SSL应用系列之二：为Web站点实现SSL加密访问概述.doc

??上一节中，我们讨论过有关CA作用及安装，本节我会通过给一个web站点设置SSL加密访问，来加深对CA的理解。 ? 通过阅读本文，你将了解到以下内容 ◆如何通俗化理解SSL ◆演示2种为web网页申请安全证书的方法 ◆通过实例理解Common? Name名称的作用 ◆讨论为什么访问证书服务器时需要输入用户名和密码 ? 本文导读目录 ? 一、如何理解SSL 二、为Web站点申请CA证书并测试SSL（两种方法） ???????1、第一种方法 ???????????????1）建立测试站点 ????????????????2）通过Web网页申请网站证书。 ??????????????????????????? ?第一步，申请请求文件。??? ?????????????????????????????第二步，提交请求文件。 ?????????????????????????????第三步，导入web证书。 ?????????????????????????????第四步，测试SSL网站。 ???????2、第二种方法 ??????????????????????????? ?第一步，移除当前SSL证书。??? ?????????????????????????????第二步，建立测试站点。 ?????????????????????????????第三步，通过IIS申请证书。 ?????????????????????????????第四步，测试SSL网站。 三、小插曲：讨论访问证书服务器时为何需要输入用户和密码？ ? ? 一、如何理解 SSL ???????按照惯例，从基础概念上介绍一下SSL，即Secure Socket Layer 安全套接层。最初是由Netscape开发的一种国际标准的加密及身份认证通信协议，它的作用是访问端和被访问端，或应用端和服务器端之间建立一条相对独立的、安全的通道，并利用自身的数学加密算法对来往的信息进行严格加密，从而保证数据在此通道内传输时拥有足够的安全性。 ???????那，有朋友可能会想到https，这又是什么呢？几句话，保证让你明白它和ssl之间的关系，https也出自Netscape，简单讲它是HTTP协议的安全版本，即是在http的基础上加入了ssl层，https的安全基础就是SSL，也就是说单有https协议，没有ssl的辅助是无法实现加密的！ ???????网络上，https和ssl随处可见。当访问一些银行网站，尤其是需要你输入一些私密信息比如帐号、密码的时候，请注意观察浏览器地址栏的两头，最左边和最右边，一定会看到https和ssl的身影。以招商银行为例，我们进入招行主页[url]/[/url]? 点击右下方的【个人银行大众版】，即[url]/CmbBank_GenShell/UI/GenShellPC/Login/Login.aspx[/url] 我们可以看到这样的一个界面： ?????? 请注意上图的2个红色框框，左侧的HTTPS开头的地址表明此时网页传输协议用的就是HTTPS安全协议，右侧的是那把黄色的小锁表明已经启用了SSL链接。 我们单击一下那个小锁，会看得更清楚些，如图： ??????? 参照本系列的第一节讲到的相关知识，我们知道这个证书的颁发者：VeriSign Class 3 Extended Validation SSL SGC CA 其实不仅仅含有颁发者的信息，我们来稍微分析一下吧： VerSign，美国的一家很著名提供智能信息基础设施服务的服务商。 Class 3 Extended Validation，即为第三代扩展验证 SGC SSL ：SGC即Server Gated Cryptography，是在现有的SSL标准基础上增加的一种增强密钥用法(EKU)。 ? OK，我们今天实验的目的就是想实现类似的功能 1、使用https协议来访问我们的测试站点 2、出现如上图的小锁图标，并可以查看证书信息。 ? 二、为Web站点申请CA证书并测试SSL（两种方法） ? 第一种方法： ? 基础工作 1、已安装IIS组件 （此文还在编辑中，稍后放出） 2、已安装CA组件（请参考SSL应用系列之一：CA证书颁发机构（中心）安装图文详解） ? 1） 建立测试站点 ? 1、我在F盘上建了一个testweb文件夹，里面有一个临时站点，目录为Errpage。 里面有2个文件，这就是我们今天要测试的网页。 OK，下面我们到IIS里将这个站点应用起来。（具体过程非本节重点，故在此省略） 经过一些简单的设置后，我们可以在IIS中顺利浏览测试页面。 本机的IP为52，下面是在IE7里的访问页面，大家可以看到此时并没有https及安全锁标记。 ? ????? 为测试网站