SSL应用系列之二Web站点实现SSL加密访问

SSL 应用系列之二：为Web 站点实现SSL 加密访问 ◆如何通俗化理解SSL◆演示2种为web 网页申请安全证书的方法◆通过实例理解Common Name名称的作用◆讨论为什么访问证书服务器时需

SSL 应用系列之二：为Web 站点实现SSL 加密访问 ◆如何通俗化理解SSL

◆演示2种为web 网页申请安全证书的方法

◆通过实例理解Common Name名称的作用

◆讨论为什么访问证书服务器时需要输入用户名和密码

本文导读目录

一、如何理解SSL

二、为Web 站点申请CA 证书并测试SSL （两种方法）

1、第一种方法

1）建立测试站点

2）通过Web 网页申请网站证书。

第一步，申请请求文件。

第二步，提交请求文件。

第三步，导入web 证书。

第四步，测试SSL 网站。

2、第二种方法

第一步，移除当前SSL 证书。

第二步，建立测试站点。

第三步，通过IIS 申请证书。

第四步，测试SSL 网站。

三、小插曲：讨论访问证书服务器时为何需要输入用户和密码？

一、如何理解 SSL

按照惯例，从基础概念上介绍一下SSL ，即Secure Socket Layer 安全套接层。最初是由Netscape 开发的一种国际标准的加密及身份认证通信协议，它的作用是访问端和被访问端，或应用端和服务器端之间建立一条相对独立的、安全的通道，并利用自身的数学加密算法对来往的信息进行严格加密，从而保证数据在此通道内传输时拥有足够的安全性。

那，有朋友可能会想到https ，这又是什么呢？几句话，保证让你明白它和ssl 之间的关系，https 也出自Netscape ，简单讲它是HTTP 协议的安全版本，即是在http 的基础上加入了ssl 层，https 的安全基础就是SSL ，也就是说单有https 协议，没有ssl 的辅助是无法实现加密的！

网络上，https 和ssl 随处可见。当访问一些银行网站，尤其是需要你输入一些私密信息比如帐号、密码的时候，请注意观察浏览器地址栏的两头，最左边和最右边，一定会

看到https 和ssl 的身影。以招商银行为例，我们进入招行主页

[url]http://www.cmbchina.com/[/url] 点击右下方的【个人银行大众版】，即

[url]https://pbsz.ebank.cmbchina.com/CmbBank_GenShell/UI/GenShellPC/Login/Login.aspx[/url]

我们可以看到这样的一个界面：

图片看不清楚？请点击这里查看原图（大图）。

请注意上图的2个红色框框，左侧的HTTPS 开头的地址表明此时网页传输协议用的就是HTTPS 安全协议，右侧的是那把黄色的小锁表明已经启用了SSL 链接。

我们单击一下那个小锁，会看得更清楚些，如图：

参照本系列的第一节讲到的相关知识，我们知道这个证书的颁发者：VeriSign Class 3 Extended Validation SSL SGC CA

其实不仅仅含有颁发者的信息，我们来稍微分析一下吧：

VerSign ，美国的一家很著名提供智能信息基础设施服务的服务商。

Class 3 Extended Validation，即为第三代扩展验证

SGC SSL ：SGC 即Server Gated Cryptography，是在现有的SSL 标准基础上增加的一种增强密钥用法(EKU)。

OK ，我们今天实验的目的就是想实现类似的功能

1、使用https 协议来访问我们的测试站点

2、出现如上图的小锁图标，并可以查看证书信息。

二、为Web 站点申请CA 证书并测试SSL （两种方法）

第一种方法：

基础工作

1、已安装IIS 组件 （此文还在编辑中，稍后放出）

2、已安装CA 组件（请参考SSL 应用系列之一：CA 证书颁发机构（中心）安装图文详解）

1） 建立测试站点

1、我在F 盘上建了一个testweb 文件夹，里面有一个临时站点，目录为Errpage 。

图片看不清楚？请点击这里查看原图（大图）。

里面有2个文件，这就是我们今天要测试的网页。

图片看不清楚？请点击这里查看原图（大图）。

OK ，下面我们到IIS 里将这个站点应用起来。（具体过程非本节重点，故在此省略） 经过一些简单的设置后，我们可以在IIS 中顺利浏览测试页面。

图片看不清楚？请点击这里查看原图（大图）。

本机的IP 为10.0.0.252，下面是在IE7里的访问页面，大家可以看到此时并没有https 及安全锁标记。

图片看不清楚？请点击这里查看原图（大图）。

为测试网站申请证书，也就是为我们的IIS Web服务器申请一个CA 证书。我们有两种办法来完成证书的申请，我们来一一演示。

2） 通过Web 网页申请网站证书。

第一步，申请请求文件。

使用这种办法申请证书，那么首先需要为指定的站点申请一份请求证书文件，打开IIS ，找到特定的站点，我们这里是testweb ，

在这个站点上右击，选择【属性】，再选择【目录安全性】选项卡

点击红色方框处的【服务器证书】，然后【Next 】

上图中的设置一般我们不作修改，默认即可。点击【Next 】继续

红框的内容可以自己填写，此处无关紧要，点击【Next 】继续

这里的Common name是一个很重要的地方，默认是本机的计算机名，这里填写的内容将直接影响后续的访问过程，如果你的网站要在外部访问，那么一定要写上外网的访问地址，比如[url]www.mypage.com[/url]这样的地址，当然不一定非要用www 开头，只要是输入的地址已经做好的相应的解析记录就行，比如web.mypage.com ，其中，mypage.com 是你申请的外网域名。我们这里暂且用计算机名代替，后面还会说到这个问题。点击【Next 】继续

红框的内容可以自己填写，此处无关紧要，点击【Next 】继续

certreq.txt 就是针对这个站点生成的请求文件，为什么说是针对这个站点呢？还记得输入common name 的那一步吗？我们输入的common name 已经包含在请求文件里，稍后会用到这个文件来制作证书。默认存放在C 盘根目录下，我们也可以手工指定。点击【Next 】继续

查看证书的基本信息，如果确认无误，点击【Next 】继续

OK ，至此，证书的请求文件制作完毕。

第二步，提交请求文件。

在C 盘目录下，找到刚才生成的请求文件下certreq.txt ，如下图