服务器证书和证书授权
要激活Internet Information Services的SSL安全特性,你必须获得并安装一个有效的服务器证书(server certificate)。服务器证书是包含有你的Web服务器信息的数字证书,组织会验证服务器的Web内容以及你的站点的全域名(FQDN)。它的运作和传统的证书一样,服务器证书可以令用户验证你的服务器,检查Web内容的有效性,并且建立一个安全的连接。
数字证书是通过使用FQDN指派给一部主机的。因此证书与任何的IP地址限制无关。你可以修改主机的IP地址而不会对证书有任何的影响。例如,如果http://www.cnblogs.com/zenose/这个网站拥有一个证书,那么无论该域名是指向IP地址192.168.110.123还是IP地址123.110.168.192,或者网站的IP地址在证书建立和安装后被修改,都没有关系。
服务器证书的成功在于用户是否信任证书中的信息的有效性。因此,证书通常是通过一个互相信任的第三方组织来建立的,它被称为Certificate Authority (CA)。CA的主要职责是确认该组织注册到了一个证书。这样就可以确保证书中的标识信息的有效性。
要做到这一点,一个CA必须拥有一个CA证书。CA证书可标识建立服务器证书的CA,从而确认服务器的验证。当然,在这种层次关系中,与其它的层次关系一样,必然有一个是顶层的。那么谁来验证CA的证书呢?在最顶部的CA必须签署自己的证书,这是由于在定义上来说没有更高层次的CA。一个自己签署的CA被称为一个root certificate(根证书)。根证书是一个带有.crt扩展名的文本文件。
可供选择地,一个组织可以建立它自己的服务器证书而无需一个CA来签署它们。例如,在一个大型公司的内部网中处理雇员薪水和利益信息,公司可以维护一个证书服务器,并且假定负责验证登记者的身份并且建立服务器证书。
证书服务器
要认证一个带有证书的服务器(该证书由某个特别的CA建立),可户需要验证该CA处于Web浏览器的可信任CA的列表中。大部分常见的CA根证书已经安装在大多数的Web浏览器中。
要查看Microsoft Internet Explorer 5信任的CA,可以执行以下的步骤。
1。打开Microsoft Internet Explorer 5
2。在工具菜单上,点击Internet选项
3。选内容标签
4。在证书栏中按Authorities的按钮
证书管理的对话框中的三个标签包含了这个Internet Explorer拷贝所知道的全部证书列表。
每个证书都包含有主题和证书建立者的信息,还有它的有效性和开始日期、有效日期,还有为其它客户或者服务器标识证书的加密指纹。
要查看一个SSL证书中的信息,可以选择一个证书然后按查看证书的按钮。
要为你的Web服务器增加一个新的CA到被信任的授权列表,你必须显式地加入CA的证书到你的Web服务器中,它被称为根证书。你可以使用Microsoft Internet Explorer version 4.0以上或一个称为Ilisca.exe的命令行工具来为你的服务器加入一个新的根证书。
证书的通配符映射
通配符证书允许多个带有同样域名或者子域名的主机使用同样的数字证书。例如,使用通配符证书,一个证书可以建立在*.domain.com或者domain.com上,这样它就可以用来支持诸如http://www.domain.com和http://www2.domain.com的站点。要记住在一般的情况下,一个证书只能建立在一个指定的主机上。例如http://www.domain.com。
证书通配符映射的好处是你只需要购买一个证书就可以在多个网站上使用,对于保护一个网站来说这样的成本较低而且很值得。不过并不是全部的第三方CA都允许你申请一个可以用在多个主机上的证书。这样的一个证书有一个共同的名字,例如*.domain.com 或者 domain.com。并不是全部的Web浏览器或者Web服务器支持它们的使用。
当一个Netscape的客户检查该证书中的主机名时,它使用一个脚本扩展过程来查看它是否匹配。在给出的例子中,任何以domain.com结束的主机都可以接受。不过,Internet Explorer并没有实现通配符证书名字检查,所以 Internet Explorer的客户将接收到一个警告的信息,提示该主机名并不和证书中的匹配。在某些情况下,通配符可以在Internet Explorer 4.0或以上运作,不过微软宣称Internet Explorer并不可以在通配符下工作,因此并不能确保通配符可以在任何的微软产品下工作。
转自:http://blueice421.blog.163.com/blog/static/38684004201043043456940/
