服务器证书

服务器证书是SSL证书的别称，是一种数字证书，由数字证书颁发机构（CA）进行颁发，所以要去正规的CA进行申请。推荐几家常用的CA机构给大家。

一、Comodo

Comodo是世界上知名的SSL证书颁发机构，著名的网络安全软件厂商，致力于为个人和企业用户提供电子邮件安全、托管DNS、PKI管理、SSL证书、安全通讯以及许多其他服务，Comodo是确保互联网具有可靠和安全性的大型证书颁发机构之一。 Comodo SSL证书保护服务器和客户端浏览器之间通信连接,保证传输和接收的数据的完整性，真实性以及安全性，使Comodo成为一个非常值得信赖的品牌。

二、Symantec

Symantec成立于1982年，全球安全领域的领导者，Symantec SSL证书(前身为VeriSign)是全球公认最可靠证书颁发机构。90%的世界500强在使用Symantec SSL证书，工农中建等银行以及大多数金融机构都在使用Symantec SSL证书。服务于全球超过35个国家，拥有众多的企业、政府和个人用户。全球100家最大的金融机构中有90多家，北美500家最大的电子商务网站中75%的网站使用的都是赛门铁克的SSL证书。

三、GeoTrust

GeoTrust是世界第二大的数字安全提供者，是非常受欢迎，低廉的价格非常适合中小型企业，签发速度快并且提供高达256位SSL加密。现已超过150个国家的用户选择GeoTrust产品来保护他们的在线交易和各类在线业务，Geotrust的SSL证书和信任产品使各种规模的企业能够经济、高效、最大限度的提高其数字交易的安全性。

四、RapidSSL

Rapid是美国GeoTrust公司的一个面向低端用户而提供的简易版、快速签发、入门级SSL证书的品牌，主要应用于中小规模、入门级的电子商务网站。RapidSSL是GeoTrust公司的下属品牌，面向个人和小微企业提供廉价的SSL/TLS证书产品，不限制服务器安装数量。

您好！

SSL证书需要登陆Gworg CA机构申请，具体分为一下步骤：

一、登录Gworg页面

若是已有账号，输入账户和密码后点击登录按钮。

若是没有账户，参阅如何注册Gworg。

二、选择产品，选择购买的证书品牌，然后点击点击申请按钮确认需要的产品和证书类型

三、点击立即生成证书，填写请求CSR。

四、选择认证方式，进行认证，几分钟后下载证书即可。

注：由于具体申请流程复杂，请根据Gworg教材申请：网页链接

快速申请SSL数字证书，也可以登陆淘宝Gworg，直接注册数字证书。

分类: 电脑/网络 >> 操作系统/系统故障

问题描述:

想在win2k3上为IIS服务器配置SSL服务，求教配置的过程 有追加奖励！！

解析:

随着Windows Server 2003操作系统的推出，Windows平台的安全性和易用性大大增强，然而，在默认情况下，IIS使用HTTP协议以明文形式传输数据，没有采取任何加密措施，用户的重要数据很容易被窃取，如何才能保护局域网中的这些重要数据呢下面笔者就介绍一下如何使用SSL增强IIS服务器的通信安全。

一、什么是SSL

SSL（Security Socket Layer）全称是加密套接字协议层，它位于HTTP协议层和TCP协议层之间，用于建立用户与服务器之间的加密通信，确保所传递信息的安全性，同时SSL安全机制是依靠数字证书来实现的。

SSL基于公用密钥和私人密钥，用户使用公用密钥来加密数据，但解密数据必须使用相应的私人密钥。使用SSL安全机制的通信过程如下：用户与IIS服务器建立连接后，服务器会把数字证书与公用密钥发送给用户，用户端生成会话密钥，并用公共密钥对会话密钥进行加密，然后传递给服务器，服务器端用私人密钥进行解密，这样，用户端和服务器端就建立了一条安全通道，只有SSL允许的用户才能与IIS服务器进行通信。

提示：SSL网站不同于一般的Web站点，它使用的是“HTTPS”协议，而不是普通的“HTTP”协议。因此它的URL（统一资源定位器）格式为“网站域名”。

二、安装证书服务

要想使用SSL安全机制功能，首先必须为Windows Server 2003系统安装证书服务。

进入“控制面板”，运行“添加或删除程序”，接着进入“Windows组件向导”对话框，勾选“证书服务”选项，点击“下一步”按钮，接着选择CA类型。这里选择“独立根CA”，点击“下一步”按钮，为自己的CA服务器取个名字，设置证书的有效期限，最后指定证书数据库和证书数据库日志的位置，就可完成证书服务的安装。

三、配置SSL网站

1创建请求证书文件

完成了证书服务的安装后，就可以为要使用SSL安全机制的网站创建请求证书文件。点击“控制面板→管理工具”，运行“Inter 信息服务-IIS 管理器”，在管理器窗口中展开“网站”目录，右键点击要使用SSL的网站，选择“属性”选项，在网站属性对话框中切换到“目录安全性”标签页（图1），然后点击“服务器证书”按钮。在“IIS证书向导”对话框中选择“新建证书”，点击“下一步”按钮，选择“现在准备证书请求，但稍后发送”。在“名称”输入框中为该证书取名，然后在“位长”下拉列表中选择密钥的位长。接着设置证书的单位、部门、站点公用名称和地理信息，最后指定请求证书文件的保存位置。这样就完成了请求证书文件的创建。

2申请服务器证书

完成上述设置后，还要把创建的请求证书文件提交给证书服务器。在服务器端的IE浏览器地址栏中输入“/CertSrv/default”。在“Microsoft 证书服务”欢迎窗口中点击“申请一个证书”链接，接下来在证书申请类型中点击“高级证书申请”链接，然后在高级证书申请窗口中点击“使用BASE64编码的CMC或PKCS#10”链接，再打开刚刚生成的“certreqtxt”文件，将其中的内容复制到“保存的申请”输入框后点击“提交”按钮即可。

3颁发服务器证书

点击“控制面板→管理工具”，运行“证书颁发机构”。在主窗口中展开树状目录，点击“挂起的申请”项（图2），找到刚才申请的证书，然后右键点击该项，选择“所有任务→颁发”。颁发成功后，点击树状目录中的“颁发的证书”项，双击刚才颁发的证书，在弹出的“证书”对话框的“详细信息”标签页中，点击“复制到文件”按钮，弹出证书导出向导，连续点击“下一步”按钮，并在“要导出的文件”对话框中指定文件名，最后点击“完成”。

4安装服务器证书

重新进入IIS管理器的“目录安全性”标签页，点击“服务器证书”按钮，弹出“挂起的证书请求”对话框，选择“处理挂起的请求并安装证书”选项，点击“下一步”按钮，指定刚才导出的服务器证书文件的位置，接着设置SSL端口，使用默认的“443”即可，最后点击“完成”按钮。

可以参照WIN2K来设置:

下面，我就介绍一下如何在Windows2000server/NET中开启CA服务。

1、首先请确认您的服务器已经安装配置了Active Directory服务，这样您就可以给域中的用户颁发数字证书。当然AD服务不是安装CA服务的必要条件，如果仅仅左测试使用，您可以不安装AD服务；

2、确保在您的Windows2000server/NET中开启IIS服务，并且支持ASP，这样您的CA服务可以通过WEB在INTERNET/INTRANET发布；

3、开始-->设置-->控制面板-->添加/删除程序-->添加/删除Windows组件-->选中证书服务；

4、然后选择合适的CA类型，这里我们选择独立的根CA；

5、如果你要改变微软的默认密钥设置，你可以选中高级选项；一般，我们直接进入下一步；

6、在这里输入您这个CA的详细信息；

7、然后指定存储配置数据、数据库和日志的位置；

8、完成安装向导，系统开始安装CA服务；

然后，您可以通过如下方式访问认证服务器：

安装认证服务器IP地址/certsrv

在这里，您可以申请一张证书，查看证书请求状态还有下载根证书。

当您完成证书申请之后，您可以通过打开IE-->工具-->INTERNET选项-->内容-->证书-->个人查看您个人证书。

当然你也可以通过把证书服务加入到MMC来进行证书服务管理，方法如下：

开始-->运行-->mmc-->文件-->添加/删除插件-->添加-->证书

）。单击"下一步"。

8在名字和安全设置对话框中，接受缺省选项。单击"下一步"。

9在下一个页面上， 输入您的信息，单击"下一步"。

10在"通用名"文本框中输入您的服务器名字。它可以是DNS名、NetBIOS名称或LOCALHOST。输入您的选择，单击"下一步"。

11在下一个页面上，输入您的信息，单击"下一步"。

12如果在域里面已经有了企业CA，并且您可以从那里申请到Web服务器证书，那么您将可以看到它列在那里。

（如果没有CA，如果CA没有配置成可以发布Web服务器证书，或如果您没有权限申请一个Web服务器证书，列表将会是空的。您必须有一个CA来完成这个部分。）选择您要使用的CA，单击"下一步"。

13就会出现证书请求提交页面。单击"下一步"。

14单击"完成"。现在服务器就有了一个WEB服务器证书。

15您将注意到在"安全通信"下面的"编辑"可以使用了，单击"编辑"。

16进入安全通信对话框，在需要安全通道（SSL）前打上勾。

17如果你希望以后客户端浏览器和WEB通信的时候需要128位对称加密，那么你就在需要128位加密前打上勾。

18在客户端证书中有三种选择：忽略客户证书、接收客户证书和申请客户证书。选择第一第二种仅仅是开启SSL单向认证，选择第三种着开启SSL双向认证。

19选择"接受客户端证书"，"接受客户端证书"设置需要在客户端证书和浏览器之间进行协商。您也必须选中"申请安全通道（SSL）"选项框。如果失败了，它不允许退回到另一个验证方法。需要安全通道意味着Web站点将不能通过HTTP协议进行访问，只可以通过HTTPS协议进行访问。单击"确定"。单击"应用"并且单击"确定"。

20单击确定，好了，您的SSL通道开启了。

以后你就可以通过访问WEB服务了。

答案：不需要重新申请SSL证书

解释原因：

SSL证书属于注册业务，有效期内可以安装到任何服务器

服务器硬件或者软件IP变更，不需要重新申请SSL证书

解决办法：SSL证书文件丢失，联系原签发机构索取或者淘宝中找到Gworg申请SSL证书。

ssl/tls 认证的工作流程简单概括如下，楼主看参考下：

web服务器申请证书，吧csr文件提交给ca，ca签发证书给web服务器（证书包括中级证书和服务器证书/ 证书里包含公钥信息，web服务器的身份信息）

1 客户机申请链接，包含自己可以实现的算法列表，和其他信息，

2 服务器回应链接，回应中确定了这次通信所需要的算法，并发送自己的证书过去，证书中包含了自己的身份和公钥，

3 客户端在收到消息后会生成一个秘密消息clientkeyexchange--（此秘密消息进行处理后，将用做加密密钥（会话密钥）），并用web服务器的公钥加密，传过去

4 服务器在用私钥解密秘密消息clientkeyexchenge，并进行处理，生成加密密钥（会话密钥），会话密钥协商成功，

5 客户端和服务器端都知道了会话密钥，并用此会话密钥进行数据加密。

简单来说，就是用服务器证书的公司密钥对协商出一个对称密钥，然后用对称密钥进行加密。

ssl证书一般是用于对于网站安全要求性比较高的站点上的，国际上比较知名的ssl证书有verisign，geotrust，thawte，等证书品牌，据了解，这几种证书品牌的大陆官方代理商是北京天威诚信，楼主有需求的话，可以了解下。

　　方法如下：

　web service在企业应用中常常被用作不同系统之间的接口方式。但是如果没有任何安全机制的话，显然是难以委以重任的。比较直接的web service加密方式就是使用HTTPS方式(SSL证书加密)加密连接，并且只允许持有信任证书的客户端连接，即SSL双向认证。这样就保证了连接来源的可信度以及数据在传输过程中没有被窃取或篡改。通过HTTPS加密方式访问web service具体方法如下：

　　准备工作

　　(1)检查JDK的环境变量是否正确。本文使用JDK 16

　　(2)准备web服务器，这里选用TOMCAT 60

　　(3)准备web service服务端和客户端。

　　生成证书

　　这里用到的文件，这里存放在D:/SSL/文件夹内，其中D:/SSL/server/内的文件是要交给服务器用的，D:/SSL/client/内的文件是要交给客户端用的。

　　1生成服务端证书

　　开始-运行-CMD-在dos窗口执行下执行命令：

　　keytool -genkey -v -aliastomcat -keyalg RSA -keystore D:/SSL/server/tomcatkeystore -dname"CN=127001,OU=zlj,O=zlj,L=Peking,ST=Peking,C=CN" -validity 3650-storepass zljzlj -keypass zljzlj

　　说明：

　　keytool 是JDK提供的证书生成工具，所有参数的用法参见keytool –help

　　-genkey 创建新证书

　　-v 详细信息

　　-alias tomcat 以”tomcat”作为该证书的别名。这里可以根据需要修改

　　-keyalg RSA 指定算法

　　-keystoreD:/SSL/server/tomcatkeystore 保存路径及文件名

　　-dname"CN=127001,OU=zlj,O=zlj,L=Peking,ST=Peking,C=CN" 证书发行者身份，这里的CN要与发布后的访问域名一致。但由于这里是自签证书，如果在浏览器访问，仍然会有警告提示。真正场景中建议申请CA机构(wosign)签发的SSL证书更安全。

　　-validity 3650证书有效期，单位为天

　　-storepass zljzlj 证书的存取密码

　　-keypass zljzlj 证书的私钥

　　2 生成客户端证书

　　执行命令：

　　keytool ‐genkey ‐v ‐aliasclient ‐keyalg RSA ‐storetype PKCS12 ‐keystore D:/SSL/client/clientp12 ‐dname"CN=client,OU=zlj,O=zlj,L=bj,ST=bj,C=CN" ‐validity 3650 ‐storepassclient ‐keypass client

　　说明：

　　参数说明同上。这里的-dname 证书发行者身份可以和前面不同，到目前为止，这2个证书可以没有任何关系。下面要做的工作才是建立2者之间的信任关系。

　　3 导出客户端证书

　　执行命令：

　　keytool ‐export ‐aliasclient ‐keystore D:/SSL/client/clientp12 ‐storetype PKCS12 ‐storepass client‐rfc ‐file D:/SSL/client/clientcer

　　说明：

　　-export 执行导出

　　-file 导出文件的文件路径

　　4 把客户端证书加入服务端证书信任列表

　　执行命令：

　　keytool ‐import ‐aliasclient ‐v ‐file D:/SSL/client/clientcer ‐keystoreD:/SSL/server/tomcatkeystore ‐storepass zljzl

　　说明：

　　参数说明同前。这里提供的密码是服务端证书的存取密码。

　　5 导出服务端证书

　　执行命令：

　　keytool -export -aliastomcat -keystore D:/SSL/server/tomcatkeystore -storepass zljzlj -rfc -fileD:/SSL/server/tomcatcer

　　说明：

　　把服务端证书导出。这里提供的密码也是服务端证书的密码。

　　6 生成客户端信任列表

　　执行命令：

　　keytool -import -fileD:/SSL/server/tomcatcer -storepass zljzlj -keystoreD:/SSL/client/clienttruststore -alias tomcat –noprompt

　　说明：

　　让客户端信任服务端证书

　　 配置服务端为只允许HTTPS连接

　　1 配置Tomcat 目录下的/conf/serverxml

　　Xml代码：

　　<Connectorport="8443" protocol="HTTP/11" SSLEnabled="true"

maxThreads="150" scheme="https" secure="true"clientAuth="true"

sslProtocol="TLS"keystoreFile="D:/SSL/server/tomcatkeystore"

keystorePass="zljzlj"truststoreFile="D:/SSL/server/tomcatkeystore"

truststorePass="zljzlj" />

　　说明：

　　在serverxml里面这段内容本来是被注释掉的，如果想使用https的默认端口443，请修改这里的port参数。其中的clientAuth="true" 指定了双向证书认证。

　　2 配置服务端项目webxml

　　在<welcome-file-list>之后增加Xml代码：

　　 <!-- 强制SSL配置，即普通的请求也会重定向为SSL请求 -->

　　 <security-constraint>

　　 <web-resource-collection>

　　<web-resource-name>SSL</web-resource-name>

　　<url-pattern>/service/</url-pattern><!--全站使用SSL <url-pattern>/</url-pattern>-->

　　</web-resource-collection>

　　<user-data-constraint>

　　<description>SSL required</description>

　　<!-- CONFIDENTIAL: 要保证服务器和客户端之间传输的数据不能够被修改，且不能被第三方查看到 -->

　　<!-- INTEGRAL: 要保证服务器和client之间传输的数据不能够被修改 -->

　　<!-- NONE: 指示容器必须能够在任一的连接上提供数据。（即用HTTP或HTTPS，由客户端来决定）-->

　　<transport-guarantee>CONFIDENTIAL</transport-guarantee>

　　 </user-data-constraint>

　　 </security-constraint>

　　说明：

　　这里限制了WEB service服务地址的访问必须为https连接。<url-pattern>要根据你的web service服务地址配置。

　　修改客户端代码

　　在执行访问之前，增加Java代码：

　　SystemsetProperty("javaxnetssltrustStore","D:/SSL/client/clienttruststore");

　　SystemsetProperty("javaxnetssltrustStorePassword","zljzlj");

　　SystemsetProperty("javaxnetsslkeyStoreType","PKCS12");

　　SystemsetProperty("javaxnetsslkeyStore","D:/SSL/client/clientp12");

　　SystemsetProperty("javaxnetsslkeyStorePassword","client");

　　StringendPoint="https://127001:8443/easbCut/services/ApplyFormService";

　　通过设置参数来指定客户端连接时所使用的客户端证书，这里还可以采用修改JVM启动参数的的方式来执行，但出于不影响其他功能的考虑，这里采用SystemsetProperty的方式来设置这些参数，在使用结束后，可以还原这些参数配置。做为客户端的开发者，可以把拿到的证书文件后，只执行步骤3。

　　本回答由网友推荐

采用SSL实现加密传输（1） 在默认情况下，IIS使用HTTP协议以明文形式传输数据，Web Service就是使用HTTP协议进行数据传输的。Web Service传输的数据是XML格式的明文。没有采取任何加密措施，用户的重要数据很容易被窃取，如何才能保护网络中传递的这些重要数据呢 SSL（Security Socket Layer）的中文全称是加密套接字协议层，它位于HTTP协议层和TCP协议层之间，用于建立用户与服务器之间的加密通信，确保所传递信息的安全性，同时SSL安全机制是依靠数字证书来实现的。 SSL基于公用密钥和私人密钥，用户使用公用密钥来加密数据，但解密数据必须使用相应的私人密钥。使用SSL安全机制的通信过程如下：用户与IIS服务器建立连接后，服务器会把数字证书与公用密钥发送给用户，用户端生成会话密钥，并用公共密钥对会话密钥进行加密，然后传递给服务器，服务器端用私人密钥进行解密，这样，用户端和服务器端就建立了一条安全通道，只有SSL允许的用户才能与IIS服务器进行通信。 注意SSL网站不同于一般的Web站点，它使用的是"HTTPS"协议，而不是普通的"HTTP"协议。因此它的URL（统一资源定位器）格式为"https://网站域名"。 下面讲解如何使用SSL来增强IIS服务器和Web Service的通信安全。 实现步骤如下。 1．为服务器安装证书服务 要想使用SSL安全机制功能，首先必须为Windows Server 2003系统安装证书服务。进入"控制面板"，运行"添加或删除程序"，接着进入"Windows组件向导"对话框，如图7-13所示。 图7-13 Windows组件向导 勾选"证书服务"选项，单击"下一步"按钮。 接着选择CA类型。这里选择"独立根CA"选项，如图7-14所示。单击"下一步"按钮，为自己的CA服务器起名，并设置证书的有效期限，如图7-15所示。 图7-14 选择CA类型 图7-15 设置CA信息 最后指定证书数据库和证书数据库日志的位置，如图7-16所示，单击"下一步"按钮。 图7-16 指定证书数据库 因为需要复制系统文件，所以需要插入Windows的安装光盘，如图7-17所示。安装证书服务需要停止当前的IIS运行，所以要单击"是"按钮。 图7-17 复制系统文件 最后，显示完成了证书服务的安装，单击"完成"按钮，如图7-18所示。 图7-18 安装完成 792 采用SSL实现加密传输（2） 2．配置SSL网站 1）创建请求证书文件 要想让Web Service使用SSL安全机制，首先需将Web Service配置为网站。然后为该网站创建请求证书文件。 依次单击"控制面板"→"管理工具"按钮，运行"Internet 信息服务(IIS)管理器"，在管理器窗口中展开"网站"目录，用鼠标右键单击要使用SSL的Web Service网站，在弹出的快捷菜单中选择"属性"命令，在网站属性对话框中切换到"目录安全性"选项卡，如图7-19所示， 图7-19 网站属性 然后单击"服务器证书"按钮，弹出"IIS证书向导"对话框。 在"IIS证书向导"对话框中选择"新建证书"选项，单击"下一步"按钮，如图7-20所示。 图7-20 服务器证书 选择"现在准备证书请求，但稍后发送"选项。单击"下一步"按钮，如图7-21所示。 图7-21 证书向导 在"名称"输入框中为该证书取名，然后在"位长"下拉列表中选择密钥的位长（默认为1024，长度越长保密性越好，但性能会越差）。单击"下一步"按钮，如图7-22所示。 图7-22 设置证书名称 设置单位信息，如图7-23所示，然后单击"下一步"按钮。设置公共名称，如图7-24所示。 图7-23 设置单位信息 图7-24 设置公共名称 注意 公共名称必须输入为访问站点的域名，例如要想用地址 https://wwwmaticsoftcom 访问Web Service，则此处必须填写为" wwwmaticsoftcom "，否则将提示使用了不安全的证书，导致站点无法访问。并且切记， wwwmaticsoftcom 和 wwwmaticsoftcom:8001 带端口的访问也是不同的，如果设置的是 wwwmaticsoftcom ，则网站设置为 wwwmaticsoftcom:8001 来访问也是无法使用的。 然后，单击"下一步"按钮，设置国家地区，如图7-25所示。 图7-25 设置国家地区 设置证书的单位、部门、站点公用名称和地理信息，一路单击"下一步"按钮。 最后指定请求证书文件的保存位置。这样就完成了请求证书文件的创建。 792 采用SSL实现加密传输（3） 2）申请服务器证书 完成上述设置后，还要把创建的请求证书文件提交给证书服务器。 在服务器端的IE浏览器地址栏中输入"http://localhost/CertSrv/defaultasp"。 在"Microsoft 证书服务"欢迎窗口中单击"申请一个证书"链接，如图7-26所示。 接下来在证书申请类型中单击"高级证书申请"链接，如图7-27所示。 图7-26 申请证书 图7-27 选择证书类型 然后在高级证书申请窗口中单击"使用base64编码的CMC或PKCS#10……"链接，如图7-28所示。 图7-28 选择编码 接下来在新打开的窗口中，打开刚刚生成的"certreqtxt"文件，将其中的内容复制到"保存的申请"中，如图7-29所示。 图7-29 提交证书申请 单击"提交"按钮，显示"证书挂起"页面，如图7-30所示。 图7-30 证书挂起 792 采用SSL实现加密传输（4） 3）颁发服务器证书 提交证书申请以后，还需要颁发服务器证书。依次选择"开始"→"设置"→"控制面板"，双击"管理工具"，再双击"证书颁发机构"，在打开的对话框中选择"挂起的申请"选项，如图7-31所示。 （大图）图7-31 挂起的申请 找到刚才申请的证书，然后用鼠标右键单击该项，在弹出的快捷菜单中选择"所有任务"→"颁发"命令，如图7-32所示。 颁发成功后，选择"颁发的证书"选项，双击刚才颁发的证书，在弹出的"证书"对话框中的"详细信息"标签页中，单击"复制到文件"按钮，如图7-33所示。 图7-32 颁发证书 图7-33 复制到文件 弹出"证书导出向导"对话框，连续单击"下一步"按钮，选择"Base64编码X509"选项，如图7-34所示。 （大图）图7-34 选择导出文件格式 单击"下一步"按钮，并在"要导出的文件"对话框中指定文件名，最后单击"完成"按钮。 4）安装Web服务器证书 重新进入IIS管理器的"目录安全性"标签页，单击"服务器证书"按钮，弹出"挂起的证书请求"对话框，选择"处理挂起的请求并安装证书"选项，单击"下一步"按钮，如图7-35所示。 （大图）图7-35 处理挂起的证书 指定刚才导出的服务器证书文件的位置，如图7-36所示。 （大图）图7-36 选择导出位置 接着设置SSL端口，使用默认的"443"即可，最后单击"完成"按钮。 792 采用SSL实现加密传输（5） 5）配置网站启用SSL通道 在网站属性"目录安全性"标签页中单击安全通信栏的"编辑"按钮，然后，勾选"要求安全通道（SSL）"选项，如图7-37所示。 （大图）图7-37 启用网站SSL通道 忽略客户端证书：选择该选项可以允许用户不必提供客户端证书就可访问该站点。 接受客户端证书：选择该选项可以允许具有客户端证书的用户进行访问，证书不是必需的。具有客户端证书的用户可以被映射；没有客户端证书的用户可以使用其他身份验证方法。 要求客户端证书：选择该选项则仅允许具有有效客户端证书的用户进行连接。没有有效客户端证书的用户被拒绝访问该站点。选择该选项从而在要求客户端证书前，必须选择"要求安全通道（SSL）"选项。 最后单击"确定"按钮，即完成启用SSL了。在完成了对SSL网站的配置后，用户只要在IE浏览器中输入"https://网站域名"就能访问该网站。 注意 勾选上SSL后，必须用HTTPS来访问，而访问网站的端口也会使用SSL端口，默认为443。 如果在你访问站点的过程中出现无法正常访问的情况，那么请检查服务器防火墙是否禁止对SSl端口443的访问，这点比较容易被忽视，当然你也可以自己修改端口。 如果还是不能访问，出现提示"你试图从目录中执行 CGI、ISAPI 或其他可执行程序，但该目录不允许执行程序。HTTP错误4031-禁止访问：执行访问被拒绝。"那么请检查网站主目录的执行权限，将执行权限设置为纯脚本即可，如图7-38所示。 图7-38 设置执行权限 6）客户端安装证书 如果IIS服务器设置了"要求客户端证书"，则其他机器或用户想通过HTTPS访问和调用该Web服务，就需要将CA的根证书导入到客户端证书的可信任机构中，客户端才可以正常访问Web服务。 （1）选择"开始"→"运行"命令，在弹出的对话框中输入"mmc"，出现如图7-39所示的界面。 图7-39 启动控制台 （2）选择"文件"→"添加/删除管理单元"命令，出现如图7-40所示的界面。 图7-40 添加/删除管理单元 （3）单击"添加"按钮，在可用独立管理单元列表中选择"证书"选项，出现如图7-41所示的界面。 （4）选择"计算机账户"选项，单击"下一步"按钮，选择"本地计算机"选项，然后依次单击"完成"→"关闭"→"确定"按钮。 图7-41 添加证书管理单元 进入当前用户的证书管理单元，界面如图7-42所示。 （大图）图7-42 选择证书导入位置 选中"个人"下的"证书节点"选项，单击鼠标右键，在弹出的快捷菜单中选择"所有任务"→"导入"命令，如图7-43所示。 （大图）图7-43 导入证书 选择我们刚才颁发的服务器证书certcer，将其导入到个人的存储位置，导入后如图7-44所示。 （大图）图7-44 导入到证书 7）SSL的优点与缺点 优点：它对Web服务提供的数据完整性没有任何影响，当值返回给客户时，值还是保持原样，并没有因在传输过程中使用了加密技术而发生变化。 缺点：它对站点的整体性能有影响，因为它需要进行很多加解密的数据处理。 0 0 0 (请您对文章做出评价)