SSL应用系列

 SSL应用系列之一：CA证书颁发机构（中心）安装图文详解

2009-03-19 17:55:15

标签： 证书颁发机构  CA  休闲  晒文章  职场

原创作品，允许转载，转载时请务必以超链接形式标明文章  原始出处 、作者信息和本声明。否则将追究法律责任。 http://jeffyyko.blog.51cto.com/28563/140518

       如果你需要在组织里发布exchange，或者需要给IIS配置SSL的访问方式，则需要部署CA，关于CA的应用，后续会有几篇文章来专门叙述，本文仅仅介绍CA证书颁发机构的安装，这也是SSL应用的基础工作。

 

阅读本文，你将了解到以下内容

 

◆什么是CA及CA的作用

◆安装CA的准备条件

◆如何CA安装

◆何为根证书

 

       在安装CA前，我们需要了解什么是CA。字面上理解，CA即Certificate Authority ，也就是证书授权中心，对于这6个字，如何理解？来帮大家逐字分析一下：

中心：可以得知首先它是一个集中化的管理某种东西的一个系统或者说是一个平台

授权：可以理解为，如果需要得到某种东西、或者实现某些目的需要通过这个中心进行认证，获得许可以后才可以继续操作。

证书：证书的最大作用就是通过某种东西来证明某种东西的合法性和存在性。

 

       总结一下，为了实现证明及安全的目的，我们建立了一套系统或者平台，它可以用来证明某些事物的合法性和真实存在性，并且为此提供足够强的保护，从而来抵御外界的攻击。这就是证书认证系统或者证书授权中心。概念似乎很抽象，不过后面会讲到更多的应用，当你理解这些应用后，再回过头来看这段话就会觉得很好理解。

我们开始吧，首先介绍一下CA安装的基础环境。

 

基础环境：

1、服务器版本操作系统，2000ser或2003 ser ,2008 ser等

2、安装CA前，请先安装好IIS。

 

一、安装CA

1、首先打开添加与删除程序，找到添加与删除组件，找到证书服务

当我们选中证书服务的时候，系统会弹出一个提示

大致意思是由于安装CA后会将计算机名绑定到CA是并会存储在活动目录中，所以装完CA后无法修改计算机名称，我们这里点击YES，

这里有4种CA类型可供选择。

有2大类，企业根CA和独立根CA，各自又有一个从属的CA。从属CA是为上级CA授权给下级CA机构来颁发证书准备的，就范围和功能性而言，企业CA较独立CA更广，更强大。比如独立CA无法使用证书模板，而企业CA可以。还有一点就是一个网络上首个安装的CA必须为根CA，若是企业根CA则必须有域环境，这里我们就选择第一个，并点击【Next】

在这个界面中，我们需要注意两个地方，

1、common name for this ca 

这里的名称其实和之后要申请的公共名称没有太大关联，我们可以自己命名，因为这个只是给我们要安装的CA起的一个可识别的名称而已，没有实际含义。所以这里

我写的是ca01，请大家不要和申请SSL或者发布OWA时所输入的公共名称相混淆。

2、Validity period

这个是安装的CA机构可正常运行的期限，即自安装日起5年内可以正常处理各种类型的证书的申请请求。当然你也可以手动更改，在右侧会出现相应的过期日期。

输入根CA的名称后，点击【Next】，经过一个很简短的过程之后，出现以下图示：

 

我们可以设置CA证书的数据库以及日志的存放路径，一般默认即可，点击【Next】继续，此时会弹出一个提示窗口，如下图示：

意思是，要完成CA的安装，需要临时停止IIS服务器，由于我这里IIS上没有运行web，所以可以直接点YES，这点请留意。

确定后，就开始自动安装CA组件了。

安装过程中，如果你没有事先启用IIS6里的ASP的话，就会出现下面的提示，此时只需确定即可。

经过大概1、2分钟的安装过程后，CA组件顺序安装完毕。

点击Finish完成整个过程。

二、查看CA

CA已安装，但在哪里查看呢？别急，我们可以通过2个办法来实现

1、可以依次点击 开始/程序/管理工具/Certification Authority

2、也可以在命令窗口内输入certsrv.msc,确定后直接打开CA

2种方法效果都是一样的，我们选用第二种方法。

下面是打开的主界面

这里我们可以看到ca01这个名称，熟悉吗？ 对了，这就是我们在申请CA的时候输入的CA机构的名称，请记住，这仅仅是一个名称，对以后申请各类应用型的证书没有任何影响。

下面5个文件夹分别是【吊销的证书】、【已颁发的证书】、【挂起的请求】、【失败的请求】、【证书模板】，这里不做细述，以后用到的时候再讲，其实很简单。

    

     在这里我想和大家讨论的一个概念，就是“根证书”。其实当我们把CA机构创建完毕后，它的基本功能就是它将为其他应用程序或者服务器等颁发及管理证书，在安装完毕后，它会给自己颁发一个证书，也就是root certificate 根证书，而且是自己信任自己的，那在哪里查看呢？？？

右键ca01，选择【属性】，如下图：

我们可以很清晰的看到有一个certificate #0的证书，这就是ca01这个CA颁发机构的根证书。点击右下角的View Certificate ，可以查看根证书的详细属性。

 

【常规】选项卡，这里可以看到很简要的信息，比如颁发者ca01，颁发给ca01，也就是自己给自己颁发，很简单，它是根CA，也是该网络里的第一台CA证书服务器，只能自己给自己颁发一个根证书，为什么要这么做呢？原因有两点，1、它是最高级别的CA  2、为后面申请的CA证书提供认证。

【详细信息】选项卡，这里不但可以查看证书的一些基本信息，包括证书版本，生效日期，以及失效日期，还有算法及加密信息等。

右下角有一个 copy to file，我们可以利用这个选项将根证书导出为3种不同的格式，我会在后面的教程中说到。

【证书路径】选项卡，这里显示的是证书体系的逻辑结构，因为我现在只有根证书，所以也只能看到自己了。

 

OK，关于CA安装的图文详解先写到这里，后面还会有相关的文章，尽请期待！

 

To be continued ..

 SSL应用系列之二：为Web站点实现SSL加密访问

2009-03-22 16:15:53

标签： CA  加密网站  SSL  2种方法  晒文章

原创作品，允许转载，转载时请务必以超链接形式标明文章  原始出处 、作者信息和本声明。否则将追究法律责任。 http://jeffyyko.blog.51cto.com/28563/141322

       上一节中，我们讨论过有关CA作用及安装，本节我会通过给一个web站点设置SSL加密访问，来加深对CA的理解。

 

通过阅读本文，你将了解到以下内容

◆如何通俗化理解SSL

◆演示2种为web网页申请安全证书的方法

◆通过实例理解Common  Name名称的作用

◆讨论为什么访问证书服务器时需要输入用户名和密码

 

本文导读目录

 

一、如何理解SSL

二、为Web站点申请CA证书并测试SSL（两种方法）

       1、第一种方法

               1）建立测试站点

                2）通过Web网页申请网站证书。

                             第一步，申请请求文件。   

                             第二步，提交请求文件。

                             第三步，导入web证书。

                             第四步，测试SSL网站。

       2、第二种方法

                             第一步，移除当前SSL证书。   

                             第二步，建立测试站点。

                             第三步，通过IIS申请证书。

                             第四步，测试SSL网站。

三、小插曲：讨论访问证书服务器时为何需要输入用户和密码？

 

 

一、如何理解 SSL

       按照惯例，从基础概念上介绍一下SSL，即Secure Socket Layer 安全套接层。最初是由Netscape开发的一种国际标准的加密及身份认证通信协议，它的作用是访问端和被访问端，或应用端和服务器端之间建立一条相对独立的、安全的通道，并利用自身的数学加密算法对来往的信息进行严格加密，从而保证数据在此通道内传输时拥有足够的安全性。

       那，有朋友可能会想到https，这又是什么呢？几句话，保证让你明白它和ssl之间的关系，https也出自Netscape，简单讲它是HTTP协议的安全版本，即是在http的基础上加入了ssl层，https的安全基础就是SSL，也就是说单有https协议，没有ssl的辅助是无法实现加密的！

       网络上，https和ssl随处可见。当访问一些银行网站，尤其是需要你输入一些私密信息比如帐号、密码的时候，请注意观察浏览器地址栏的两头，最左边和最右边，一定会看到https和ssl的身影。以招商银行为例，我们进入招行主页 [url]http://www.cmbchina.com/[/url]  点击右下方的【个人银行大众版】，即[url]https://pbsz.ebank.cmbchina.com/CmbBank_GenShell/UI/GenShellPC/Login/Login.aspx[/url]

我们可以看到这样的一个界面：

       请注意上图的2个红色框框，左侧的HTTPS开头的地址表明此时网页传输协议用的就是HTTPS安全协议，右侧的是那把黄色的小锁表明已经启用了SSL链接。

我们单击一下那个小锁，会看得更清楚些，如图：

        参照本系列的第一节讲到的相关知识，我们知道这个证书的颁发者： VeriSign Class 3 Extended Validation SSL SGC CA

其实不仅仅含有颁发者的信息，我们来稍微分析一下吧：

VerSign，美国的一家很著名提供智能信息基础设施服务的服务商。

Class 3 Extended Validation，即为第三代扩展验证

SGC SSL ：SGC即Server Gated Cryptography，是在现有的SSL标准基础上增加的一种增强密钥用法(EKU)。

 

OK，我们今天实验的目的就是想实现类似的功能

1、使用https协议来访问我们的测试站点

2、出现如上图的小锁图标，并可以查看证书信息。

 

二、为Web站点申请CA证书并测试SSL（两种方法）

 

第一种方法：

 

基础工作

1、已安装IIS组件 （此文还在编辑中，稍后放出）

2、已安装CA组件（请参考SSL应用系列之一：CA证书颁发机构（中心）安装图文详解）

 

1） 建立测试站点

 

1、我在F盘上建了一个testweb文件夹，里面有一个临时站点，目录为Errpage。

里面有2个文件，这就是我们今天要测试的网页。

OK，下面我们到IIS里将这个站点应用起来。（具体过程非本节重点，故在此省略）

经过一些简单的设置后，我们可以在IIS中顺利浏览测试页面。

本机的IP为10.0.0.252，下面是在IE7里的访问页面，大家可以看到此时并没有https及安全锁标记。

 

      为测试网站申请证书，也就是为我们的IIS Web服务器申请一个CA证书。我们有两种办法来完成证书的申请，我们来一一演示。

2） 通过Web网页申请网站证书。

 

第一步，申请请求文件。

 

      使用这种办法申请证书，那么首先需要为指定的站点申请一份请求证书文件，打开IIS，找到特定的站点，我们这里是testweb，

在这个站点上右击，选择【属性】，再选择【目录安全性】选项卡

点击红色方框处的【服务器证书】，然后【Next】

上图中的设置一般我们不作修改，默认即可。点击【Next】继续

红框的内容可以自己填写，此处无关紧要，点击【Next】继续

        这里的Common name是一个很重要的地方，默认是本机的计算机名，这里填写的内容将直接影响后续的访问过程，如果你的网站要在外部访问，那么一定要写上外网的访问地址，比如 [url]www.mypage.com[/url] 这样的地址，当然不一定非要用www开头，只要是输入的地址已经做好的相应的解析记录就行，比如web.mypage.com，其中，mypage.com是你申请的外网域名。我们这里暂且用计算机名代替，后面还会说到这个问题。 点击【Next】继续

红框的内容可以自己填写，此处无关紧要，点击【Next】继续

       certreq.txt就是针对这个站点生成的请求文件，为什么说是针对这个站点呢？还记得输入common name的那一步吗？我们输入的common name已经包含在请求文件里，稍后会用到这个文件来制作证书。默认存放在C盘根目录下，我们也可以手工指定。点击【Next】继续

查看证书的基本信息，如果确认无误，点击【Next】继续

OK，至此，证书的请求文件制作完毕。

 

第二步，提交请求文件。

 

       在C盘目录下，找到刚才生成的请求文件下certreq.txt，如下图

        这是经过加密后的文件，不用理会里面的内容，也用不着理会，ctrl+A全选并复制。然后打开证书的web申请页面，由于CA也装在10.0.0.252这台服务器上，为了方便访问，我在本地网卡上添加了另一个IP地址 10.0.0.253来作为证书服务的访问地址，直接在浏览器里输入10.0.0.253/certsrv来访问CA证书Web申请页面：

此时弹出一个提示框，让我们输入用户和密码，这里我们输入本机帐户信息

确定后，就可以看到证书申请页面了

如上图所示，选择第一个Request a certificate

如上图所示，选择advanced certificate request

因为我们已经有了一份证书请求文件，所以选择第二项，

请注意两个地方：

1、第一个红框需要填入的内容就是我们刚才复制的那一长串字符；在下方有一个Browse for a file to insert,也可以点击直接导入certreq.txt的文件，这2种方法都可以。

2、最下方，有一个证书模板，我们需要选择Web Server 类型。

操作完毕后，点击右下角的Submit完成提交。

      当出现上面图示时，表明证书申请完毕，这里有2两种编码格式可供选择，一般选择Base 64 encoded。

下面有两个链接，一个是申请到的证书文件，另一个是证书链。

有个概念，什么是证书链？ 其实，证书链里面包含2个文件，一个是当前的证书，一个是CA的根证书。

现在我们只需要证书文件，所以点击Download certificate后，出现如下提示：

点击save，任选一个位置保存下来，这个文件就是我们为testweb站点申请的证书。

OK，至此，Web证书制作完毕。

 

第三步，导入Web证书。

 

        打开testweb站点的属性，找到【目录安全性】，如下图：

我们这里选择第一个选项，意思是处理一个挂起的请求并安装证书。

此时需要把我们刚才保存好的证书文件导入进去，点击Browse进行浏览。点击【Next】继续

上图中的443就是SSL默认的端口，我们不建议修改，默认即可。点击【Next】继续

这个是一个概览信息，若无误，点击【Next】继续

OK，至此，Web证书导入完毕。

 

第四步，测试SSL网站。

 

      在测试SSL之前，我们还需要设置一个地方。依然找到【目录安全性】，如下图选择，并更改相应设置

这样设置是为了开启此站点的SSL功能，否则SSL也不会正式生效。

 

OK，一切就绪。我们开始测试SSL站点是否成功。

我们先按照之前的习惯来访问一下，如下图：

请注意上面2个标记红框的地方，很明显，如果依然使用http协议访问，就会失败，并出现提示，告诉我们需要使用https进行访问。
OK，我们输入 [url]https://10.0.0.252[/url]来试一下

         我已经改成了https访问，此时弹出一个对话框，第一个叹号说明证书本地并不信任这个证书的CA，如果想让我的计算机信任此证书，就需要把ca01上的根证书导入到本机的受信任的证书颁发机构中才可以。

这个是我做了此操作后的效果，第一个叹号已经没有了。

下面我们重点说一下第二个叹号。为什么是这个提示？

大家是否还记得，我们在申请证书请求文件的时候填入的common name 是什么吗？

对了，是 DC01，而且我也说过，我们访问地址里的名称一定要和common name 一致。请仔细观察下面两张图，看有什么异同：

请大家仔细观察2张图内标记红色框的地方。

          解释：下面的那张图的访问地址和之前的都不一样，使用的是dc01，而这个名称正好和common name 一致，所以就不会弹出证书提示框，也就是说此时，安全证书的名称和站点名称相匹配，所以会直接进入页面。在地址栏的右侧也可以看到一个黄色的小锁。

 

OK，至此第一种申请网站证书的办法已经演示完毕，并做了测试。

 

------------------------------------------------------------------------------------------------------

 

第二种方法：

 

1） 移除当前网站证书。

          我们来讨论一下申请证书的第二种方法，为了避免干扰。我们先把刚才做得证书移除掉。

     依然找到【目录安全性】，点击【服务器证书】，【Next】后，进入以下画面：

选择，移除当前的证书，点击【Next】

如果确认，点击【Next】，即可完成证书移除。

此时，再通过 [url]https://10.0.0.252/[/url]这个地址将无法网站。

2） 建立测试站点。

        方便起见，亦然用之前站点作为测试对象，所以此步骤省略，同上。

3） 通过IIS申请证书

      依然找到【目录安全性】，点击【服务器证书】，【Next】后，进入以下画面：

 

与第一种方法不同，我们这里选择第二个，即发送请求到一个在线CA

Common Name ，这个地方我们依然默认为dc01

4） 测试SSL网站

    我们还需要做一下简单设置，如下图：

至此，第二种申请网站证书的办法描述完毕，测试的细节和要点和第一种方式一样，这里就不再细说了。

 

三、小插曲：讨论访问证书服务器时为何需要输入用户和密码？

          

       大家可以发现，这时会弹出一个对话框，让你输入用户和密码，其实也就是本机管理员的帐户和密码，输入正确即可访问。

      细心的朋友可能要问了，为什么这里会出现这个提示让我们输入验证信息呢？是的，简单回答，就是为了保证CA服务器的安全性，那我们是否可以去掉呢？？答案是，完全可以。其实，这里面有一个知识点，请大家注意certsrv这个目录，如图：

就是这个目录，我们看一下它的属性，关键是【目录安全】这个选项卡。

        我们可以看到蓝色选项卡里有一个勾，并未选中，如果选中后，我们再此访问10.0.0.253/certsrv的时候就可以直接访问，而无需输入任何身份信息。为什么呢？

         因为IUSR_DC01是在IIS安装完成后自动建立的一个特殊的用户，默认情况下，当我们访问IIS下的某一站点时候，IIS在处理访问请求的时候都是通过IUSR_DC01这个用户来进行验证并返回结果的。而在创建CA的时候默认这个勾就被取消，所以我们访问的时候就会出现输入用户信息的提示。

         只要把勾打上，以后再访问就不会有什么提示了。但建议大家还是不要去更改默认设置，安全还是要放在首位的。

SSL应用系列之三：去掉讨厌的证书提示警告（多图精解）

2009-03-25 12:14:14

标签： 证书  CA  警告  提示窗口  晒文章

原创作品，允许转载，转载时请务必以超链接形式标明文章  原始出处 、作者信息和本声明。否则将追究法律责任。 http://jeffyyko.blog.51cto.com/28563/142280

       其实，本节讨论的内容应该归属于CA系列的，但其中涉及到的内容和SSL应用系列之二比较紧密，在之二一文中未能详细描述，所以就把这个内容作为SSL应用系列之三来讲解了，其实，SSL、CA、IIS等这些东西都是相互关联，很难独立存在。

     废话不多说，今天主要和大家讨论一下为什么会有证书提示警告及如何取消。

阅读本文，你将了解到以下内容

 

◆为什么会有证书提示窗口

◆什么情况下会出现提示窗口

◆2种导入根证书的方法

◆如何取消窗口提示

本文导读目录

 

一、分析证书出现提示框的原因

二、分三种情况进行讨论

三、依据三个提示分析解决步骤

         第一个提示：证书不被信任，分析与解决

         第二个提示：证书时间过期，分析与解决

         第三个提示：证书名称无效或不匹配，分析与解决

 

       我们还是以SSL应用系列之二里的一个website的例子作为开始。     

一、为什么会有证书提示窗口

      我们知道，在证书提示窗口上，一共会体现出三个信息如图：

第一个提示：此证书是否由受信任的证书颁发机构颁发

如果是，则为绿色√，否则就会出现黄色叹号

第二个提示：此证书是否在有效期内

如果是，则为绿色√，否则就会出现黄色叹号

第三个提示：证书上的名称与站点名称是否匹配

如果是，则为绿色√，否则就会出现黄色叹号

OK，如果三个提示的结果均为绿色√，那么就直接解析后面的网页，而不会有任何提示。反之，有任何一个不满足，则会出现类似上述的提示。

        现在大家应该知道，为什么会出现提示了吧，其实这也是微软处于安全考虑的一项措施，因为如果我们忽略这些提示，一样可以顺利的访问网站。

        OK，现在我们就上面的提示，一个个来讲解。

 

第一个提示：

       为什么会有此提示？ 其实，在我们安装好Windows后，系统就会内置100多个证书，其实这些证书都是世界知名公司、企业、或机构的根证书，我们在访问某些由

这部分证书颁发机构颁发的证书加密的网站时，就不会出现第一个提示错误的情况，为什么这么说？因为本机里的受信任根证书颁发机构里有了这些根证书，也就相当于，本机信任这些根证书机构颁发的证书。

       不知道大家有没有理解这句话 。我来举个例子，比如证书颁发机构相当于公安部，每个人的身份证则相当于自己的一份独有的证书，在很多场合或环境下，为了表明自己的身份，就需要出示自己的身份证，因为上面有我们的一些很基本信息，这些信息足以证明我就是本人，对方在查看身份证的时候，就类似浏览器在检查某个证书是否合法，因为我们都知道身份证是由公安部这个权威部门，由这个部门颁发的身份证一定是真实有效的，所以就自然认定你就是本人。类似的，本机里预装的100多个可信任的根证书颁发机构就等同于我们的脑海里的公安部。当浏览器检测到一个新证书时，它回去查看证书的颁发者是否在自己的信任机构内，如果是，则就会信任这份证书，否则就不信任，此时就会弹出这样的提示，告诉你，浏览器检测到的这份证书并不是受信任的根证书颁发机构。

      说了那么一大段，希望可以帮助你理解第一个提示出现的原因。可能有朋友要问怎么查看这些根机构？ 其实很简单，打开IE浏览器，选择 【工具】/【internet属性】/【内容】/【证书】/【受信任的根证书颁发机构】，如下图：

这些便是预设的受信任的根证书颁发机构。

 

知道原因，问题就好解决了。

为了方便实验，我已经将环境搭建完毕，如下图：

如果我们把根证书加到本机的受信任的根证书颁发机构内，问题不就解决了么！

OK，这里我会告诉大家2种方法来将此证书添加至本地的受信任证书机构内。

 

方法一：证书链安装法

这个应该是最简单的方法了，下列是操作步骤：

首先进入 [url]http://ip/certsrv[/url]  也就是证书的网页申请页面，然后依照图示操作：

 

 

点击【Y】之后，根证书就导入到当前用户的证书里了。但请注意，没有说导入到本地计算机，而是当前用户，为什么呢？我们知道，默认使用certmgr.msc打开的就是当前用户的证书管理器，如果想打开本地计算机的证书管理器，需要用到mmc命令来添加，具体操作就不详述了，这个会放到CA系列里再讲。

我们到证书管理器里看有没有这个证书，用certmgr.msc打开，然后找到下列位置：

从指纹码上我们可以看到，这个就是刚才导入的根证书，我们导入根CA的证书链，里面就包含了根证书。

OK，根证书已导入完毕，我们来看看效果：

大家可以看到，安装了根证书后，第一个叹号就去掉了。

可能有网友会问，当前用户和本地计算机有什么区别呢？一句话，将证书导入到当前用户的根信任区域只能在此用户下得到信任，而导入到本地计算机则是针对本机的，所以是个应用范围大小的问题。

 

这个方法有一定的局限性，一般内网用的比较多，当然你也可以把证书申请页面发布出去，这样外网也可以直接导入了。

方法二：根证书导入法

 

获取根证书的方法有很多，这里只说一种，其余方法会在CA系列里详述。

我们可以直接到CA颁发机构里导出根证书。

在【运行】输入certsrv.msc，打开CA

右键CA名称，选择属性。

点击【Finish】即可完成证书的导出。

证书导出后，剩下的就是导入的操作了。

点击【运行】，输入mmc，打开控制台后

选择【文件】/【添加/删除管理单元】，然后依图所示

之后一直确定即可完成添加。

然后，如下图：

然后浏览到刚才保存的根证书文件，导入即可。

我们来看一下效果。

OK，这样第一个提示叹号的问题就解决了。

 

第二个提示：

         这个应该是最不容易出问题的了，如果当前时间在证书的有效期内，就没问题。这里只想和大家说一点，就是需要区分证书颁发机构的有效期和证书有效期。咋一看很相似，其实还是有一定区别的。不知道大家是否记得，在安装CA的时候，会提示让我们设置一个时间，如下图：

这个时间就是证书颁发机构的有效期，默认为5年，请注意企业根CA和独立根CA机构的默认期限均为5年。但所申请的证书，前者默认为2年，后者则默认为1年。

 

第三个提示：

        最后一个应该是老生常谈的问题了，论坛里也有不少解决办法，但都很零星，这里做个小结希望可以帮到大家。

        我们来举一个例子，这里我们来搭建一个SSL加密的网站环境。由于在SSL应用之二中已经有较详细的步骤说明，这里就只截取一些重要的图进行讲解，望见谅。

首先交代一下环境

计算机名称：DC01

CA机构名称:CA01

本机的一个IP：10.0.0.25

 

这里我们用上一篇文章的第二种方法为这个站点申请证书，如下图示：

请大家注意红色框里的内容，这里让我们输入的是这个证书的common name，也就是通用名。这个名称非常重要，因为在生成的证书的Issued to 后面的就是这里的通用名，默认为该计算机的名称。 请大家记住这里的ca01，后面会用的到。

这里不做修改，直接继续，后面的步骤省略。

申请完成后，证书就是这样的：

颁发的对象就是我们在common name 里填写的名称，是一模一样的。

OK，我们来试着访问一下。

我们先用 [url]https://10.0.0.25[/url] 来试一下，如下图：

大家可以看到，此时出现的这个提示，就告诉我们安全证书上的名称无效，或者与站点名称不匹配。

为什么会出现这个提示呢？？？？ 其实图中的提示已经说的很清楚了。

告诉你。你的安全证书上的名称无效、 或者是有效但是与站点名称不匹配。

其实，上图中所指的安全证书是的名称就是Issed to 后面的名称，即dc01

而站点名称又是什么呢？ 正是我们在地址栏里输入的名称，即10.0.0.25

显然，2个名称都有效，只是不匹配而已，那，如果我们都把这个名称写成一样的，是不是这个叹号就消失了呢？ 来试试吧

由于我的网卡上设置了2个IP，如果把地址栏里的改成 [url]https://dc01[/url]，这样肯定无法访问。所以我打算把证书的common name改成和地址栏里的一样，即把证书颁发给10.0.0.25。OK，开始做吧：

 

其余步骤省略，证书申请完后，查看到的属性如下图：

我们再来访问一下，还是以 [url]https://10.0.0.25[/url] 作为访问地址，来看一下访问结果：

OK，大家可以看到，此时不再提示名称不匹配，第三个提示的问题搞定了。

当然，生产环境下，一般不使用IP作为通用名称。

现在大家应该知道为什么你的站点 会有这个提示了吧，其实很简单，不是么。

说明：因为我的测试环境是装的英文系统，所以不少图都是英文的。还有些中文图，那是我在客户端上抓的，请见谅！