数字证书一般是由权威机构颁发的,操作系统会携带权威机构的根证书和中级证书。如果操作系统没有携带权威机构签发的根证书,浏览器会报警,如www.12306.cn,需要安装铁道部根证书后,才能正常访问。
证书使用性质可以分为服务端证书和客户端证书。
web证书是服务端证书,用来证明服务器的身份和进行通信加密。可以防止服务截断及数据窃取,但不能防止欺诈钓鱼站点。如银行官网htttps://www.***b.com,用户访问钓鱼网站:https://www.***bank.com,如果用户无法识别两个网站的真伪,会泄露个人重要信息。
服务端证书不能识别客户端有效性,如需要验证客户端有效性,需要配合客户端证书或客户其他凭证(用户名、密码)。
服务端证书不能保证客户端处数据的安全,在浏览器中毒、电脑中毒、伪造浏览器、浏览器不法收集信息的情况下,数据都有泄露的风险。假如浏览器想收集信息,https是不能防止的。
下面来说说IIS站点部署https的过程:
1、申请证书
1.1、打开IIS,选中左侧根节点,在右侧”功能视图“中,打开“服务器证书”,在最右侧的“操作”窗口,点击“创建证书申请...”,如:
1.2 填写申请资料,如图所示
下一步
下一步命名一个名称mycertreq.txt。导出申请文件,该申请文件将用于权威颁发机构证书申请。
2、权威颁发机构会颁发一个服务器证书,如server.cer。部分机构还会携带中级证书。
2.1、如果携带中级证书,需要先安装中级证书
运行--》“cmd”命令--》“mmc”命令,打开控制台。如果在左侧没有携带“证书”功能菜单,需要在“文件”--》“添加或删除管理单元”--》在可用管理单元中找到“证书”单元,添加到所选单元中。
选中打开”证书“,在左侧子菜单中,找到”中级证书颁发机构“,在其下选中”证书“子菜单,右键--》”所有任务“--》”导入“,导入中级证书。
2.2、在IIS中,选中左侧根节点,在右侧”功能视图“中,打开“服务器证书”,在最右侧的“操作”窗口,点击”完成证书申请...”,选中权威机构颁发的证书。如图:
完成证书导入。
2.3、选中刚导入的证书,导出证书备份*.pfx.此文件可用作证书备份,及在其他机器中直接导入使用(在IIS中,选中左侧根节点,在右侧”功能视图“中,打开“服务器证书”,在最右侧的“操作”窗口,点击”导入”,如果携带中级证书,其他机器先部署中级证书)。
3、为网站设置https绑定。选择要使用https的网站,添加绑定,选择类型https,主机名后,在SSL证书上选择刚导入的证书即可。
天威诚信各种服务器证书申请指南:
http://www.itrus.cn/html/fuwuyuzhichi/fuwuqizhengshuanzhuangpeizhizhinan/
IIS上服务器证书申请安装流程总结:
1、在A电脑上IIS服务器证书中->创建证书申请,导出txt文件
2、提交txt文件到证书颁发机构
3、证书颁发机构颁发证书后,在A电脑的IIS服务器证书中->完成证书申请,选择颁发的“*.cer” 文件
4、在A电脑的IIS中的服务器证书,选中刚导入的证书,选择导出证书“*.pfx”.(此文件包含密钥)
5、在服务器上的IIS的服务器证书中,导入”*.pfx" (为安全选择不允许导出),服务器具备和A电脑同样证书(可用于多台部署)
6、选择站点,配置ssl证书
注意:
A电脑的安全级别,不要使用公用或个人电脑,最好是使用此证书的web服务器.
如A电脑非使用证书的电脑,在导出“*.pfx",在确认”*.pfx“可用的情况下,要记得及时删除A电脑上的证书