如何申请https证书，搭建https网站

ssl证书申请的3个主要步骤

1、制作CSR文件

所谓CSR就是由申请人制作的Certificate Secure Request证书请求文件。制作过程中，系统会产生2个密钥，一个是公钥就是这个CSR文件，另外一个是私钥，存放在服务器上。要制作CSR文件，申请人可以参考WEB SERVER的文档，一般APACHE等，使用OPENssl命令行来生成KEY+CSR2个文件，Tomcat，JBoss，Resin等使用KEYTOOL来生成JKS和CSR文件，IIS通过向导建立一个挂起的请求和一个CSR文件。

2、CA认证

将CSR提交给CA，CA一般有2种认证方式：

1)域名认证：一般通过对管理员邮箱认证的方式，这种方式认证速度快，但是签发的证书中没有企业的名称;

2)企业文档认证：需要提供企业的营业执照。

也有需要同时认证以上2种方式的证书，叫EV ssl证书，这种证书可以使IE7以上的浏览器地址栏变成绿色，所以认证也最严格。

3、证书安装

在收到CA的证书后，可以将证书部署上服务器，一般APACHE文件直接将KEY+CER复制到文件上，然后修改httpDCONF文件;TOMCAT等，需要将CA签发的证书CER文件导入JKS文件后，复制上服务器，然后修改SERVERXML;IIS需要处理挂起的请求，将CER文件导入。

以管理员身份登录到 Web 服务器计算机。 

2 单击开始，指向设置，然后单击控制面板。 

3 双击管理工具，然后双击 Internet 服务管理器。 

4 从左窗格中的不同服务站点的列表中选择 Web 站点。 

5 右键单击希望为其配置 SSL 通信的 Web 站点、文件夹或文件，然后单击属性。 

6 单击目录安全性选项卡。 

7 单击编辑。 

8 如果希望 Web 站点、文件夹或文件要求 SSL 通信，请单击需要安全通道 (SSL)。 

9 单击需要 128 位加密以配置 128 位（而不是 40 位）加密支持。 

10 要允许用户不必提供证书就可以连接，请单击忽略客户证书。

或者，如果要让用户提供证书，请使用接受客户证书。 

11 要配置客户端映射，请单击启用客户证书映射，然后单击编辑将客户证书映射到用户。 

如果配置了此功能，可以将客户证书分别映射到 Active Directory 中的每个用户。可以使用此功能以根据用户访问 Web 站点时提供的证书自动识别用户。可以将用户一对一映射到证书（一个证书标识一个用户），或者将许多证书映射到一个用户（根据特定的规则，对照证书列表来匹配特定的用户。第一个有效的匹配项成为映射。） 

12 单击确定。

 回答不容易,希望能帮到您,满意请帮忙采纳一下，谢谢  !    

HTTPS的优点：

SEO方面：谷歌曾在2014年8月份调整搜索引擎算法，并称“比起同等HTTP网站，采用HTTPS加密的网站在搜索结果中的排名将会更高”。百度站长公告优先收录HTTPS网站并且针对HTTPS网站采取认证。

安全性：尽管HTTPS并非绝对安全，掌握根证书的机构、掌握加密算法的组织同样可以进行中间人形式的攻击。但HTTPS仍是现行架构下最安全的解决方案，主要有以下几个好处：

1）使用HTTPS协议可认证用户和服务器，确保数据发送到正确的客户机和服务器；

2）HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全，可防止数据在传输过程中不被窃取、改变，确保数据的完整性。

3）HTTPS是现行架构下最安全的解决方案，虽然不是绝对安全，但它大幅增加了中间人攻击的成本。

HTTPS的缺点：

SEO方面：据ACM CoNEXT数据显示，使用HTTPS协议会使页面的加载时间延长近50%，增加10%到20%的耗电。此外，HTTPS协议还会影响缓存，增加数据开销和功耗，甚至已有安全措施也会受到影响也会因此而受到影响。

而且HTTPS协议的加密范围也比较有限，在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。

最关键的，SSL 证书的信用链体系并不安全。特别是在某些国家可以控制 CA 根证书的情况下，中间人攻击一样可行。

经济方面

1、SSL 证书需要钱。功能越强大的证书费用越高。个人网站、小网站没有必要一般不会用。

2、SSL 证书通常需要绑定 IP，不能在同一 IP 上绑定多个域名。IPv4 资源不可能支撑这个消耗。（ SSL 有扩展可以部分解决这个问题，但是比较麻烦，而且要求浏览器、操作系统支持。Windows XP 就不支持这个扩展，考虑到 XP 的装机量，这个特性几乎没用。）

3、HTTPS 连接缓存不如 HTTP 高效，大流量网站如非必要也不会采用。流量成本太高。

4、HTTPS 连接服务器端资源占用高很多，支持访客稍多的网站需要投入更大的成本。如果全部采用 HTTPS，基于大部分计算资源闲置的假设的 VPS 的平均成本会上去。

5、HTTPS 协议握手阶段比较费时，对网站的相应速度有负面影响。如非必要，没有理由牺牲用户体验。

实现HTTPS必备的几个条件：

1、独立的域名，拥有域名解析权，如果没有无法验证域名，自然无法办理证书。

2、拥有独立服务器（虚拟主机不支持）办理网站建设完毕后或有调试界面安装SSL证书。

3、淘宝搜索：Gworg，获得信任SSL证书，拿到服务器环境证书安装教程进行安装。

根据以上情况：域名、独立服务器（云服务器）、Gworg 数字证书都是属于收费产品。

不同的服务器实现全站https的方法是不同的，这里以IIS60环境为例

全站通过https访问前，请先确认网站各页面能正常通过https访问，若网站中不安全元素没有解决（即网站中仍存在外部的、js、css等链接），则强制全站https访问后会造成部分页面显示异常。

具体实现办法：

打开IIS管理器，找到需要配置SSL证书的站点，右键属性。

选择“目录安全性”，在“安全通信”区域点击“编辑”

勾选“要求安全通道（SSl）”，确定完成

修改IIS403文件。路径：C:\WINDOWS\Help\iisHelp\common\403-4htm