域名怎么申请https？

网站https证书如何申请？主要有下面几个步骤

1、生成证书请求文件CSR

CSR(Certificate Secure Request)就是证书请求文件，站长进行SSL证书申请的第一步就是要生成CSR证书请求文件，系统会产生2个密钥，一个是公钥就是这个CSR文件，另外一个是私钥，存放在服务器上。要生成CSR文件，站长可以参考WEB SERVER的文档，一般APACHE等，使用OPENSSL命令行来生成KEY+CSR2个文件，Tomcat，JBoss，Resin等使用KEYTOOL来生成JKS和CSR文件，IIS通过向导建立一个挂起的请求和一个CSR文件。

温馨提醒：如果是申请沃通SSL证书，其数字证书商店https://buywosigncom已经支持CSR文件由系统自动生成，用户无需事先在Web服务器上生成CSR文件。

2、选择CA机构申请SSL证书

CA机构(Certificate Authority )，也就是SSL证书审核签发机构，也称证书授权机构，作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。如何选择CA机构呢？建议考虑以下几点：

(1)全球可信，通过WebTrust国际认证。SSL证书通用性要好，支持更多的浏览器。

(2)服务响应快速，24小时提供技术支持。因为SSL证书关系到网站的安全、可信、正常的运行，关系到网站的信誉和销售，一旦出现问题必须第一时间解决，所以要求CA厂商的服务和技术支持必须24小时提供。

(3)支持中文和英文。因为国内大部分网站面向的客户群体是能看懂中文的客户群体，支持中文的SSL证书能够很好地提高客户对公司购买SSL证书保护其信息安全的认知度和公司品牌影响力。

(4)性价比要高。因为SSL证书是网站特别是电商金融网站长期需要的信息安全基础保护措施，需要一定的成本，所以性价比也是要考虑的。国产服务器证书由于是原厂销售，没有代理商赚中间差价，性价比比国外SSL证书高很多。

3、将CSR提交给CA机构认证

CA机构一般有2种认证方式：

(1)域名认证。一般通过对管理员邮箱认证的方式，这种方式认证速度快，但是签发的证书中没有企业的名称，只显示网站域名，也就是我们经常说的域名型SSL证书。

(2)企业文档认证。需要提供企业的营业执照。

同时认证以上2种方式的证书，叫EV SSL证书，EV SSL证书可以使浏览器地址栏变成绿色，所以认证也最严格。EV SSL证书多应用于金融、电商、证券等对信息安全保护要求较高的领域。

4、获取SSL证书并安装

在收到CA机构签发的SSL证书后，将SSL证书部署到服务器上，一般APACHE文件直接将KEY+CER复制到文件上，然后修改HTTPDCONF文件;TOMCAT等需要将CA签发的证书CER文件导入JKS文件后，复制到服务器，然后修改SERVERXML;IIS需要处理挂起的请求，将CER文件导入。

网站https证书如何申请详细图文资料参考：网页链接

一。虚拟机你找个vmware workstation 7装上，然后下载你要虚拟的操作系统的ISO安装文件，创建虚拟机，配置虚拟设备，将虚拟机的虚拟机光驱载入操作系统安装ISO，打开虚拟机电源，开始安装虚拟机操作系统。

二。web服务器就是在：控制面板——添加删除程序——添加删除windows组件，intnet信息发布服务器(IIS)，把这个勾选上，然后群定安装，安装的时候会找你要windows2000的安装光盘，你选择浏览，找到安装光盘里的i386文件夹选择继续就行。

三。SSL安装上你就可以设置IIS使用了，一旦使用了SSL，那么站点访问就变成https了。

SSL的安装也在IIS里，就是控制面板——添加删除程序——添加删除windows组件，intnet信息发布服务器(IIS)，点右下角的详细，会列出一些可选择的功能，里面就有SSL

四。至于你说的通道是什么我没能理解，不知道你说的是不是***

五。CA安装独立的根证书颁发机构

1以管理员身份登录到系统。或者，如果您装有ActiveDirectory，则以域管理员身份登录到系统。

2单击「开始」，指向「设置」，然后单击「控制面板」。双击「添加/删除程序」并单击「添加/删除Windows组件」。

3在「Windows组件向导」中，选中「证书服务」复选框。屏幕上将出现一个对话框，通知您计算机在安装证书服务之后不能更名且不能加入域或从域中删除。单击「是」，然后单击「下一步」。

4单击「独立根CA」。

5（可选）选中「高级选项」的复选框以指定下面的选项。完成后请单击「下一步」。加密服务提供程序(CSP)，默认是MicrosoftBaseCryptographicProvider。证书服务支持第三方CSP，但您必须参考该CSP供应商的文档，以了解关于证书服务使用其CSP的信息。现有的密钥，如果选中此选项，则可以使用现有的公钥和私钥对而不用产生新的密钥对。如果您要重新定位或重新存储以前安装的证书颁发机构(CA)，则该选项很有用。

6填入证书颁发机构的名称和其他必要信息。在CA设置完成后这些信息都不能改变。

7在「有效持续时间」中，指定根CA的有效持续时间。有关设置这个值时应考虑的事项，请参阅下面的注释。单击「下一步」。

8指定证书数据库、证书数据库日志和共享文件夹的存储位置。单击「下一步」。

9如果正在运行WWW发布服务，则您会遇到一条要求在安装之前停止此项服务的请求信息。单击「确定」。

10如果出现提示，则键入证书服务安装文件的路径。

安装证书颁发机构的Web登记支持

1以管理员身份登录到系统。

2单击「开始」，指向「设置」，然后单击「控制面板」。双击「添加/删除程序」并单击「添加/删除Windows组件」。

3在「Windows组件向导」中，选中「证书服务」复选框。屏幕上将出现一个对话框，通知您计算机在安装证书服务之后不能更名且不能加入域或从域中删除。单击「通讯」，然后单击「详细信息」。

4清除「证书服务CA」的复选框，确保选中「证书服务Web登记支持」复选框，再单击「确定」。单击「下一步」。

5在「计算机名称」中，键入安装证书颁发机构(CA)的计算机名称，此CA将使用Web登记页。此CA的名称将出现在列表中。单击「下一步」。

6如果正在运行WWW发布服务，系统将请求您在进行安装之前停止此项服务。单击「确定」。

7如果出现提示，则键入证书服务安装文件的路径。注意安装CAWeb登记页之前必须在服务器上安装Internet信息服务(IIS)。在已安装IIS的服务器上安装证书服务时会默认安装CAWeb登记页。只有在与安装CA的服务器不同的服务器上安装CAWeb登记页时，才需要执行此过程。如果您在证书服务安装期间更改了默认的选项且没有在CA服务器上安装CAWeb登记页，则您可以在CA的命令提示行运行「certutilvroot」命令以安装Web登记页。

设置安全性以访问证书颁发机构Web页

1以管理员身份登录到系统。

2单击「开始」，指向「程序」，指向「管理工具」，然后单击「Internet服务管理器」。

3在控制台树中，用右键单击「CertSrv」，再单击「属性」。

4在「目录安全性」选项卡的「匿名访问和身份验证控制」下，单击「编辑」。

5清除除「集成的Windows身份验证」之外的其他所有复选框。

发布证书颁发机构Web页

1以管理员身份登录到系统。

2单击「开始」，指向「程序」，指向「管理工具」，然后单击「Internet服务管理器」。

3设置初始页面为defaultasp,设置IP为您的本机IP。

4在web浏览器中填入http://您的IP/CertSrv，就可以看到发布的CA认证中心。

1找到jdk安装目录，运行控制台，切换到该目录；

2使用keytool为tomcat生成证书;

keytool -genkey -v -alias tomcat -keyalg RSA -keystore tomcatkeystore -validity 36500

3为客户端生成证书;

keytool -genkey -v -alias huawei -keyalg RSA -storetype PKCS12 -keystore huaweitestp12 -validity 36500

4将huaweitestp12导入到tomcat的信任证书链中

keytool-export -alias huawei -keystore huaweitestp12 -storetype PKCS12 -rfc -filehuaweitestcer

keytool-import -alias huawei -v -file huaweitestcer -keystore tomcatkeystore

5从tomcat的证书链里导出跟证书

keytool-export -v -alias tomcat -file CAcer-keystore tomcatkeystore

6将华为的outgoingCertpem导入tomcat的信任证书链

keytool -import -v -file outgoingCertpem -alias huawei -keystore tomcatkeystore

7将华为的capem导入tomcat的信任证书链

keytool -import -v -file capem -alias huawei_ca -keystore tomcatkeystore

8配置tomcat

双向认证：

<Connector port="28443"

protocol="orgapachecoyotehttp11Http11NioProtocol"

scheme="https" secure="true"

keystoreFile="conf/keys/tomcatkeystore" keystorePass="123$%^"

truststoreFile="conf/keys/tomcatkeystore" truststorePass="123$%^"

clientAuth="true" sslProtocol="TLS"

maxThreads="150" SSLEnabled="true">

单向认证：

<Connector port="28443"

protocol="orgapachecoyotehttp11Http11NioProtocol"

scheme="https" secure="true"

keystoreFile="conf/keys/tomcatkeystore" keystorePass="123$%^"

clientAuth="false" sslProtocol="TLS"

maxThreads="150" SSLEnabled="true">

9配置完后，可以在本地验证配置是否成功。

在服务器上进行格式转换成pem格式

openssl x509 -inform der -in CAcer -out capem

通过以下命令模拟与应用服务器建链

单向认证模拟建链：

openssl s_client -connect ip:port -tls1 -CAfile capem

双向认证模拟建链：

openssl s_client -connect ip:port -cert huaweitestpem -CAfile CApem -tls1

10将生成的huaweitestp12和CAcer证书发给华为接口人。