1.网站申请Web服务器证书
(1)生成证书请求文件
不同Web服务器生成证书请求的方式不一样。
针对支持JSP的web服务器,如Tomcat、WebSphere、WebLogic等,需用JDK自带的工具keytop生成证书请求文件。keytop-genkey产生密钥对。kytoon-centred产生证书请求文件。
针对IIS系统,用Microsoft提供的管理工具,按IIS证书向导的操作提示就能生成证书请求文件。
证书请求文件内容的格式遵循PKCS#0规范,其中含网站基本信息和RSA公钥。
(2)签发证书
把证书请求文件内容提交给CA系统,CA系统解析该PKCS#10请求包,获得网站基本信息和网站RSA公钥,然后用CA私钥给该网站签发Web服务器证书。
(3)安装证书
不同Web服务器安装证书的方式不一样。
针对支持JSP的Web服务器,如Tomcat、WebSphere、WebLogic等,需用JDK自带的工具keytool安装证书。用keytop-import导入证书。
针对IIS系统,用Microsoft提供的管理工具,按IIS证书向导的操作提示就能完成证书安装。
(4)启用SSL
不同Web服务器启用SSL的方式不一样。
有些Web服务器需手工修改配置文件来配置并启用SSL。如Tomcat,需修改server.xml文件。有些Web服务器用管理工具配置并启用SSL。如IIS,使用Microsoft提供的管理工具。
2.用户鉴别真假网站
(1)核对网站域名
假网站的网址与真网站相近,需辨别其不一样的地方。如假冒网站一般把I换为1,CCTV改为CCYV或CCTV-VIP的假冒域名。
(2)关注浏览器提示
当用户访问安装Web服务器证书的网站时,浏览器和网站间会构建SSL加密通道。因数字证书技术的复杂性,为降低其复杂性和提高用户使用的方便性,浏览器中已预装多个可信的CA证书,且浏览器会帮用户自动验证Web服务器证书的有效性。
当发现如下疑问或异常时,浏览器将向用户提示,部分情况会由用户选择是否继续进行:
①浏览器未找到可信的CA证书验证Web证书中数字签名是否正确。
②Web证书中起始日期在当前日期后,或终止日期在当前日期前。
③Web证书中申请者的CN项与当前访间的网站域名或IP不一致。
④Web证书中密钥用途KeyUsage, ExtKeyUsage不正确。
(3)核对安全证书
用户浏览器与网站成功建立SSL加密通道后,IE浏览器右下角状态栏上会有个“锁”形的安全证书标识。单击挂锁,将显示该网站证书的内容。
用户需仔细核对该证书中网站信息是否正确,如发现疑问或异常,则该网站可能是假网站。网站信息主要包括:国家C、省份S、城市L、单位U、部门OU、名称CN等。
