申请免费证书
只能申请class 1的一年期限的免费证书
申请完毕, 在IIS管理器,和“起始页”平级的机器-》功能视图-》服务器证书,导入plf证书。然后到网站下面的web site,不是虚拟路径,右边操作有个“绑定”,设置证书绑定。
虚拟路径-》功能视图-》SSL设置。勾选“要求SSL”,这样就会强制要求证书。
从使用者角度来讲,SSL证书分为四类
Class1(Domain Validation):只验证域名所有权.
Class2(Personal Validation):验证域名所有权之外还验证个人真实身份.
Class3(Organization Validation):验证经营者身份,也就是企业验证。
EV(扩展验证):除了经营者身份之外的其他一些企业资料验证。
对于大型电子商务企业,一般都会使用Class3 EV级的证书,这样可以确保使用者的身份,取得用户信任。
P.S. 证书有两种,一种是普通的ca证书,一种是有第三方验证的证书(EV证书)。普通证书在IE只有一个黄色锁,EV证书锁旁边还带文字,什么公司验证了该域名。
在IE7、Opera 9.5、Firefox 3等以上版本的浏览器中,安装EV证书的网址会在地址栏出现绿色。
颜色 含义
红色 该证书已过期、无效或者发生错误。
黄色 无法验证该证书或颁发该证书的证书颁发机构的身份。这可能表示该证书颁发机构的网站出现问题。
白色 该证书已正常验证。这表示浏览器与该网站之间的通信已加密。该证书颁发机构未对该网站的商业行为作出任何声明。
绿色 该证书使用了扩展验证。这表示浏览器与网站之间的通信已加密,并且该证书颁发机构已确认该网站由某企业所有或经营,该企业是根据该证书和安全状态栏上显示的权限合法组织的。该证书颁发机构未对该网站的商业行为作出任何声明。
如果试图同时使用安全 (HTTPS/SSL) 和不安全 (HTTP) Web 服务器连接来显示元素,IE会有提示框弹出,CHROM 的https会加红色斜线加以告警。这时候需要把
如下东西改成相对路径,或者直接用https连接。弹框是非常不友好的。
- 图片 image
- 样式表 stylesheet
- 脚本文件 Js
- Iframe
- …
对我们普通的网站来说,我们只需要Class1的证书即可。
当然你也可以自己给自己颁发一个SSL证书,但是你自己颁发的证书是不受浏览器支持的,每次访问都会有安全提示,因为你不是受信任的跟证书颁发机构,从目前的受信任根证书颁发机构里面看来,只有StartSSL一家提供免费的SSL证书,当然只限Class1,其他级别都是要花钱的了,不过没关系,我们只需要Class1即可
打开https://www.startssl.com
注册一个新用户https://www.startssl.com/?app=11&action=regform
注册之后登录邮箱即可激活帐户
注意:startssl不是使用用户名密码的方式来验证用户身份的,而是给你颁发一个独立的证书来验证你的身份,请保管好你的证书。
下面开始申请证书
登录StartSSL,点“Validations Wizard”,选择 "Domain Name Validation",输入你的域名,选择后缀,Continue,会提示你通过哪个邮箱地址验证域名所有人,一般会有
postmaster@im286.com
hostmaster@im286.com
webmaster@im286.com
×××@××.com(域名联系信息里面的邮箱)
点击继续,收取邮件输入验证码,即可完成域名的验证,注意,域名的验证有效期为一个月,一个月之后你想再申请证书的话还要验证一次的。
验证域名之后,点Certificates Wizard,选择"Web Server SSL/TLS Certificates",下一步,输入private key的密码(最少10位最多32位,只允许数字和字母,如果你自己有生产csr文件,则跳过这一步),下一步
把生成的PRIVATE KEY复制到记事本里面保存,注意不要做任何修改,再下一步,提示你选择域名,也就是刚才你验证过的域名,下一步填写二级域名,下一步,确定。
慢慢等待他们签发吧,等待期间最好把你的PRIVATE KEY解密一下,因为这个PRIVATE KEY是加密了的,如果直接使用这个KEY,启动Web Server的时候你需要输入PRIVATE KEY的密码才行。
点"Tool Box" , 选择"Decrypt Private Key",输入你的Private Key和密码,好了,把解密之后的key保存为 ssl.key吧。