SSL證書端口指南

SSL證書端口指南

SSL 端口是 什么？

SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全（Transport Layer Security，TLS）是為網絡通信提供安全及數據完整性的一種安全協議。TLS與SSL在傳輸層對網絡連接進行加密。

而SSL端口是指安全套接層，其端口號是443。

如何使用 SSL  證書配置端口 （以 NET Framework (current version) ） 為例

在 Windows Vista 中，使用 Netsh.exe 工具查看當前端口配置，如下面的示例所示。

netsh http show SSLcert

獲取證書的指紋

使用證書 MMC 管理單元查找用于客戶端身份驗證的 X.509 證書。  有關詳細信息，請參見 如何：使用 MMC 管理單元查看證書.

訪問證書的指紋。  有關詳細信息，請參見 如何：檢索證書的指紋.

將證書指紋復制到文本編輯器，如 Notepad。

移除十六進制字符之間的所有空格。  完成此操作的一種方法是使用文本編輯器的“查找和替換”功能，將每個空格替換為空字符。

將 SSL 證書綁定至端口號

在 Windows Server 2003 或 Windows XP 中，對安全套接字層 (SSL) 存儲區使用 HttpCfg.exe 工具的“set”命令將證書綁定至端口號。  該工具使用指紋識別證書，如下面的示例所示。

httpcfg set SSL -i 0.0.0.0:8012 -h 0000000000003ed9cd0c315bbb6dc1c08da5e6

-i 開關的語法為 IP:port，指示該工具將證書設置為計算機的端口 8012。  另外，也可將端口號前面的四個零替換為計算機的實際 IP 地址。

-h 開關指定證書的指紋。

在 Windows Vista 中使用 Netsh.exe 工具，如下面的示例所示。

netsh http add SSLcert ipport=0.0.0.0:8000 certhash=0000000000003ed9cd0c315bbb6dc1c08da5e6 appid={00112233-4455-6677-8899-AABBCCDDEEFF}

certhash 參數指定證書的指紋。

ipport 參數指定 IP 地址和端口，功能類似于前述 Httpcfg.exe 工具的 -i 開關。

appid 參數為可用于標識所屬應用程序的 GUID。

將 SSL 證書綁定至端口號并支持客戶端證書

在 Windows Server 2003 或 Windows XP 中，若要支持在傳輸層使用 X.509 證書進行身份驗證的客戶端，請按照前面的步驟進行操作，但要向 HttpCfg.exe 另外傳遞一個命令行參數，如下面的示例所示。

httpcfg set SSL -i 0.0.0.0:8012 -h 0000000000003ed9cd0c315bbb6dc1c08da5e6 -f 2

-f 開關的語法為 n，其中 n 是介于 1 到 7 之間的一個數字。  值為 2 可在傳輸層啟用客戶端證書，如上面的示例所示。  值為 3 可啟用客戶端證書并將這些證書映射至 Windows 帳戶。  請參見“HttpCfg.exe 幫助”以獲取其他值的行為。

在 Windows Vista 中，若要支持在傳輸層使用 X.509 證書進行身份驗證的客戶端，請按照前面的步驟進行操作，但要另外提供一個參數，如下面的示例所示。

netsh http add SSLcert ipport=0.0.0.0:8000 certhash=0000000000003ed9cd0c315bbb6dc1c08da5e6 appid={00112233-4455-6677-8899-AABBCCDDEEFF} clientcertnegotiation=enable

刪除端口號的 SSL 證書

使用 HttpCfg.exe 或 Netsh.exe 工具查看計算機上的端口和所有綁定的指紋。  若要將信息輸出到磁盤，請使用重定向字符“>”，如下面的示例所示。

httpcfg query SSL>myMachinePorts.txt

在 Windows Server 2003 和 Windows XP 中，使用 HttpCfg.exe 工具以及 delete 和 SSL 關鍵字。  使用 -i 開關指定 IP:port 號，使用 -h 開關指定指紋。

httpcfg delete SSL -i 0.0.0.0:8005 -h 0000000000003ed9cd0c315bbb6dc1c08da5e6

在 Windows Vista 中使用 Netsh.exe 工具，如下面的示例所示。

Netsh http delete SSLcert ipport=0.0.0.0:8005

全球可信CA機構