SSL应用系列之二：为Web站点实现SSL加密访问.doc

SSL应用系列之二：为Web站点实现SSL加密访问（多图精解）在上一节中，我们讨论过有关CA作用及安装，本节我会通过给一个web站点设置SSL加密访问的为实例，来加深对CA的理解。通过阅读本文，你将了解到以下内容◆如何通俗化理解SSL◆演示2种为web网页申请安全证书的方法◆通过实例理解Common??Name名称的作用◆如何取消证书的访问提示◆讨论为什么访问证书服务器时需要输入用户名和密码 本文导读目录 一、如何理解SSL二、为Web站点申请CA证书并测试SSL（两种方法）? ?? ? 1、第一种方法? ?? ?? ?? ?? ?1）建立测试站点? ?? ?? ?? ?? ? 2）通过Web网页申请网站证书。? ?? ?? ?? ?? ?? ?? ?? ?? ???第一步，申请请求文件。? ? ? ?? ?? ?? ?? ?? ?? ?? ?? ???第二步，提交请求文件。? ?? ?? ?? ?? ?? ?? ?? ?? ???第三步，导入web证书。? ?? ?? ?? ?? ?? ?? ?? ?? ???第四步，测试SSL网站。? ?? ? 2、第二种方法? ?? ?? ?? ?? ?? ?? ?? ?? ???第一步，移除当前SSL证书。? ? ? ?? ?? ?? ?? ?? ?? ?? ?? ???第二步，建立测试站点。? ?? ?? ?? ?? ?? ?? ?? ?? ???第三步，通过IIS申请证书。? ?? ?? ?? ?? ?? ?? ?? ?? ???第四步，测试SSL网站。三、小插曲：讨论访问证书服务器时为何需要输入用户和密码？ 一、如何理解 SSL ? ???按照惯例，从基础概念上介绍一下SSL，即Secure Socket Layer 安全套接层。最初是由Netscape开发的一种国际标准的加密及身份认证通信协议，它的作用是访问端和被访问端，或应用端和服务器端之间建立一条相对独立的、安全的通道，并利用自身的数学加密算法对来往的信息进行严格加密，从而保证数据在此通道内传输时拥有足够的安全性。? ???有朋友可能会想到https，这又是什么呢？几句话，保证让你明白它和ssl之间的关系，https也出自Netscape，简单讲它是HTTP协议的安全版本，即是在http的基础上加入了ssl层，https的安全基础就是SSL，也就是说单有https协议，没有ssl的辅助是无法实现加密的！? ???网络上，https和ssl随处可见。当访问一些银行网站，尤其是需要你输入一些私密信息比如帐号、密码的时候，请注意观察浏览器地址栏的两头，最左边和最右边，一定会看到https和ssl的身影。以招商银行为例。我们进入招商银行主页/点击右下方的【个人银行大众版】，即/ ... PC/Login/Login.aspx我们可以看到这样的一个界面 下载 (88.75 KB) 2009-3-23 01:04 ? ???请注意上图的2个红色框框，左侧的HTTPS开头的地址表明此时网页传输协议用的就是HTTPS安全协议，右侧的是那把黄色的小锁表明已经启用了SSL链接。我们单击一下那个小锁，会看得更清楚些，如图： 下载 (34.32 KB) 2009-3-23 01:04 ? ???参照本系列的第一节讲到的相关知识，我们知道这个证书的颁发者：VeriSign Class 3 Extended Validation SSL SGC CA其实不仅仅含有颁发者的信息，我们来稍微分析一下吧：VerSign，美国的一家很著名提供智能信息基础设施服务的服务商。Class 3 Extended Validation，即为第三代扩展验证SGC SSL ：SGC即Server Gated Cryptography，是在现有的SSL标准基础上增加的一种增强密钥用法(EKU)。OK，我们今天实验的目的就是想实现类似的功能1、使用https协议来访问我们的测试站点2、出现如上图的小锁图标，并可以查看证书信息。二、为Web站点申请CA证书并测试SSL（两种方法）第一种方法：基础工作1、已安装IIS组件 （此文还在编辑中，稍后放出）2、已安装CA组件（请参考SSL应用系列之一：CA证书颁发机构（中心）安装图文详解）1） 建立测试站点1、我在F盘上建了一个testweb文件夹，里面有一个临时站点，目录为Errpage。 下载 (25.29 KB) 2009-3-23 01:04 里面有2个文件，这就是我们今天要测试的网页。 下载 (31.74 KB) 2009-3-23 01:04 OK，下面我们到IIS里将这个站点应用起来。（具体过程非本节重点，故在此