如何查看网站的SSL证书IE怎么查看网站安全证书

一、准备工作

1windows2003添加组件

添加IIS：勾选“应用程序服务器”，然后双击进入下图，勾选“IIS”和“ASPNET”

添加证书系统：勾选“证书服务”

添加组件的时候要求填写的就按照操作填上就行了，然后下一步，直到完成。

2把openssl(执行版，有的叫编译后版)解压到d:下，当然哪个盘都可以。

二、获取IIS证书请求

架设好IIS网站后，在目录安全性选项卡中点击服务器证书按钮，下一步，新建证书，现在准备证书请求－－下一步，输入名称,输入单位和部门，输入公用名称，选择国家并输入省和市县并下一步，下一步，下一步，完成，IIS的证书请求已经获取，就是C:\certreqtxt。这里请牢记输入的信息。

三、开始操作openssl

（cmd –> d:\openssl-097\out32dll

下执行下面的操作，注意opensslcnf文件，后面命令都是用它编译的）

1生成自签名根证书

openssl

req -x509 -newkey rsa:1024 -keyout cakeypem -out cacertpem -days 3650 -config

d:\openssl-097\apps\opensslcnf

PEM pass phrase：根证书密码，当然很重要！

Country

Name: CN //两个字母的国家代号

State or Province Name: guang dong //省份名称

Locality

Name: guang zhou //城市名称

Organization Name: sunrising //公司名称

Organizational Unit Name: home //部门名称

Common Name: besunny

//你的姓名(要是生成服务器端的证书一定要输入域名或者ip地址)

Email Address: Email地址

2把cakeypem 拷贝到\demoCA\private,

把cacertpem拷贝到out32dll\demoCA

copy cakeypem

demoCA\private

copy cacertpem

demoCA

提醒：这时候，已经有cakeypem:ca的私钥文件，cacertpem:ca的自签名根证书，certreqtxt:IIS的证书请求文件，三个文件。

3用CA证书cacertpem为IIS请求certreqtxt签发证书serverpem

openssl ca -in certreqtxt -out serverpem -config

d:\openssl-097\apps\opensslcnf

4把serverpem转换成x509格式

openssl

x509 -in serverpem -out

servercer

提醒：这时候，你又得到了两个文件，一个是serverpem，一个是servercer。现在把bin下的servercer复制到c:下。

5将生成的证书servercer导入到IIS

打开IIS，在默认网站上单击右键属性，在目录安全性选项卡中点击服务器证书按钮，下一步，选择处理挂起的请求并安装证书并下一步，正常情况下，您已经看到了文本框中就是c:\servercer，如果不是，自己点浏览按钮去找并下一步，下一步，完成。回到目录安全性选项卡在安全通信栏目中单击编辑按钮，勾上要求安全通道(SSL)，勾上要求128位加密，选择要求客户端证书，点击确定按钮。

6生成客户端证书

openssl

req -newkey rsa:1024 -keyout clikeypem -out clireqpem -days 365 -config

d:\openssl-097\apps\opensslcnf

证书信息自己填写，有些内容要与根证书一致。

7CA签发客户端证书

openssl ca -in

clireqpem -out clientcrt -config d:\openssl-097\apps\opensslcnf

8将客户端证书转换为pk12格式

openssl pkcs12 -export -clcerts -in clientcrt -inkey clikeypem -out

clientp12 -config d:\openssl-097\apps\opensslcnf

9安装信任的根证书

把cacertpem改名为cacertcer，双击cacertcer文件，打开证书信息窗口，单击安装证书按钮，下一步。

提醒，下面是最关键的：

选择将所有的证书放入下列存储区，点击浏览按钮

[url=file:///C:/Documents][/url]

选择受信任的根证书颁发机构，勾选物理存储区，选择受信任的根证书颁发机构，点本地计算机，并点击确定，下一步，完成，是，根证书安装完毕！勾选物理存储区”，选择“受信任的根证书颁发机构”，点“本地计算机”，然后点“确定”。

[url=file:///C:/Documents][/url]

“clentcrt”的安装也是上面相同的步骤。

10安装客户端证书

找到clientp12文件拷贝到本地计算机，然后双击，下一步，下一步，输入客户端证书的密码并下一步，下一步，完成，确定。到此，客户端的证书也已经安完毕。

提醒：

最好把cacertcer文件作为受新人的根证书安装到本地。我架设的是提供给内网使用的，所以Common

Name直接是内网IP，当然可以是域名，如果导入cacertcer后，本地计算机就识别https://你的地址是可信任网站，直接由服务器就识别客户端的证书，然后就可以登陆了。

如果没有导入cacertcer根证书，会提示下面的：

点“是”继续就可以了。然后还会弹出选择客户端数字证书的提示框。

什么是 IPsec？

IPsec 是 虚拟私密网络（***） 的一种，用于在服务器和客户端之间建立加密隧道并传输敏感数据之用。它由两个阶段组成，第一阶段（Phrase 1, ph1），交换金钥建立连接，使用互联网金钥交换（ike）协议; 第二阶段（Phrase 2, ph2），连接建立后对数据进行加密传输，使用封装安全载荷（esp）协议。参考：维基百科 IPsec 词条。

其中，第一阶段和第二阶段可以使用不同的加密方法（cipher suites）。甚至，第一阶段 ike 协议的第一版（ikev1）有两种模式，主力模式（main mode）和积极模式（aggressive mode），主力模式进行六次加密握手，而积极模式并不加密，以实现快速建立连接的目的。

第一阶段的 ike 协议有两个版本（ikev1/ikev2），不同的开源/闭源软件实现的版本均不同，不同的设备实现的版本也不同。再联系到第一阶段/第二阶段使用的各种不同加密方法，使得 IPsec 的配置有点黑魔法的性质，要么完全懂，通吃; 要么完全不懂，照抄。

设备/操作系统规格

这里主要介绍了设备/操作系统使用的 ike 版本及其特殊要求。

Linux

命令行客户端就是 strongswan 本身，因此完美兼容，支持 ikev1/ikev2 和所有加密方法的连接。因此如果用户只使用 Linux 命令行客户端，不使用各种移动设备也不使用 Windows，那么完全没有那么多事。

但 Linux 的图形界面客户端 NetworkManager-strongswan 目前只支持 ikev2 连接，必须使用证书或 EAP （各种加密方法都支持，包括微软的 MSCHAPv2）进行认证，不支持纯密码（PSK）认证。这并不是 strongswan 的错误，或者技术不行（开源总是走在技术最前沿的，毕竟命令行是支持的），而仅仅是体现一种选择：ikev1 被 strongswan 项目认为是该淘汰的协议，而 PSK 加密被认为是非常不安全的。参考 strongswan 维基 NetworkManager 词条。

Android

Android 和 Linux 不一样，只支持 ikev1。其它方面和 Linux 一样，甚至有好多种 IPsec *** 配置模式可供选择。

iOS/Mac OS X

它们声明使用的 IPsec 客户端为 Cisco，实际为自己修改的 racoon。它只支持 ike 协议的第一版即 ikev1，可以使用证书或纯密码（PSK）认证，但必须辅之 xauth 用户名/密码认证。

该修改版的 racoon 会优先使用不加密的积极模式，而积极模式是 strongSwan 所不支持的。所以要使用主力模式。

iOS 6 还有一个「衔尾」故障：它在第一阶段握手时会把数据包拆分成小块（fragmentation），然后「加密」发送。然而这种加密仅仅是声明的，其实并未加密，这就导致 strongSwan 及其它标准服务器端/Cisco 设备无法解密。另外 ikev1 的 fragmentation 插件是闭源的。开源服务器端无法对这些小块进行重组。参考：Cisco *** stop working after upgrading to IOS 6

服务器证书是SSL数字证书的一种形式，通过使用服务器证书可为不同站点提供身份鉴定并保证该站点拥有高强度加密安全。服务器证书包含详细的身份验证信息，如服务器内容附属的组织、颁发证书的组织以及称为公开密钥的唯一的身份验证文件，确保建立的HTTP连接是安全的。它的作用有：

1）实现信息加密传输

用户通过http协议访问网站时，浏览器和服务器之间是明文传输，这就意味着用户填写的密码、帐号、交易记录等私密信息都是明文，随时可能被黑客窃取、篡改、泄露、或者贩卖，随时可能对我们的人身和财产安全造成不可估量的影响。而在安装SSL证书后，我们与浏览器之间的信息传输使用Https协议加密，可激活客户端浏览器到网站服务器之间的"SSL加密通道"（SSL协议），实现高强度双向加密传输，防止传输数据被泄露或篡改，保证网站信息传输和用户隐私信息安全。

2）识别服务器真实身份

钓鱼欺诈网站泛滥，用户如何识别网站是钓鱼网站还是安全网站？网站部署全球信任的赛门铁克SSL证书以后，浏览器内置安全机制，实时查验证书状态，通过浏览器向用户展示网站认证信息，让用户轻松识别网站真实身份，防止钓鱼网站混淆视听。

3）应用领域及其广泛

SSL证书主要用于发送安全电子邮件、访问安全站点、网上招标与投标、网上签约、网上订购、安全网上公文传送、网上办公、网上缴费、网上缴税以及网上购物等安全的网上电子交易活动。一般说来，在网上进行电子商务交易时，交易双方需要使用数字签名来表明自己的身份，并使用数字签名来进行有关的交易操作。随着电子商务的盛行，ssl证书为电子商务的发展提供可靠的安全保障。

可以通过以下方法鉴别数字证书的可信度：

点击开证书，看看里面的证书颁发机构，然后是在网上搜搜是不是知名的颁发机构。

值得一提，颁发机构如果是证书使用者自己的话，那么这是一张自签证书，是不具备可信度的。

如果确定了证书是一张服务器证书，要通过查看证书上面的信息，才能确定服务器是否可信。如果还有什么关于证书的问题，可以向沃通证书签发中心咨询。