|
2015-10-27
重點部分標紅
如果網站需要提供https加密訪問方式�,那么必須擁有一個有效的ssl證書來向客戶端證明自己的身份。而ssl證書通常由第三方機構簽發(fā)�����,有Domain Validation (DV), Organisation Validation (OV) 和 Extended Validation (EV)三種級別�����,分別對應由低到高的三種認證級別����,DV比較寬松,EV最嚴格�。認證方式不同,價格也不同��。比如DV級別的證書���,StartSSL可免費申請一年�����,GeoTrust是149$每年�,Godaddy是69.99$每年,我國的萬網價格是4200¥每年��。個人使用當然是StartSSL提供的證書性價比最高�����,雖然免費�,但依然在Chrome�,Firefox,IE等主流瀏覽器的內置受信任根證書頒發(fā)機構里面����,如果是商業(yè)或機構使用,可選擇頂級的證書頒發(fā)機構(當然不包括萬網之流)���,彰顯身份�����。下面就說明如何在上申請免費證書���,并部署到IIS上進行使用的步驟。
1. 首先需要在上進行注冊���。該網站采用的是客戶端證書認證方式�����,所以注冊的過程就是填寫自己的資料�,郵件接收驗證碼,之后獲得并在瀏覽器中安裝StartSSL生成的一個客戶端證書��。這樣以后以自己身份登錄時���,就需要從安裝了上述步驟證書的瀏覽器里直接訪問��,而不需要輸入用戶名密碼了�����。這個身份驗證證書丟失后��,只能重新注冊����,所以建議將該證書備份��,具體步驟見How do I backup my client certificates��。備份好后,可將該證書安裝到其他計算機或瀏覽器���,便于登陸�����。
2. 注冊之后,若要給某個域名申請證書��,需要對域名進行驗證�����,證明你是這個域名的擁有者才行��。StartSSL采用的是域名擁有者郵箱驗證���,所以在Validations Wizard里選擇Domain Name Validation�����,按照向導完成驗證即可�����。
3. 接下來就是給通過驗證的域名申請ssl證書�����。在Certificates Wizard中選擇Web Server SSL/TLS Certificate���,然后會進入創(chuàng)建私鑰(Generate Private Key)步驟�����。
由于SSL/TLS采用的是非對稱加密�,所以必須私鑰和公鑰配合才能建立正確的安全連接���。私鑰由服務器端持有���,保密,私有���;公鑰包含在客戶端訪問https網站時看到的證書內��,公開�����,當客戶端訪問時即獲得之��。公鑰和私鑰正確配對后方可建立安全連接�����。填入對私鑰文件保護的10位以上密碼����,繼續(xù),
即可得到一段加密文本��,將該文本保存為.key的文件���,比如privatekey.key,作為私鑰保存好��。這里你也可以預先利用openssl工具或IIS向導來生成包含自己額外信息���,并且包含私鑰的證書申請(.csr文件)��,這樣就可以跳過Generate Private Key這步了��。之后選擇要為哪個域名創(chuàng)建證書�����,并且輸入一個子域名����,最終申請的證書會作用在這個子域名上。
StartSSL的免費證書只能給一個子域名用����,若想為多個子域名申請證書或申請通配符形式的證書,則需要掏錢購買他們提供的class2級證書了���。繼續(xù)下一步�,確認之后���,可以得到一段文本����,該文本便是StartSSL頒發(fā)給你網站的經過簽名的證書���,將其另存為.crt文件����,比如ssl.crt(此證書即是網站客戶端訪問https連接時能夠得到的文件,實質是包含了公鑰�����,服務器名稱��,CA認證簽名及其他信息的文件)���。此外在該界面上最好根據提示�����,保存下來一個中間(intermediate)證書文件sub.class1.server.ca.pem��,有的地方可能會用到。
到此�,我們得到了一個privatekey.key的私鑰文件,一個ssl.crt的證書文件(包含公鑰)���,一個sub.class1.server.ca.pem中間證書文件�����。在給自己的網站配置ssl.crt公有證書文件之前����,我們還需生成兩個在其他地方可能會用到的文件。第一個是經過解密的私鑰文件(decrypted private key)����,比如在Nginx部署證書時需要用到。此步驟可通過openssl工具或網站提供的Toolbox–>Decrypt Private Key工具完成��,將結果保存為decryptedprivatekey.key����。第二個是PKCS#12存檔文件(*.pfx或*.p12),實質是包含了.crt證書文件所有內容����,私鑰以及加密信息的文件,而在IIS中部署時就需要用到此文件��?����?衫镁W站提供的Toolbox–>Create PKCS#12 (PFX) File工具���,傳入私鑰文件privatekey.key及證書文件ssl.crt后�����,生成之�����,保存為pfxarchive.p12�。
4. 在域名所對應的計算機上部署該證書,此處以IIS為例���。操作過程很簡單�����,在IIS根節(jié)點的服務器證書功能中�,右鍵�����,導入����,根據向導輸入剛才得到的pfxarchive.p12文件即可,
 最后�����,在IIS網站綁定中���,指定443端口使用我們導入的證書即可�����。
 這樣���,在以https訪問此網站時,就能夠看到我們申請的證書了�。
|
