1.网站申请Web服务器证书

(1)生成证书请求文件

不同Web服务器生成证书请求的方式不一样。

针对支持JSP的web服务器,如Tomcat、WebSphere、WebLogic等,需用JDK自带的工具keytop生成证书请求文件。keytop-genkey产生密钥对。kytoon-centred产生证书请求文件。

针对IIS系统,用Microsoft给予的管理工具,按IIS证书向导的操作提示就能生成证书请求文件。

证书请求文件内容的格式遵循PKCS#0规范,其中含网站基本信息和RSA公钥。

(2)签发证书

把证书请求文件内容提交给CA系统,CA系统解析该PKCS#10请求包,取得网站基本信息和网站RSA公钥,然后用CA私钥给该网站签发Web服务器证书。

(3)安装证书

不同Web服务器安装证书的方式不一样。

针对支持JSP的Web服务器,如Tomcat、WebSphere、WebLogic等,需用JDK自带的工具keytool安装证书。用keytop-import导入证书。

针对IIS系统,用Microsoft给予的管理工具,按IIS证书向导的操作提示就能完成证书安装。

(4)启用SSL

不同Web服务器启用SSL的方式不一样。

有些Web服务器需手工修改配置文件来配置并启用SSL。如Tomcat,需修改server.xml文件。有些Web服务器用管理工具配置并启用SSL。如IIS,使用Microsoft给予的管理工具。

2.用户鉴别真假网站

(1)核对网站域名

假网站的网址与真网站相近,需辨别其不一样的地方。如假冒网站一般把I换为1,CCTV改为CCYV或CCTV-VIP的假冒域名。

(2)关注浏览器提示

当用户访问安装Web服务器证书的网站时,浏览器和网站间会构建SSL加密通道。因数字证书技术的复杂性,为降低其复杂性和提高用户使用的方便性，浏览器中已预装多个可信的CA证书,且浏览器会帮用户自动验证Web服务器证书的有效性。

当发现如下疑问或异常时,浏览器将向用户提示,部分情况会由用户选择是否继续进行：

①浏览器未找到可信的CA证书验证Web证书中数字签名是否正确。

②Web证书中起始日期在当前日期后,或终止日期在当前日期前。

③Web证书中申请者的CN项与当前访间的网站域名或IP不一致。

④Web证书中密钥用途KeyUsage, ExtKeyUsage不正确。

(3)核对安全证书

用户浏览器与网站成功建立SSL加密通道后,IE浏览器右下角状态栏上会有个“锁”形的安全证书标识。单击挂锁,将显示该网站证书的内容。

用户需仔细核对该证书中网站信息是否正确，如发现疑问或异常，则该网站可能是假网站。网站信息主要包括：国家C、省份S、城市L、单位U、部门OU、名称CN等。