1.網站申請Web服務器證書

(1)生成證書請求文件

不同Web服務器生成證書請求的方式不一樣。

針對支持JSP的web服務器,如Tomcat、WebSphere、WebLogic等,需用JDK自帶的工具keytop生成證書請求文件。keytop-genkey產生密鑰對。kytoon-centred產生證書請求文件。

針對IIS系統,用Microsoft给予的管理工具,按IIS證書嚮導的操作提示就能生成證書請求文件。

證書請求文件內容的格式遵循PKCS#0規範,其中含網站基本信息和RSA公鑰。

(2)簽發證書

把證書請求文件內容提交給CA系統,CA系統解析該PKCS#10請求包,取得網站基本信息和網站RSA公鑰,然後用CA私鑰給該網站簽發Web服務器證書。

(3)安裝證書

不同Web服務器安裝證書的方式不一樣。

針對支持JSP的Web服務器,如Tomcat、WebSphere、WebLogic等,需用JDK自帶的工具keytool安裝證書。用keytop-import導入證書。

針對IIS系統,用Microsoft给予的管理工具,按IIS證書嚮導的操作提示就能完成證書安裝。

(4)啟用SSL

不同Web服務器啟用SSL的方式不一樣。

有些Web服務器需手工修改配置文件來配置並啟用SSL。如Tomcat,需修改server.xml文件。有些Web服務器用管理工具配置並啟用SSL。如IIS,使用Microsoft给予的管理工具。

2.用戶鑑別真假網站

(1)核對網站域名

假網站的網址與真網站相近,需辨別其不一樣的地方。如假冒網站一般把I換為1,CCTV改為CCYV或CCTV-VIP的假冒域名。

(2)關注瀏覽器提示

當用戶訪問安裝Web服務器證書的網站時,瀏覽器和網站間會構建SSL加密通道。因數字證書技術的複雜性,為降低其複雜性和提高用戶使用的方便性，瀏覽器中已預裝多個可信的CA證書,且瀏覽器會幫用戶自動驗證Web服務器證書的有效性。

當發現如下疑問或異常時,瀏覽器將向用戶提示,部分情況會由用戶選擇是否繼續進行：

①瀏覽器未找到可信的CA證書驗證Web證書中數字簽名是否正確。

②Web證書中起始日期在當前日期後,或終止日期在當前日期前。

③Web證書中申請者的CN項與當前訪間的網站域名或IP不一致。

④Web證書中密鑰用途KeyUsage, ExtKeyUsage不正確。

(3)核對安全證書

用戶瀏覽器與網站成功建立SSL加密通道後,IE瀏覽器右下角狀態欄上會有個“鎖”形的安全證書標識。單擊掛鎖,將顯示該網站證書的內容。

用戶需仔細核對該證書中網站信息是否正確，如發現疑問或異常，則該網站可能是假網站。網站信息主要包括：國家C、省份S、城市L、單位U、部門OU、名稱CN等。