑證後按確定  --- ## 憑證>個人>憑證>右邊空白處>所有工作>進階操作>建立自訂要求  --- ## 這些都下一步  --- ## 憑證資訊右邊的詳細資料箭頭 展開 按內容  --- ## 憑證註冊內容 * 頁籤切換到主體 * 別名類型下拉選擇DNS * 值 輸入要申請的主機網址 * 例如 www.myweb.com.tw > 按確定離開視窗  --- ## 在剛剛按內容的的憑證註冊視窗按下一步到下一個視窗  --- ## 瀏覽選擇檔案位置和名稱  --- ## 用記事本打開檔案 複製這串base64  --- ## 點擊 要求憑證 > 進階憑證要求  --- ## 把 base64 字貼進去，並選擇適合的憑證範本  --- ## 特殊情形 * 如果是不同的 WindowsAD 帳號，可能看到的憑證範本會不一樣，請聯絡AD憑證服務管理員開啟權限。  --- ## 憑證要求被拒 被原則模組拒絕 * 選擇範本之後，出現錯誤代碼331 (或336,60，數字可能不一樣)，後面則是寫 原則模組拒絕，這種情形只能請AD憑證服務的管理員協助 * 如果您剛好就是憑證伺服器(Windows AD)管理員，可以參考下面這篇方式將權限加回去 * 憑證授權單位單位無法使用憑證範本 https://learn.microsoft.com/zh-tw/troubleshoot/windows-server/identity/ca-cant-use-certificate-template --- ## 安裝憑證 * 填完後下載憑證，下載後在本機電腦安裝憑證 * 安裝完就可以到網頁伺服器IIS掛載憑證 * 掛載完就全部完成了，可以到 Chrome 檢查網站憑證是否已經顯示為安全  --- ## 參考文章 * Windows IIS 10.0 SSL憑證請求檔製作與憑證安裝手冊 https://publicca.hinet.net/download/SSL/Windows_IIS10_CSR_and_INSTALL.pdf * 請求可被 Chrome 瀏覽器信任的 Web 憑證 https://dotblogs.com.tw/yc421206/2019/05/24/mmc_request_web_certificate_from_ca_server_can_trusted_by_chrome_browser --- ###### tags: `資安` `程式設計`