SSL 應用系列之二：為Web 站點實現SSL 加密訪問 ◆如何通俗化理解SSL◆演示2種為web 網頁申請安全證書的方法◆通過實例理解Common Name名稱的作用◆討論為什么訪問證書服務器時需

SSL 應用系列之二：為Web 站點實現SSL 加密訪問 ◆如何通俗化理解SSL

◆演示2種為web 網頁申請安全證書的方法

◆通過實例理解Common Name名稱的作用

◆討論為什么訪問證書服務器時需要輸入用戶名和密碼

本文導讀目錄

一、如何理解SSL

二、為Web 站點申請CA 證書并測試SSL （兩種方法）

1、第一種方法

1）建立測試站點

2）通過Web 網頁申請網站證書。

第一步，申請請求文件。

第二步，提交請求文件。

第三步，導入web 證書。

第四步，測試SSL 網站。

2、第二種方法

第一步，移除當前SSL 證書。

第二步，建立測試站點。

第三步，通過IIS 申請證書。

第四步，測試SSL 網站。

三、小插曲：討論訪問證書服務器時為何需要輸入用戶和密碼？

一、如何理解 SSL

按照慣例，從基礎概念上介紹一下SSL ，即Secure Socket Layer 安全套接層。最初是由Netscape 開發的一種國際標準的加密及身份認證通信協議，它的作用是訪問端和被訪問端，或應用端和服務器端之間建立一條相對獨立的、安全的通道，并利用自身的數學加密算法對來往的信息進行嚴格加密，從而保證數據在此通道內傳輸時擁有足夠的安全性。

那，有朋友可能會想到https ，這又是什么呢？幾句話，保證讓你明白它和ssl 之間的關系，https 也出自Netscape ，簡單講它是HTTP 協議的安全版本，即是在http 的基礎上加入了ssl 層，https 的安全基礎就是SSL ，也就是說單有https 協議，沒有ssl 的輔助是無法實現加密的！

網絡上，https 和ssl 隨處可見。當訪問一些銀行網站，尤其是需要你輸入一些私密信息比如帳號、密碼的時候，請注意觀察瀏覽器地址欄的兩頭，最左邊和最右邊，一定會

看到https 和ssl 的身影。以招商銀行為例，我們進入招行主頁

[url]http://www.cmbchina.com/[/url] 點擊右下方的【個人銀行大眾版】，即

[url]https://pbsz.ebank.cmbchina.com/CmbBank_GenShell/UI/GenShellPC/Login/Login.aspx[/url]

我們可以看到這樣的一個界面：

圖片看不清楚？請點擊這里查看原圖（大圖）。

請注意上圖的2個紅色框框，左側的HTTPS 開頭的地址表明此時網頁傳輸協議用的就是HTTPS 安全協議，右側的是那把黃色的小鎖表明已經啟用了SSL 鏈接。

我們單擊一下那個小鎖，會看得更清楚些，如圖：

參照本系列的第一節講到的相關知識，我們知道這個證書的頒發者：VeriSign Class 3 Extended Validation SSL SGC CA

其實不僅僅含有頒發者的信息，我們來稍微分析一下吧：

VerSign ，美國的一家很著名提供智能信息基礎設施服務的服務商。

Class 3 Extended Validation，即為第三代擴展驗證

SGC SSL ：SGC 即Server Gated Cryptography，是在現有的SSL 標準基礎上增加的一種增強密鑰用法(EKU)。

OK ，我們今天實驗的目的就是想實現類似的功能

1、使用https 協議來訪問我們的測試站點

2、出現如上圖的小鎖圖標，并可以查看證書信息。

二、為Web 站點申請CA 證書并測試SSL （兩種方法）

第一種方法：

基礎工作

1、已安裝IIS 組件 （此文還在編輯中，稍后放出）

2、已安裝CA 組件（請參考SSL 應用系列之一：CA 證書頒發機構（中心）安裝圖文詳解）

1） 建立測試站點

1、我在F 盤上建了一個testweb 文件夾，里面有一個臨時站點，目錄為Errpage 。

圖片看不清楚？請點擊這里查看原圖（大圖）。

里面有2個文件，這就是我們今天要測試的網頁。

圖片看不清楚？請點擊這里查看原圖（大圖）。

OK ，下面我們到IIS 里將這個站點應用起來。（具體過程非本節重點，故在此省略） 經過一些簡單的設置后，我們可以在IIS 中順利瀏覽測試頁面。

圖片看不清楚？請點擊這里查看原圖（大圖）。

本機的IP 為10.0.0.252，下面是在IE7里的訪問頁面，大家可以看到此時并沒有https 及安全鎖標記。

圖片看不清楚？請點擊這里查看原圖（大圖）。

為測試網站申請證書，也就是為我們的IIS Web服務器申請一個CA 證書。我們有兩種辦法來完成證書的申請，我們來一一演示。

2） 通過Web 網頁申請網站證書。

第一步，申請請求文件。

使用這種辦法申請證書，那么首先需要為指定的站點申請一份請求證書文件，打開IIS ，找到特定的站點，我們這里是testweb ，

在這個站點上右擊，選擇【屬性】，再選擇【目錄安全性】選項卡

點擊紅色方框處的【服務器證書】，然后【Next 】

上圖中的設置一般我們不作修改，默認即可。點擊【Next 】繼續

紅框的內容可以自己填寫，此處無關緊要，點擊【Next 】繼續

這里的Common name是一個很重要的地方，默認是本機的計算機名，這里填寫的內容將直接影響后續的訪問過程，如果你的網站要在外部訪問，那么一定要寫上外網的訪問地址，比如[url]www.mypage.com[/url]這樣的地址，當然不一定非要用www 開頭，只要是輸入的地址已經做好的相應的解析記錄就行，比如web.mypage.com ，其中，mypage.com 是你申請的外網域名。我們這里暫且用計算機名代替，后面還會說到這個問題。點擊【Next 】繼續

紅框的內容可以自己填寫，此處無關緊要，點擊【Next 】繼續

certreq.txt 就是針對這個站點生成的請求文件，為什么說是針對這個站點呢？還記得輸入common name 的那一步嗎？我們輸入的common name 已經包含在請求文件里，稍后會用到這個文件來制作證書。默認存放在C 盤根目錄下，我們也可以手工指定。點擊【Next 】繼續

查看證書的基本信息，如果確認無誤，點擊【Next 】繼續

OK ，至此，證書的請求文件制作完畢。

第二步，提交請求文件。

在C 盤目錄下，找到剛才生成的請求文件下certreq.txt ，如下圖