SSL应用系列之三：去掉讨厌证书提示警告(多图精解).docVIP

SSL应用系列之三：去掉讨厌的证书提示警告（多图精解）其实，本节讨论的内容应该归属于CA系列的，但其中涉及到的内容和SSL应用系列之二比较紧密，在之二一文中未能详细描述，所以就把这个内容作为SSL应用系列之三来讲解了，其实，SSL、CA、IIS等这些东西都是相互关联，很难独立存在。 ???? 废话不多说，今天主要和大家讨论一下为什么会有证书提示警告及如何取消。 阅读本文，你将了解到以下内容 ? 为什么会有证书提示窗口 什么情况下会出现提示窗口 2种导入根证书的方法 如何取消窗口提示 ? 本文导读目录 ? 一、分析证书出现提示框的原因 二、分三种情况进行讨论 三、依据三个提示分析解决步骤 ???????? 第一个提示：证书不被信任，分析与解决 ???????? 第二个提示：证书时间过期，分析与解决 ???????? 第三个提示：证书名称无效或不匹配，分析与解决 ? ???????我们还是以SSL应用系列之二里的一个website的例子作为开始。????? 一、为什么会有证书提示窗口 ??????我们知道，在证书提示窗口上，一共会体现出三个信息如图： 第一个提示：此证书是否由受信任的证书颁发机构颁发 如果是，则为绿色√，否则就会出现黄色叹号 第二个提示：此证书是否在有效期内 如果是，则为绿色√，否则就会出现黄色叹号 第三个提示：证书上的名称与站点名称是否匹配 如果是，则为绿色√，否则就会出现黄色叹号 OK，如果三个提示的结果均为绿色√，那么就直接解析后面的网页，而不会有任何提示。反之，有任何一个不满足，则会出现类似上述的提示。 ??????? 现在大家应该知道，为什么会出现提示了吧，其实这也是微软处于安全考虑的一项措施，因为如果我们忽略这些提示，一样可以顺利的访问网站。 ?????? ?OK，现在我们就上面的提示，一个个来讲解。 ? 第一个提示： ?????? 为什么会有此提示？ 其实，在我们安装好Windows后，系统就会内置100多个证书，其实这些证书都是世界知名公司、企业、或机构的根证书，我们在访问某些由 这部分证书颁发机构颁发的证书加密的网站时，就不会出现第一个提示错误的情况，为什么这么说？因为本机里的受信任根证书颁发机构里有了这些根证书，也就相当于，本机信任这些根证书机构颁发的证书。 ???????不知道大家有没有理解这句话?。我来举个例子，比如证书颁发机构相当于公安部，每个人的身份证则相当于自己的一份独有的证书，在很多场合或环境下，为了表明自己的身份，就需要出示自己的身份证，因为上面有我们的一些很基本信息，这些信息足以证明我就是本人，对方在查看身份证的时候，就类似浏览器在检查某个证书是否合法，因为我们都知道身份证是由公安部这个权威部门，由这个部门颁发的身份证一定是真实有效的，所以就自然认定你就是本人。类似的，本机里预装的100多个可信任的根证书颁发机构就等同于我们的脑海里的公安部。当浏览器检测到一个新证书时，它回去查看证书的颁发者是否在自己的信任机构内，如果是，则就会信任这份证书，否则就不信任，此时就会弹出这样的提示，告诉你，浏览器检测到的这份证书并不是受信任的根证书颁发机构。 ????? 说了那么一大段，希望可以帮助你理解第一个提示出现的原因。可能有朋友要问怎么查看这些根机构？ 其实很简单，打开IE浏览器，选择 【工具】/【internet属性】/【内容】/【证书】/【受信任的根证书颁发机构】，如下图： 这些便是预设的受信任的根证书颁发机构。 ? 知道原因，问题就好解决了。 为了方便实验，我已经将环境搭建完毕，如下图： 如果我们把根证书加到本机的受信任的根证书颁发机构内，问题不就解决了么！ OK，这里我会告诉大家2种方法来将此证书添加至本地的受信任证书机构内。 ? 方法一：证书链安装法 这个应该是最简单的方法了，下列是操作步骤： 首先进入[url]http://ip/certsrv[/url]? 也就是证书的网页申请页面，然后依照图示操作： ? ? 点击【Y】之后，根证书就导入到当前用户的证书里了。但请注意，没有说导入到本地计算机，而是当前用户，为什么呢？我们知道，默认使用certmgr.msc打开的就是当前用户的证书管理器，如果想打开本地计算机的证书管理器，需要用到mmc命令来添加，具体操作就不详述了，这个会放到CA系列里再讲。 我们到证书管理器里看有没有这个证书，用certmgr.msc打开，然后找到下列位置： 从指纹码上我们可以看到，这个就是刚才导入的根证书，我们导入根CA的证书链，里面就包含了根证书。 OK，根证书已导入完毕，我们来看看效果： 大家可以看到，安装了根证书后，第一个叹号就去掉了。 可能有网友会问，当前用户和本地计算机有什么区别呢？一句话，将证书导入到当前用户的根信任区域只能在此用户下得到信任，