SSL 應(yīng)用系列之二：為Web 站點(diǎn)實(shí)現(xiàn)SSL 加密訪問 ◆如何通俗化理解SSL◆演示2種為web 網(wǎng)頁(yè)申請(qǐng)安全證書的方法◆通過(guò)實(shí)例理解Common Name名稱的作用◆討論為什么訪問證書服務(wù)器時(shí)需

SSL 應(yīng)用系列之二：為Web 站點(diǎn)實(shí)現(xiàn)SSL 加密訪問 ◆如何通俗化理解SSL

◆演示2種為web 網(wǎng)頁(yè)申請(qǐng)安全證書的方法

◆通過(guò)實(shí)例理解Common Name名稱的作用

◆討論為什么訪問證書服務(wù)器時(shí)需要輸入用戶名和密碼

本文導(dǎo)讀目錄

一、如何理解SSL

二、為Web 站點(diǎn)申請(qǐng)CA 證書并測(cè)試SSL （兩種方法）

1、第一種方法

1）建立測(cè)試站點(diǎn)

2）通過(guò)Web 網(wǎng)頁(yè)申請(qǐng)網(wǎng)站證書。

第一步，申請(qǐng)請(qǐng)求文件。

第二步，提交請(qǐng)求文件。

第三步，導(dǎo)入web 證書。

第四步，測(cè)試SSL 網(wǎng)站。

2、第二種方法

第一步，移除當(dāng)前SSL 證書。

第二步，建立測(cè)試站點(diǎn)。

第三步，通過(guò)IIS 申請(qǐng)證書。

第四步，測(cè)試SSL 網(wǎng)站。

三、小插曲：討論訪問證書服務(wù)器時(shí)為何需要輸入用戶和密碼？

一、如何理解 SSL

按照慣例，從基礎(chǔ)概念上介紹一下SSL ，即Secure Socket Layer 安全套接層。最初是由Netscape 開發(fā)的一種國(guó)際標(biāo)準(zhǔn)的加密及身份認(rèn)證通信協(xié)議，它的作用是訪問端和被訪問端，或應(yīng)用端和服務(wù)器端之間建立一條相對(duì)獨(dú)立的、安全的通道，并利用自身的數(shù)學(xué)加密算法對(duì)來(lái)往的信息進(jìn)行嚴(yán)格加密，從而保證數(shù)據(jù)在此通道內(nèi)傳輸時(shí)擁有足夠的安全性。

那，有朋友可能會(huì)想到https ，這又是什么呢？幾句話，保證讓你明白它和ssl 之間的關(guān)系，https 也出自Netscape ，簡(jiǎn)單講它是HTTP 協(xié)議的安全版本，即是在http 的基礎(chǔ)上加入了ssl 層，https 的安全基礎(chǔ)就是SSL ，也就是說(shuō)單有https 協(xié)議，沒有ssl 的輔助是無(wú)法實(shí)現(xiàn)加密的！

網(wǎng)絡(luò)上，https 和ssl 隨處可見。當(dāng)訪問一些銀行網(wǎng)站，尤其是需要你輸入一些私密信息比如帳號(hào)、密碼的時(shí)候，請(qǐng)注意觀察瀏覽器地址欄的兩頭，最左邊和最右邊，一定會(huì)

看到https 和ssl 的身影。以招商銀行為例，我們進(jìn)入招行主頁(yè)

[url]http://www.cmbchina.com/[/url] 點(diǎn)擊右下方的【個(gè)人銀行大眾版】，即

[url]https://pbsz.ebank.cmbchina.com/CmbBank_GenShell/UI/GenShellPC/Login/Login.aspx[/url]

我們可以看到這樣的一個(gè)界面：

圖片看不清楚？請(qǐng)點(diǎn)擊這里查看原圖（大圖）。

請(qǐng)注意上圖的2個(gè)紅色框框，左側(cè)的HTTPS 開頭的地址表明此時(shí)網(wǎng)頁(yè)傳輸協(xié)議用的就是HTTPS 安全協(xié)議，右側(cè)的是那把黃色的小鎖表明已經(jīng)啟用了SSL 鏈接。

我們單擊一下那個(gè)小鎖，會(huì)看得更清楚些，如圖：

參照本系列的第一節(jié)講到的相關(guān)知識(shí)，我們知道這個(gè)證書的頒發(fā)者：VeriSign Class 3 Extended Validation SSL SGC CA

其實(shí)不僅僅含有頒發(fā)者的信息，我們來(lái)稍微分析一下吧：

VerSign ，美國(guó)的一家很著名提供智能信息基礎(chǔ)設(shè)施服務(wù)的服務(wù)商。

Class 3 Extended Validation，即為第三代擴(kuò)展驗(yàn)證

SGC SSL ：SGC 即Server Gated Cryptography，是在現(xiàn)有的SSL 標(biāo)準(zhǔn)基礎(chǔ)上增加的一種增強(qiáng)密鑰用法(EKU)。

OK ，我們今天實(shí)驗(yàn)的目的就是想實(shí)現(xiàn)類似的功能

1、使用https 協(xié)議來(lái)訪問我們的測(cè)試站點(diǎn)

2、出現(xiàn)如上圖的小鎖圖標(biāo)，并可以查看證書信息。

二、為Web 站點(diǎn)申請(qǐng)CA 證書并測(cè)試SSL （兩種方法）

第一種方法：

基礎(chǔ)工作

1、已安裝IIS 組件 （此文還在編輯中，稍后放出）

2、已安裝CA 組件（請(qǐng)參考SSL 應(yīng)用系列之一：CA 證書頒發(fā)機(jī)構(gòu)（中心）安裝圖文詳解）

1） 建立測(cè)試站點(diǎn)

1、我在F 盤上建了一個(gè)testweb 文件夾，里面有一個(gè)臨時(shí)站點(diǎn)，目錄為Errpage 。

圖片看不清楚？請(qǐng)點(diǎn)擊這里查看原圖（大圖）。

里面有2個(gè)文件，這就是我們今天要測(cè)試的網(wǎng)頁(yè)。

圖片看不清楚？請(qǐng)點(diǎn)擊這里查看原圖（大圖）。

OK ，下面我們到IIS 里將這個(gè)站點(diǎn)應(yīng)用起來(lái)。（具體過(guò)程非本節(jié)重點(diǎn)，故在此省略） 經(jīng)過(guò)一些簡(jiǎn)單的設(shè)置后，我們可以在IIS 中順利瀏覽測(cè)試頁(yè)面。

圖片看不清楚？請(qǐng)點(diǎn)擊這里查看原圖（大圖）。

本機(jī)的IP 為10.0.0.252，下面是在IE7里的訪問頁(yè)面，大家可以看到此時(shí)并沒有https 及安全鎖標(biāo)記。

圖片看不清楚？請(qǐng)點(diǎn)擊這里查看原圖（大圖）。

為測(cè)試網(wǎng)站申請(qǐng)證書，也就是為我們的IIS Web服務(wù)器申請(qǐng)一個(gè)CA 證書。我們有兩種辦法來(lái)完成證書的申請(qǐng)，我們來(lái)一一演示。

2） 通過(guò)Web 網(wǎng)頁(yè)申請(qǐng)網(wǎng)站證書。

第一步，申請(qǐng)請(qǐng)求文件。

使用這種辦法申請(qǐng)證書，那么首先需要為指定的站點(diǎn)申請(qǐng)一份請(qǐng)求證書文件，打開IIS ，找到特定的站點(diǎn)，我們這里是testweb ，

在這個(gè)站點(diǎn)上右擊，選擇【屬性】，再選擇【目錄安全性】選項(xiàng)卡

點(diǎn)擊紅色方框處的【服務(wù)器證書】，然后【Next 】

上圖中的設(shè)置一般我們不作修改，默認(rèn)即可。點(diǎn)擊【Next 】繼續(xù)

紅框的內(nèi)容可以自己填寫，此處無(wú)關(guān)緊要，點(diǎn)擊【Next 】繼續(xù)

這里的Common name是一個(gè)很重要的地方，默認(rèn)是本機(jī)的計(jì)算機(jī)名，這里填寫的內(nèi)容將直接影響后續(xù)的訪問過(guò)程，如果你的網(wǎng)站要在外部訪問，那么一定要寫上外網(wǎng)的訪問地址，比如[url]www.mypage.com[/url]這樣的地址，當(dāng)然不一定非要用www 開頭，只要是輸入的地址已經(jīng)做好的相應(yīng)的解析記錄就行，比如web.mypage.com ，其中，mypage.com 是你申請(qǐng)的外網(wǎng)域名。我們這里暫且用計(jì)算機(jī)名代替，后面還會(huì)說(shuō)到這個(gè)問題。點(diǎn)擊【Next 】繼續(xù)

紅框的內(nèi)容可以自己填寫，此處無(wú)關(guān)緊要，點(diǎn)擊【Next 】繼續(xù)

certreq.txt 就是針對(duì)這個(gè)站點(diǎn)生成的請(qǐng)求文件，為什么說(shuō)是針對(duì)這個(gè)站點(diǎn)呢？還記得輸入common name 的那一步嗎？我們輸入的common name 已經(jīng)包含在請(qǐng)求文件里，稍后會(huì)用到這個(gè)文件來(lái)制作證書。默認(rèn)存放在C 盤根目錄下，我們也可以手工指定。點(diǎn)擊【Next 】繼續(xù)

查看證書的基本信息，如果確認(rèn)無(wú)誤，點(diǎn)擊【Next 】繼續(xù)

OK ，至此，證書的請(qǐng)求文件制作完畢。

第二步，提交請(qǐng)求文件。

在C 盤目錄下，找到剛才生成的請(qǐng)求文件下certreq.txt ，如下圖