SSL 應(yīng)用系列之二：為Web 站點實現(xiàn)SSL 加密訪問 ◆如何通俗化理解SSL◆演示2種為web 網(wǎng)頁申請安全證書的方法◆通過實例理解Common Name名稱的作用◆討論為什么訪問證書服務(wù)器時需

SSL 應(yīng)用系列之二：為Web 站點實現(xiàn)SSL 加密訪問 ◆如何通俗化理解SSL

◆演示2種為web 網(wǎng)頁申請安全證書的方法

◆通過實例理解Common Name名稱的作用

◆討論為什么訪問證書服務(wù)器時需要輸入用戶名和密碼

本文導(dǎo)讀目錄

一、如何理解SSL

二、為Web 站點申請CA 證書并測試SSL （兩種方法）

1、第一種方法

1）建立測試站點

2）通過Web 網(wǎng)頁申請網(wǎng)站證書。

第一步，申請請求文件。

第二步，提交請求文件。

第三步，導(dǎo)入web 證書。

第四步，測試SSL 網(wǎng)站。

2、第二種方法

第一步，移除當(dāng)前SSL 證書。

第二步，建立測試站點。

第三步，通過IIS 申請證書。

第四步，測試SSL 網(wǎng)站。

三、小插曲：討論訪問證書服務(wù)器時為何需要輸入用戶和密碼？

一、如何理解 SSL

按照慣例，從基礎(chǔ)概念上介紹一下SSL ，即Secure Socket Layer 安全套接層。最初是由Netscape 開發(fā)的一種國際標(biāo)準(zhǔn)的加密及身份認(rèn)證通信協(xié)議，它的作用是訪問端和被訪問端，或應(yīng)用端和服務(wù)器端之間建立一條相對獨立的、安全的通道，并利用自身的數(shù)學(xué)加密算法對來往的信息進(jìn)行嚴(yán)格加密，從而保證數(shù)據(jù)在此通道內(nèi)傳輸時擁有足夠的安全性。

那，有朋友可能會想到https ，這又是什么呢？幾句話，保證讓你明白它和ssl 之間的關(guān)系，https 也出自Netscape ，簡單講它是HTTP 協(xié)議的安全版本，即是在http 的基礎(chǔ)上加入了ssl 層，https 的安全基礎(chǔ)就是SSL ，也就是說單有https 協(xié)議，沒有ssl 的輔助是無法實現(xiàn)加密的！

網(wǎng)絡(luò)上，https 和ssl 隨處可見。當(dāng)訪問一些銀行網(wǎng)站，尤其是需要你輸入一些私密信息比如帳號、密碼的時候，請注意觀察瀏覽器地址欄的兩頭，最左邊和最右邊，一定會

看到https 和ssl 的身影。以招商銀行為例，我們進(jìn)入招行主頁

[url]http://www.cmbchina.com/[/url] 點擊右下方的【個人銀行大眾版】，即

[url]https://pbsz.ebank.cmbchina.com/CmbBank_GenShell/UI/GenShellPC/Login/Login.aspx[/url]

我們可以看到這樣的一個界面：

圖片看不清楚？請點擊這里查看原圖（大圖）。

請注意上圖的2個紅色框框，左側(cè)的HTTPS 開頭的地址表明此時網(wǎng)頁傳輸協(xié)議用的就是HTTPS 安全協(xié)議，右側(cè)的是那把黃色的小鎖表明已經(jīng)啟用了SSL 鏈接。

我們單擊一下那個小鎖，會看得更清楚些，如圖：

參照本系列的第一節(jié)講到的相關(guān)知識，我們知道這個證書的頒發(fā)者：VeriSign Class 3 Extended Validation SSL SGC CA

其實不僅僅含有頒發(fā)者的信息，我們來稍微分析一下吧：

VerSign ，美國的一家很著名提供智能信息基礎(chǔ)設(shè)施服務(wù)的服務(wù)商。

Class 3 Extended Validation，即為第三代擴(kuò)展驗證

SGC SSL ：SGC 即Server Gated Cryptography，是在現(xiàn)有的SSL 標(biāo)準(zhǔn)基礎(chǔ)上增加的一種增強(qiáng)密鑰用法(EKU)。

OK ，我們今天實驗的目的就是想實現(xiàn)類似的功能

1、使用https 協(xié)議來訪問我們的測試站點

2、出現(xiàn)如上圖的小鎖圖標(biāo)，并可以查看證書信息。

二、為Web 站點申請CA 證書并測試SSL （兩種方法）

第一種方法：

基礎(chǔ)工作

1、已安裝IIS 組件 （此文還在編輯中，稍后放出）

2、已安裝CA 組件（請參考SSL 應(yīng)用系列之一：CA 證書頒發(fā)機(jī)構(gòu)（中心）安裝圖文詳解）

1） 建立測試站點

1、我在F 盤上建了一個testweb 文件夾，里面有一個臨時站點，目錄為Errpage 。

圖片看不清楚？請點擊這里查看原圖（大圖）。

里面有2個文件，這就是我們今天要測試的網(wǎng)頁。

圖片看不清楚？請點擊這里查看原圖（大圖）。

OK ，下面我們到IIS 里將這個站點應(yīng)用起來。（具體過程非本節(jié)重點，故在此省略） 經(jīng)過一些簡單的設(shè)置后，我們可以在IIS 中順利瀏覽測試頁面。

圖片看不清楚？請點擊這里查看原圖（大圖）。

本機(jī)的IP 為10.0.0.252，下面是在IE7里的訪問頁面，大家可以看到此時并沒有https 及安全鎖標(biāo)記。

圖片看不清楚？請點擊這里查看原圖（大圖）。

為測試網(wǎng)站申請證書，也就是為我們的IIS Web服務(wù)器申請一個CA 證書。我們有兩種辦法來完成證書的申請，我們來一一演示。

2） 通過Web 網(wǎng)頁申請網(wǎng)站證書。

第一步，申請請求文件。

使用這種辦法申請證書，那么首先需要為指定的站點申請一份請求證書文件，打開IIS ，找到特定的站點，我們這里是testweb ，

在這個站點上右擊，選擇【屬性】，再選擇【目錄安全性】選項卡

點擊紅色方框處的【服務(wù)器證書】，然后【Next 】

上圖中的設(shè)置一般我們不作修改，默認(rèn)即可。點擊【Next 】繼續(xù)

紅框的內(nèi)容可以自己填寫，此處無關(guān)緊要，點擊【Next 】繼續(xù)

這里的Common name是一個很重要的地方，默認(rèn)是本機(jī)的計算機(jī)名，這里填寫的內(nèi)容將直接影響后續(xù)的訪問過程，如果你的網(wǎng)站要在外部訪問，那么一定要寫上外網(wǎng)的訪問地址，比如[url]www.mypage.com[/url]這樣的地址，當(dāng)然不一定非要用www 開頭，只要是輸入的地址已經(jīng)做好的相應(yīng)的解析記錄就行，比如web.mypage.com ，其中，mypage.com 是你申請的外網(wǎng)域名。我們這里暫且用計算機(jī)名代替，后面還會說到這個問題。點擊【Next 】繼續(xù)

紅框的內(nèi)容可以自己填寫，此處無關(guān)緊要，點擊【Next 】繼續(xù)

certreq.txt 就是針對這個站點生成的請求文件，為什么說是針對這個站點呢？還記得輸入common name 的那一步嗎？我們輸入的common name 已經(jīng)包含在請求文件里，稍后會用到這個文件來制作證書。默認(rèn)存放在C 盤根目錄下，我們也可以手工指定。點擊【Next 】繼續(xù)

查看證書的基本信息，如果確認(rèn)無誤，點擊【Next 】繼續(xù)

OK ，至此，證書的請求文件制作完畢。

第二步，提交請求文件。

在C 盤目錄下，找到剛才生成的請求文件下certreq.txt ，如下圖