SSL應用系列之一：CA證書頒發(fā)機構(gòu)（中心）安裝圖文詳解 2009-03-19 17:55:15 標簽：證書頒發(fā)機構(gòu)?CA?休閑?曬文章?職場 原創(chuàng)作品，允許轉(zhuǎn)載，轉(zhuǎn)載時請務必以超鏈接形式標明文章?原始出處?、作者信息和本聲明。否則將追究法律責任。http://jeffyyko.blog.51cto.com/28563/140518 如果你需要在組織里發(fā)布exchange，或者需要給IIS配置SSL的訪問方式，則需要部署CA，關(guān)于CA的應用，后續(xù)會有幾篇文章來專門敘述，本文僅僅介紹CA證書頒發(fā)機構(gòu)的安裝，這也是SSL應用的基礎(chǔ)工作。 閱讀本文，你將了解到以下內(nèi)容 ◆什么是CA及CA的作用 ◆安裝CA的準備條件 ◆如何CA安裝 ◆何為根證書 在安裝CA前，我們需要了解什么是CA。字面上理解，CA即Certificate Authority ，也就是證書授權(quán)中心，對于這6個字，如何理解？來幫大家逐字分析一下： 中心：可以得知首先它是一個集中化的管理某種東西的一個系統(tǒng)或者說是一個平臺 授權(quán)：可以理解為，如果需要得到某種東西、或者實現(xiàn)某些目的需要通過這個中心進行認證，獲得許可以后才可以繼續(xù)操作。 證書：證書的最大作用就是通過某種東西來證明某種東西的合法性和存在性。 總結(jié)一下，為了實現(xiàn)證明及安全的目的，我們建立了一套系統(tǒng)或者平臺，它可以用來證明某些事物的合法性和真實存在性，并且為此提供足夠強的保護，從而來抵御外界的攻擊。這就是證書認證系統(tǒng)或者證書授權(quán)中心。概念似乎很抽象，不過后面會講到更多的應用，當你理解這些應用后，再回過頭來看這段話就會覺得很好理解。 我們開始吧，首先介紹一下CA安裝的基礎(chǔ)環(huán)境。 基礎(chǔ)環(huán)境： 1、服務器版本操作系統(tǒng)，2000ser或2003 ser ,2008 ser等 2、安裝CA前，請先安裝好IIS。 一、安裝CA 1、首先打開添加與刪除程序，找到添加與刪除組件，找到證書服務 當我們選中證書服務的時候，系統(tǒng)會彈出一個提示 大致意思是由于安裝CA后會將計算機名綁定到CA是并會存儲在活動目錄中，所以裝完CA后無法修改計算機名稱，我們這里點擊YES， 這里有4種CA類型可供選擇。 有2大類，企業(yè)根CA和獨立根CA，各自又有一個從屬的CA。從屬CA是為上級CA授權(quán)給下級CA機構(gòu)來頒發(fā)證書準備的，就范圍和功能性而言，企業(yè)CA較獨立CA更廣，更強大。比如獨立CA無法使用證書模板，而企業(yè)CA可以。還有一點就是一個網(wǎng)絡上首個安裝的CA必須為根CA，若是企業(yè)根CA則必須有域環(huán)境，這里我們就選擇第一個，并點擊【Next】 在這個界面中，我們需要注意兩個地方， 1、common name for this ca? 這里的名稱其實和之后要申請的公共名稱沒有太大關(guān)聯(lián)，我們可以自己命名，因為這個只是給我們要安裝的CA起的一個可識別的名稱而已，沒有實際含義。所以這里 我寫的是ca01，請大家不要和申請SSL或者發(fā)布OWA時所輸入的公共名稱相混淆。 2、Validity period 這個是安裝的CA機構(gòu)可正常運行的期限，即自安裝日起5年內(nèi)可以正常處理各種類型的證書的申請請求。當然你也可以手動更改，在右側(cè)會出現(xiàn)相應的過期日期。 輸入根CA的名稱后，點擊【Next】，經(jīng)過一個很簡短的過程之后，出現(xiàn)以下圖示： 我們可以設置CA證書的數(shù)據(jù)庫以及日志的存放路徑，一般默認即可，點擊【Next】繼續(xù)，此時會彈出一個提示窗口，如下圖示： 意思是，要完成CA的安裝，需要臨時停止IIS服務器，由于我這里IIS上沒有運行web，所以可以直接點YES，這點請留意。 確定后，就開始自動安裝CA組件了。 安裝過程中，如果你沒有事先啟用IIS6里的ASP的話，就會出現(xiàn)下面的提示，此時只需確定即可。 經(jīng)過大概1、2分鐘的安裝過程后，CA組件順序安裝完畢。 點擊Finish完成整個過程。 二、查看CA CA已安裝，但在哪里查看呢？別急，我們可以通過2個辦法來實現(xiàn) 1、可以依次點擊 開始/程序/管理工具/Certification Authority 2、也可以在命令窗口內(nèi)輸入certsrv.msc,確定后直接打開CA 2種方法效果都是一樣的，我們選用第二種方法。 下面是打開的主界面 這里我們可以看到ca01這個名稱，熟悉嗎？ 對了，這就是我們在申請CA的時候輸入的CA機構(gòu)的名稱，請記住，這僅僅是一個名稱，對以后申請各類應用型的證書沒有任何影響。 下面5個文件夾分別是【吊銷的證書】、【已頒發(fā)的證書】、【掛起的請求】、【失敗的請求】、【證書模板】，這里不做細述，以后用到的時候再講，其實很簡單。 在這里我想和大家討論的一個概念，就是“根證書”。其實當我們把CA機構(gòu)創(chuàng)建完畢后，它的基本功能就是它將為其他應用程序或者服務器等頒發(fā)及管理證書，在安裝完畢后，它會給自己頒發(fā)一個證書，也就是root certificate 根證書，而且是自己信任自己的，那在哪里查看呢？？？ 右鍵ca01，選擇【屬性】，如下圖： 我們可以很清晰的看到有一個certificate #0的證書，這就是ca01這個CA頒發(fā)機構(gòu)的根證書。點擊右下角的View Certificate ，可以查看根證書的詳細屬性。 【常規(guī)】選項卡，這里可以看到很簡要的信息，比如頒發(fā)者ca01，頒發(fā)給ca01，也就是自己給自己頒發(fā)，很簡單，它是根CA，也是該網(wǎng)絡里的第一臺CA證書服務器，只能自己給自己頒發(fā)一個根證書，為什么要這么做呢？原因有兩點，1、它是最高級別的CA? 2、為后面申請的CA證書提供認證。 【詳細信息】選項卡，這里不但可以查看證書的一些基本信息，包括證書版本，生效日期，以及失效日期，還有算法及加密信息等。 右下角有一個 copy to file，我們可以利用這個選項將根證書導出為3種不同的格式，我會在后面的教程中說到。 【證書路徑】選項卡，這里顯示的是證書體系的邏輯結(jié)構(gòu)，因為我現(xiàn)在只有根證書，所以也只能看到自己了。 OK，關(guān)于CA安裝的圖文詳解先寫到這里，后面還會有相關(guān)的文章，盡請期待！ To be continued .. SSL應用系列之二：為Web站點實現(xiàn)SSL加密訪問 2009-03-22 16:15:53 標簽：CA?加密網(wǎng)站?SSL?2種方法?曬文章 原創(chuàng)作品，允許轉(zhuǎn)載，轉(zhuǎn)載時請務必以超鏈接形式標明文章?原始出處?、作者信息和本聲明。否則將追究法律責任。http://jeffyyko.blog.51cto.com/28563/141322 上一節(jié)中，我們討論過有關(guān)CA作用及安裝，本節(jié)我會通過給一個web站點設置SSL加密訪問，來加深對CA的理解。 通過閱讀本文，你將了解到以下內(nèi)容 ◆如何通俗化理解SSL ◆演示2種為web網(wǎng)頁申請安全證書的方法 ◆通過實例理解Common? Name名稱的作用 ◆討論為什么訪問證書服務器時需要輸入用戶名和密碼 本文導讀目錄 ? 一、如何理解SSL 二、為Web站點申請CA證書并測試SSL（兩種方法） ???????1、第一種方法 ???????????????1）建立測試站點 ????????????????2）通過Web網(wǎng)頁申請網(wǎng)站證書。 ??????????????????????????? ?第一步，申請請求文件。??? ?????????????????????????????第二步，提交請求文件。 ?????????????????????????????第三步，導入web證書。 ?????????????????????????????第四步，測試SSL網(wǎng)站。 ???????2、第二種方法 ??????????????????????????? ?第一步，移除當前SSL證書。??? ?????????????????????????????第二步，建立測試站點。 ?????????????????????????????第三步，通過IIS申請證書。 ?????????????????????????????第四步，測試SSL網(wǎng)站。 三、小插曲：討論訪問證書服務器時為何需要輸入用戶和密碼？ ? ? 一、如何理解 SSL 按照慣例，從基礎(chǔ)概念上介紹一下SSL，即Secure Socket Layer 安全套接層。最初是由Netscape開發(fā)的一種國際標準的加密及身份認證通信協(xié)議，它的作用是訪問端和被訪問端，或應用端和服務器端之間建立一條相對獨立的、安全的通道，并利用自身的數(shù)學加密算法對來往的信息進行嚴格加密，從而保證數(shù)據(jù)在此通道內(nèi)傳輸時擁有足夠的安全性。 那，有朋友可能會想到https，這又是什么呢？幾句話，保證讓你明白它和ssl之間的關(guān)系，https也出自Netscape，簡單講它是HTTP協(xié)議的安全版本，即是在http的基礎(chǔ)上加入了ssl層，https的安全基礎(chǔ)就是SSL，也就是說單有https協(xié)議，沒有ssl的輔助是無法實現(xiàn)加密的！ 網(wǎng)絡上，https和ssl隨處可見。當訪問一些銀行網(wǎng)站，尤其是需要你輸入一些私密信息比如帳號、密碼的時候，請注意觀察瀏覽器地址欄的兩頭，最左邊和最右邊，一定會看到https和ssl的身影。以招商銀行為例，我們進入招行主頁[url]http://www.cmbchina.com/[/url]? 點擊右下方的【個人銀行大眾版】，即[url]https://pbsz.ebank.cmbchina.com/CmbBank_GenShell/UI/GenShellPC/Login/Login.aspx[/url] 我們可以看到這樣的一個界面： 請注意上圖的2個紅色框框，左側(cè)的HTTPS開頭的地址表明此時網(wǎng)頁傳輸協(xié)議用的就是HTTPS安全協(xié)議，右側(cè)的是那把黃色的小鎖表明已經(jīng)啟用了SSL鏈接。 我們單擊一下那個小鎖，會看得更清楚些，如圖： 參照本系列的第一節(jié)講到的相關(guān)知識，我們知道這個證書的頒發(fā)者：VeriSign Class 3 Extended Validation SSL SGC CA 其實不僅僅含有頒發(fā)者的信息，我們來稍微分析一下吧： VerSign，美國的一家很著名提供智能信息基礎(chǔ)設施服務的服務商。 Class 3 Extended Validation，即為第三代擴展驗證 SGC SSL ：SGC即Server Gated Cryptography，是在現(xiàn)有的SSL標準基礎(chǔ)上增加的一種增強密鑰用法(EKU)。 OK，我們今天實驗的目的就是想實現(xiàn)類似的功能 1、使用https協(xié)議來訪問我們的測試站點 2、出現(xiàn)如上圖的小鎖圖標，并可以查看證書信息。 ? 二、為Web站點申請CA證書并測試SSL（兩種方法） ? 第一種方法： ? 基礎(chǔ)工作 1、已安裝IIS組件 （此文還在編輯中，稍后放出） 2、已安裝CA組件（請參考SSL應用系列之一：CA證書頒發(fā)機構(gòu)（中心）安裝圖文詳解） 1） 建立測試站點 ? 1、我在F盤上建了一個testweb文件夾，里面有一個臨時站點，目錄為Errpage。 里面有2個文件，這就是我們今天要測試的網(wǎng)頁。 OK，下面我們到IIS里將這個站點應用起來。（具體過程非本節(jié)重點，故在此省略） 經(jīng)過一些簡單的設置后，我們可以在IIS中順利瀏覽測試頁面。 本機的IP為10.0.0.252，下面是在IE7里的訪問頁面，大家可以看到此時并沒有https及安全鎖標記。 ? 為測試網(wǎng)站申請證書，也就是為我們的IIS Web服務器申請一個CA證書。我們有兩種辦法來完成證書的申請，我們來一一演示。 2） 通過Web網(wǎng)頁申請網(wǎng)站證書。 ? 第一步，申請請求文件。 ? 使用這種辦法申請證書，那么首先需要為指定的站點申請一份請求證書文件，打開IIS，找到特定的站點，我們這里是testweb， 在這個站點上右擊，選擇【屬性】，再選擇【目錄安全性】選項卡 點擊紅色方框處的【服務器證書】，然后【Next】 上圖中的設置一般我們不作修改，默認即可。點擊【Next】繼續(xù) 紅框的內(nèi)容可以自己填寫，此處無關(guān)緊要，點擊【Next】繼續(xù) ????????這里的Common name是一個很重要的地方，默認是本機的計算機名，這里填寫的內(nèi)容將直接影響后續(xù)的訪問過程，如果你的網(wǎng)站要在外部訪問，那么一定要寫上外網(wǎng)的訪問地址，比如[url]www.mypage.com[/url]這樣的地址，當然不一定非要用www開頭，只要是輸入的地址已經(jīng)做好的相應的解析記錄就行，比如web.mypage.com，其中，mypage.com是你申請的外網(wǎng)域名。我們這里暫且用計算機名代替，后面還會說到這個問題。點擊【Next】繼續(xù) 紅框的內(nèi)容可以自己填寫，此處無關(guān)緊要，點擊【Next】繼續(xù) ???????certreq.txt就是針對這個站點生成的請求文件，為什么說是針對這個站點呢？還記得輸入common name的那一步嗎？我們輸入的common name已經(jīng)包含在請求文件里，稍后會用到這個文件來制作證書。默認存放在C盤根目錄下，我們也可以手工指定。點擊【Next】繼續(xù) 查看證書的基本信息，如果確認無誤，點擊【Next】繼續(xù) OK，至此，證書的請求文件制作完畢。 第二步，提交請求文件。 在C盤目錄下，找到剛才生成的請求文件下certreq.txt，如下圖 這是經(jīng)過加密后的文件，不用理會里面的內(nèi)容，也用不著理會，ctrl+A全選并復制。然后打開證書的web申請頁面，由于CA也裝在10.0.0.252這臺服務器上，為了方便訪問，我在本地網(wǎng)卡上添加了另一個IP地址 10.0.0.253來作為證書服務的訪問地址，直接在瀏覽器里輸入10.0.0.253/certsrv來訪問CA證書Web申請頁面： 此時彈出一個提示框，讓我們輸入用戶和密碼，這里我們輸入本機帳戶信息 確定后，就可以看到證書申請頁面了 如上圖所示，選擇第一個Request a certificate 如上圖所示，選擇advanced certificate request 因為我們已經(jīng)有了一份證書請求文件，所以選擇第二項， 請注意兩個地方： 1、第一個紅框需要填入的內(nèi)容就是我們剛才復制的那一長串字符；在下方有一個Browse for a file to insert,也可以點擊直接導入certreq.txt的文件，這2種方法都可以。 2、最下方，有一個證書模板，我們需要選擇Web Server 類型。 操作完畢后，點擊右下角的Submit完成提交。 當出現(xiàn)上面圖示時，表明證書申請完畢，這里有2兩種編碼格式可供選擇，一般選擇Base 64 encoded。 下面有兩個鏈接，一個是申請到的證書文件，另一個是證書鏈。 有個概念，什么是證書鏈？ 其實，證書鏈里面包含2個文件，一個是當前的證書，一個是CA的根證書。 現(xiàn)在我們只需要證書文件，所以點擊Download certificate后，出現(xiàn)如下提示： 點擊save，任選一個位置保存下來，這個文件就是我們?yōu)閠estweb站點申請的證書。 OK，至此，Web證書制作完畢。 第三步，導入Web證書。 ? 打開testweb站點的屬性，找到【目錄安全性】，如下圖： 我們這里選擇第一個選項，意思是處理一個掛起的請求并安裝證書。 此時需要把我們剛才保存好的證書文件導入進去，點擊Browse進行瀏覽。點擊【Next】繼續(xù) 上圖中的443就是SSL默認的端口，我們不建議修改，默認即可。點擊【Next】繼續(xù) 這個是一個概覽信息，若無誤，點擊【Next】繼續(xù) OK，至此，Web證書導入完畢。 第四步，測試SSL網(wǎng)站。 ? ?????在測試SSL之前，我們還需要設置一個地方。依然找到【目錄安全性】，如下圖選擇，并更改相應設置 這樣設置是為了開啟此站點的SSL功能，否則SSL也不會正式生效。 OK，一切就緒。我們開始測試SSL站點是否成功。 我們先按照之前的習慣來訪問一下，如下圖： 請注意上面2個標記紅框的地方，很明顯，如果依然使用http協(xié)議訪問，就會失敗，并出現(xiàn)提示，告訴我們需要使用https進行訪問。
OK，我們輸入[url]https://10.0.0.252[/url]來試一下 我已經(jīng)改成了https訪問，此時彈出一個對話框，第一個嘆號說明證書本地并不信任這個證書的CA，如果想讓我的計算機信任此證書，就需要把ca01上的根證書導入到本機的受信任的證書頒發(fā)機構(gòu)中才可以。 這個是我做了此操作后的效果，第一個嘆號已經(jīng)沒有了。 下面我們重點說一下第二個嘆號。為什么是這個提示？ 大家是否還記得，我們在申請證書請求文件的時候填入的common name 是什么嗎？ 對了，是 DC01，而且我也說過，我們訪問地址里的名稱一定要和common name 一致。請仔細觀察下面兩張圖，看有什么異同： 請大家仔細觀察2張圖內(nèi)標記紅色框的地方。 ????????? 解釋：下面的那張圖的訪問地址和之前的都不一樣，使用的是dc01，而這個名稱正好和common name 一致，所以就不會彈出證書提示框，也就是說此時，安全證書的名稱和站點名稱相匹配，所以會直接進入頁面。在地址欄的右側(cè)也可以看到一個黃色的小鎖。 OK，至此第一種申請網(wǎng)站證書的辦法已經(jīng)演示完畢，并做了測試。 ------------------------------------------------------------------------------------------------------ 第二種方法： ? 1） 移除當前網(wǎng)站證書。 我們來討論一下申請證書的第二種方法，為了避免干擾。我們先把剛才做得證書移除掉。 依然找到【目錄安全性】，點擊【服務器證書】，【Next】后，進入以下畫面： 選擇，移除當前的證書，點擊【Next】 如果確認，點擊【Next】，即可完成證書移除。 此時，再通過[url]https://10.0.0.252/[/url]這個地址將無法網(wǎng)站。 2） 建立測試站點。 方便起見，亦然用之前站點作為測試對象，所以此步驟省略，同上。 3） 通過IIS申請證書 依然找到【目錄安全性】，點擊【服務器證書】，【Next】后，進入以下畫面： 與第一種方法不同，我們這里選擇第二個，即發(fā)送請求到一個在線CA Common Name ，這個地方我們依然默認為dc01 4） 測試SSL網(wǎng)站 ???我們還需要做一下簡單設置，如下圖： 至此，第二種申請網(wǎng)站證書的辦法描述完畢，測試的細節(jié)和要點和第一種方式一樣，這里就不再細說了。 三、小插曲：討論訪問證書服務器時為何需要輸入用戶和密碼？ 大家可以發(fā)現(xiàn)，這時會彈出一個對話框，讓你輸入用戶和密碼，其實也就是本機管理員的帳戶和密碼，輸入正確即可訪問。 細心的朋友可能要問了，為什么這里會出現(xiàn)這個提示讓我們輸入驗證信息呢？是的，簡單回答，就是為了保證CA服務器的安全性，那我們是否可以去掉呢？？答案是，完全可以。其實，這里面有一個知識點，請大家注意certsrv這個目錄，如圖： 就是這個目錄，我們看一下它的屬性，關(guān)鍵是【目錄安全】這個選項卡。 我們可以看到藍色選項卡里有一個勾，并未選中，如果選中后，我們再此訪問10.0.0.253/certsrv的時候就可以直接訪問，而無需輸入任何身份信息。為什么呢？ 因為IUSR_DC01是在IIS安裝完成后自動建立的一個特殊的用戶，默認情況下，當我們訪問IIS下的某一站點時候，IIS在處理訪問請求的時候都是通過IUSR_DC01這個用戶來進行驗證并返回結(jié)果的。而在創(chuàng)建CA的時候默認這個勾就被取消，所以我們訪問的時候就會出現(xiàn)輸入用戶信息的提示。 只要把勾打上，以后再訪問就不會有什么提示了。但建議大家還是不要去更改默認設置，安全還是要放在首位的。
SSL應用系列之三：去掉討厭的證書提示警告（多圖精解） 2009-03-25 12:14:14 標簽：證書?CA?警告?提示窗口?曬文章 原創(chuàng)作品，允許轉(zhuǎn)載，轉(zhuǎn)載時請務必以超鏈接形式標明文章?原始出處?、作者信息和本聲明。否則將追究法律責任。http://jeffyyko.blog.51cto.com/28563/142280 其實，本節(jié)討論的內(nèi)容應該歸屬于CA系列的，但其中涉及到的內(nèi)容和SSL應用系列之二比較緊密，在之二一文中未能詳細描述，所以就把這個內(nèi)容作為SSL應用系列之三來講解了，其實，SSL、CA、IIS等這些東西都是相互關(guān)聯(lián)，很難獨立存在。 廢話不多說，今天主要和大家討論一下為什么會有證書提示警告及如何取消。 閱讀本文，你將了解到以下內(nèi)容 ◆為什么會有證書提示窗口 ◆什么情況下會出現(xiàn)提示窗口 ◆2種導入根證書的方法 ◆如何取消窗口提示 本文導讀目錄 ? 一、分析證書出現(xiàn)提示框的原因 二、分三種情況進行討論 三、依據(jù)三個提示分析解決步驟 ???????? 第一個提示：證書不被信任，分析與解決 第二個提示：證書時間過期，分析與解決 第三個提示：證書名稱無效或不匹配，分析與解決 ? 我們還是以SSL應用系列之二里的一個website的例子作為開始。????? 一、為什么會有證書提示窗口 我們知道，在證書提示窗口上，一共會體現(xiàn)出三個信息如圖： 第一個提示：此證書是否由受信任的證書頒發(fā)機構(gòu)頒發(fā) 如果是，則為綠色√，否則就會出現(xiàn)黃色嘆號 第二個提示：此證書是否在有效期內(nèi) 如果是，則為綠色√，否則就會出現(xiàn)黃色嘆號 第三個提示：證書上的名稱與站點名稱是否匹配 如果是，則為綠色√，否則就會出現(xiàn)黃色嘆號 OK，如果三個提示的結(jié)果均為綠色√，那么就直接解析后面的網(wǎng)頁，而不會有任何提示。反之，有任何一個不滿足，則會出現(xiàn)類似上述的提示。 現(xiàn)在大家應該知道，為什么會出現(xiàn)提示了吧，其實這也是微軟處于安全考慮的一項措施，因為如果我們忽略這些提示，一樣可以順利的訪問網(wǎng)站。 OK，現(xiàn)在我們就上面的提示，一個個來講解。 第一個提示： 為什么會有此提示？ 其實，在我們安裝好Windows后，系統(tǒng)就會內(nèi)置100多個證書，其實這些證書都是世界知名公司、企業(yè)、或機構(gòu)的根證書，我們在訪問某些由 這部分證書頒發(fā)機構(gòu)頒發(fā)的證書加密的網(wǎng)站時，就不會出現(xiàn)第一個提示錯誤的情況，為什么這么說？因為本機里的受信任根證書頒發(fā)機構(gòu)里有了這些根證書，也就相當于，本機信任這些根證書機構(gòu)頒發(fā)的證書。 不知道大家有沒有理解這句話?。我來舉個例子，比如證書頒發(fā)機構(gòu)相當于公安部，每個人的身份證則相當于自己的一份獨有的證書，在很多場合或環(huán)境下，為了表明自己的身份，就需要出示自己的身份證，因為上面有我們的一些很基本信息，這些信息足以證明我就是本人，對方在查看身份證的時候，就類似瀏覽器在檢查某個證書是否合法，因為我們都知道身份證是由公安部這個權(quán)威部門，由這個部門頒發(fā)的身份證一定是真實有效的，所以就自然認定你就是本人。類似的，本機里預裝的100多個可信任的根證書頒發(fā)機構(gòu)就等同于我們的腦海里的公安部。當瀏覽器檢測到一個新證書時，它回去查看證書的頒發(fā)者是否在自己的信任機構(gòu)內(nèi)，如果是，則就會信任這份證書，否則就不信任，此時就會彈出這樣的提示，告訴你，瀏覽器檢測到的這份證書并不是受信任的根證書頒發(fā)機構(gòu)。 說了那么一大段，希望可以幫助你理解第一個提示出現(xiàn)的原因。可能有朋友要問怎么查看這些根機構(gòu)？ 其實很簡單，打開IE瀏覽器，選擇 【工具】/【internet屬性】/【內(nèi)容】/【證書】/【受信任的根證書頒發(fā)機構(gòu)】，如下圖： 這些便是預設的受信任的根證書頒發(fā)機構(gòu)。 知道原因，問題就好解決了。 為了方便實驗，我已經(jīng)將環(huán)境搭建完畢，如下圖： 如果我們把根證書加到本機的受信任的根證書頒發(fā)機構(gòu)內(nèi)，問題不就解決了么！ OK，這里我會告訴大家2種方法來將此證書添加至本地的受信任證書機構(gòu)內(nèi)。 方法一：證書鏈安裝法 這個應該是最簡單的方法了，下列是操作步驟： 首先進入[url]http://ip/certsrv[/url]? 也就是證書的網(wǎng)頁申請頁面，然后依照圖示操作： 點擊【Y】之后，根證書就導入到當前用戶的證書里了。但請注意，沒有說導入到本地計算機，而是當前用戶，為什么呢？我們知道，默認使用certmgr.msc打開的就是當前用戶的證書管理器，如果想打開本地計算機的證書管理器，需要用到mmc命令來添加，具體操作就不詳述了，這個會放到CA系列里再講。 我們到證書管理器里看有沒有這個證書，用certmgr.msc打開，然后找到下列位置： 從指紋碼上我們可以看到，這個就是剛才導入的根證書，我們導入根CA的證書鏈，里面就包含了根證書。 OK，根證書已導入完畢，我們來看看效果： 大家可以看到，安裝了根證書后，第一個嘆號就去掉了。 可能有網(wǎng)友會問，當前用戶和本地計算機有什么區(qū)別呢？一句話，將證書導入到當前用戶的根信任區(qū)域只能在此用戶下得到信任，而導入到本地計算機則是針對本機的，所以是個應用范圍大小的問題。 這個方法有一定的局限性，一般內(nèi)網(wǎng)用的比較多，當然你也可以把證書申請頁面發(fā)布出去，這樣外網(wǎng)也可以直接導入了。 方法二：根證書導入法 獲取根證書的方法有很多，這里只說一種，其余方法會在CA系列里詳述。 我們可以直接到CA頒發(fā)機構(gòu)里導出根證書。 在【運行】輸入certsrv.msc，打開CA 右鍵CA名稱，選擇屬性。 點擊【Finish】即可完成證書的導出。 證書導出后，剩下的就是導入的操作了。 點擊【運行】，輸入mmc，打開控制臺后 選擇【文件】/【添加/刪除管理單元】，然后依圖所示 之后一直確定即可完成添加。 然后，如下圖： 然后瀏覽到剛才保存的根證書文件，導入即可。 我們來看一下效果。 OK，這樣第一個提示嘆號的問題就解決了。 第二個提示： ?????????這個應該是最不容易出問題的了，如果當前時間在證書的有效期內(nèi)，就沒問題。這里只想和大家說一點，就是需要區(qū)分證書頒發(fā)機構(gòu)的有效期和證書有效期。咋一看很相似，其實還是有一定區(qū)別的。不知道大家是否記得，在安裝CA的時候，會提示讓我們設置一個時間，如下圖： 這個時間就是證書頒發(fā)機構(gòu)的有效期，默認為5年，請注意企業(yè)根CA和獨立根CA機構(gòu)的默認期限均為5年。但所申請的證書，前者默認為2年，后者則默認為1年。 第三個提示： 最后一個應該是老生常談的問題了，論壇里也有不少解決辦法，但都很零星，這里做個小結(jié)希望可以幫到大家。 我們來舉一個例子，這里我們來搭建一個SSL加密的網(wǎng)站環(huán)境。由于在SSL應用之二中已經(jīng)有較詳細的步驟說明，這里就只截取一些重要的圖進行講解，望見諒。 首先交代一下環(huán)境 計算機名稱：DC01 CA機構(gòu)名稱:CA01 本機的一個IP：10.0.0.25 這里我們用上一篇文章的第二種方法為這個站點申請證書，如下圖示： 請大家注意紅色框里的內(nèi)容，這里讓我們輸入的是這個證書的common name，也就是通用名。這個名稱非常重要，因為在生成的證書的Issued to 后面的就是這里的通用名，默認為該計算機的名稱。請大家記住這里的ca01，后面會用的到。 這里不做修改，直接繼續(xù)，后面的步驟省略。 申請完成后，證書就是這樣的： 頒發(fā)的對象就是我們在common name 里填寫的名稱，是一模一樣的。 OK，我們來試著訪問一下。 我們先用[url]https://10.0.0.25[/url]?來試一下，如下圖： 大家可以看到，此時出現(xiàn)的這個提示，就告訴我們安全證書上的名稱無效，或者與站點名稱不匹配。 為什么會出現(xiàn)這個提示呢？？？？ 其實圖中的提示已經(jīng)說的很清楚了。 告訴你。你的安全證書上的名稱無效、 或者是有效但是與站點名稱不匹配。 其實，上圖中所指的安全證書是的名稱就是Issed to 后面的名稱，即dc01 而站點名稱又是什么呢？ 正是我們在地址欄里輸入的名稱，即10.0.0.25 顯然，2個名稱都有效，只是不匹配而已，那，如果我們都把這個名稱寫成一樣的，是不是這個嘆號就消失了呢？ 來試試吧 由于我的網(wǎng)卡上設置了2個IP，如果把地址欄里的改成[url]https://dc01[/url]，這樣肯定無法訪問。所以我打算把證書的common name改成和地址欄里的一樣，即把證書頒發(fā)給10.0.0.25。OK，開始做吧： 其余步驟省略，證書申請完后，查看到的屬性如下圖： 我們再來訪問一下，還是以[url]https://10.0.0.25[/url]?作為訪問地址，來看一下訪問結(jié)果： OK，大家可以看到，此時不再提示名稱不匹配，第三個提示的問題搞定了。 當然，生產(chǎn)環(huán)境下，一般不使用IP作為通用名稱。 現(xiàn)在大家應該知道為什么你的站點?會有這個提示了吧，其實很簡單，不是么。
說明：因為我的測試環(huán)境是裝的英文系統(tǒng)，所以不少圖都是英文的。還有些中文圖，那是我在客戶端上抓的，請見諒！
與50位技術(shù)專家面對面20年技術(shù)見證，附贈技術(shù)全景圖

總結(jié)

以上是生活随笔為你收集整理的SSL应用系列的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。