步骤详解：使用SSL加密协议建立WWW站点的全过程

使用SSL协议有什么好处？在网络传输层工作的SSL安全协议适用于HTTP，telnet,FTP、NNTP等服务，但SSL最广泛的应用是WEB安全访问，如网上交易、政府办公等。本文将向读者介绍使用SSL加密协议建立WWW网站的全过程。为了保证技术的先进性，我们介绍了在Windows2003IIS6上建立SSL加密的方法。当然，在Windows2000IIS5上建立SSL加密步骤基本相同。一、先决条件：要想成功架设SSL安全站，必须具备以下条件。准备工作：在实施SSL安全站之前，我们需要做一些准备工作。第一步:默认情况下，IIS6组件安装在windows2003中。如果没有这个组件，请自己安装。第二步：默认情况下，我们建立的IIS网站使用HTTP协议，打开浏览器在地址处输入“http://本机IP(不含引号)即可访问。(如图1所示)图1第三步:通过控制面板中的添加/删除程序，安装证书服务，选择添加/删除windows组件。在windows组件导向中找到“证书服务”，前勾后点“下一步”。(如图2)图2提示:证书服务有两个子选项:“证书服务Web注册支持”和“证书服务发行机构”(CA)”。这两个功能都需要安装才能方便。第四步:系统会弹出“安装证书服务后计算机名称和区域成员身份会发生变化，是否继续”的提示，我们可以选择“是”。(如图3所示)图3第五步:在windows组件向导CA类型设置窗口中选择独立根CA。(如图4所示)图4第六步:CA识别信息处的CA公共名称输入本地计算机IP地址，如10.91.30.45，其他设置可保留默认信息。(如图5所示)图5第七步:输入证书数据库等信息的保存路径，仍然可以选择System32下的certlog默认位置系统目录。(如图6所示)图6第八步:下一步出现“IIS服务必须暂时停止才能完成安装”的提示。在继续之后选择“是”。(如图7所示)图7第九步:开始将组件文件复制到本地硬盘。(如图8所示)图8第十步:安装过程中缺少文件提示，需要将windows2003系统光盘插入光驱才能继续。(如图9所示)图9第11步:继续复制文件，完成windows组件的安装。(如图10所示)图103.配置证书:以下是如何通过IIS证书指导和配置我们需要的证书文件。第一步:通过“管理工具”中的IIS管理器启动IIS编辑器。第二步:在默认网站上点击鼠标右键选择“属性”。(如图11)图11第三步:在默认网站属性窗口中点击“目录安全”标签，然后在安全通信处点击“服务器证书”按钮。(如图12所示)图12第四步:系统将自动打开WEB服务器证书导向。(如图13所示)图13第五步:服务器证书处选择“新证书”，下一步继续。(如图14所示)图14第六步:延迟或立即选择“现在准备证书请求，但稍后发送”。(如图15所示)图15第七步:设置证书名称和特定位长，保持默认网站名称。我们可以通过下拉菜单选择512。(如图16所示)图16:位长主要用于安全加密，位长越来越安全，但传输效率会受到一定程度的影响，网站性能也会受到影响。一般来说，选择512就够了。第八步：输入单位信息，包括单位和部门。(如图17所示)图17第九步:将localhost输入站点公共名称窗口。(如图18所示)图18第十步:随便填写地理信息。(如图19所示)图19第1步:设置证书请求的文件名称，我们可以将其保存在桌面上，以便于以下步骤调用。保存的文件名称为certreq.txt。(如图20所示)图20第12步:完成IIS证书导向配置，并按要求将相应的证书文件保存在桌面上。(如图21所示)图214.申请证书:配置IIS所需的证书文件后，应根据证书内容进行申请。第一步:打开IE浏览器，在地址栏中输入http:/10.91.30.45//certsrv/打开证书服务界面。(服务器IP地址为10.91.30.45)图22第二步:点击“申请证书”后继续。第三步:在申请证书界面选择“高级证书申请”。(如图23所示)图23第四步:在高级证书申请界面选择“使用base64编码的CMC或PKCS#10文件提交证书申请，或继订证书申请”。(如图24所示)图24第五步:用记事本打开保存在桌面上的certreq.txt文件，复制所有内容。(如图25所示)图25第六步:将复制的所有内容粘贴到“提交证书申请或续订申请”界面，然后点击“提交”按钮。(如图26所示)图26第七步:成功申请后出现挂证提示，说明已收到证书申请，等待管理员通过申请认证。(如图27所示)到目前为止，我们已经完成了证书的申请，以下是刚刚申请的证书认证。5、验证证书：申请证书后，服务器管理员需要手动颁发证书才能生效。第一步:我们选择任务栏“开始”->程序->管理工具->证书颁发机构”。(如图28所示)图28第二步:在左边选项中找到“挂起申请”。（如图29所示）图29第三步：查看右边的列表。刚刚提交的证书申请令人印象深刻。单击鼠标右键，弹出菜单中的“所有任务”，然后选择子项“发布”。此时，“待定申请”将转移到“颁发证书”下。第四步:在“颁发证书”下找到刚才的证书，双击打开。并在“证书属性窗口”的详细信息标签中选择“复制到文件”。(如图30所示)图30第五步:在“证书导出向导”中，任意选择CER格式导出，如“DER编码二进制”，并保存成文件。通过以上五个步骤，我们的IIS证书通过了系统管理员的审核。以下是通过审核证书建立SSL加密网站。六、配置IIS的SSL安全加密功能，我们再次来到IIS设置窗口，启用SSL安全加密功能。第一步:在默认网站属性窗口中点击“目录安全”标签，然后在安全通信处点击“服务器证书”按钮。第二步：在挂证请求窗口中选择“处理挂证请求并安装证书”选项。(如图31所示)图31第三步:在验证证书第五步中，通过浏览按钮找到导出刚刚保存的DER编码格式的文件。(如图32所示)图32第四步:此时，我们可以设置SSL参数，在“要求安全通道SSL”之前对安全通信属性进行对钩，从而启用IIS网站的SSL加密功能。(如图33)图33第五步:再次来到默认网站属性中的网站标签，可以看到SSL端口配备了端口信息-443。(如图34所示)到目前为止，我们已经完成了SSL加密站点的配置。客户访问服务器IIS网站时浏览的信息是加密的，非常安全。7、浏览SSL加密站点：在服务器上设置SSL加密站点功能后，当我们通过浏览器访问客户机上的站点时，会弹出一个“安全报警”窗口。(如图35所示)只有在信任证书后才能正常浏览网站信息。(如图36所示)图36:访问SSL加密站点时输入的地址应为https:例如，https应该在本文中使用:/10.91.30.45。如果仍然使用httpp，则仍然使用httpp://10.91.30.45会出现“这个网页必须通过安全频道查看，你想查看的网页需要在地址中使用"https"。禁止访问：要求SSL提示。总结:本文介绍的步骤是基于windows2003 在iis6的基础上，windows2000Server或windows2000Advanceserver也可以在iis5的基础上建立SSL加密功能，设置步骤基本相似。如果你使用Windows2000Professional版本，你不需要阅读这篇文章，因为这个版本不支持IISSSL访问。