我申请SSL证书时应该使用哪个域名申请
假设您的网站为: www.domain.com ,有一个用户登录页面,如: http://www.domain.com/login.asp ,需要申请SSL证书确保用户输入用户名 / 密码时安全 ( 不会在传输过程中被非法窃取 ) ,同时有一个用户登录的信息管理页面:如: http://www.domain.com/oa/manage.asp ,也希望使用SSL证书来确保内部管理系统中的机密信息安全。并假设网站同时支持 http://www.domain.com 和 http://domain.com 访问。那到底是使用域名 www.domain.com 还是使用 domain..com 来申请SSL证书呢?
先以 Windows 2000 Server 的 IIS 为例,解释一些基本概念,如下图示为 IIS 的“目录安全性” —“ 安全通信 ” – “编辑”属性设置页面:
假设您申请 SSL证书使用域名: www.domain.com ,而且您在安装 SSL 证书时选中“申请安全通道 SSL ”,则用户访问您的网站时必须使用: https://www.domain.com ,如果直接使用 www.domain.com ,则浏览器会提示:“ 该网页必须通过安全频道查看, 您要查看的网页要求在地址中使用“ https” ” , 这样就不方便用户的使用。建议您不选“ 申请安全通道SSL ”,但这并不意味着服务器上,只要您安装时在“ Web 站点配置”中已经设置“ SSL 端口”为 443 即可。这样,用户使用 www.domain.com 就可以正常访问了,也可以使用 https://www.domain.com 访问。您在设计网站的首页时只需要在用户登录页面链接由原来的 http://www.domain.com/login.asp 改为 https://www.domain.com/login.asp 就可以了,原来的 http://www.domain.com/oa/manage.asp 改为 https://www.domain.com/oa/manage.asp 即可自动实现机密信息的加密传输。
而如果您使用 domain.com申请SSL 证书,则需要把有关链接修改为:https://domain.com/login.asp 和 https://domain.com/oa/manage.asp 。
对于访问量较大的网站,我们推荐为需要使用 SSL证书的页面设置一个独立的 Web 服务器 (http server) ,使用一个独立的域名来申请 SSL证书,如: secure.domain.com 或 ssl.domain.com ,并在安装 SSL 证书时选中“申请安全通道 SSL ”来强制使用 SSL ,同时修改需要 SSL 加密的页面,如原用户登录页面:http://www.domain.com/login.asp 改为https://secure.domain.com/login.asp 。
请注意: https:// 的使用是一定要与申请 SSL 证书时使用的域名一致的,否则会出现警告“安全证书上的名称无效,或者与站点名称不匹配”,请您根据您的网站的具体情况使用合适的域名来申请 SSL 证书。
顺便在此解释一下上图中其他可选属性:
(1) 选中“ 申请 128 位加密 ”,就是强制要求提供 128 位的加密,则没有升级的 IE5.0 浏览器由于只支持 56 位加密而无法访问您的网站,所以,考虑到用户可能会使用仅支持 56 位加密的浏览器,建议不选择此项, GeoTrust SSL 证书是 128 位的,是可以自动向下兼容的,所以,如果用户是使用支持 56 位加密的浏览器,则浏览器在与服务器通信时会自动降到 56 位,但如果用户是使用支持 128 位加密的浏览器,则浏览器在与服务器通信时会自动使用 128 位加密。如果您认为您的网站上的信息一定要采用 128 位高强度的加密,则选中“申请 128 位加密”, 系统会提示使用 56 位加密浏览器的用户会升级其浏览器。
(2) 在“客户证书”一栏,一般为“忽略客户证书”,也就是说, 服务器不进行客户端数字证书的验证,即无须提供客户端证书就允许用户访问此 WEB 站点; 如果设置为 “接收客户证书” ,则表示此网站既 接收 用户提供其客户端数字证书来用于身份认证,也可以不使用。如下图示,让用户选择其 客户端单位数字证书 :
但如果用户没有 客户端单位数字证书也可以点击“取消”则也可以进入网站。此设置适合于需要用户使用客户端单位数字证书进行身份认证,但考虑到有些用户还没有客户端单位数字证书,则使用客户端单位数字证书认证失败后进入原来的基于用户名 / 密码方式的身份认证页面。
如果设置为“申请客户证书” ( “要求客户证书” ) ,则表示 此网站 必须 使用用户的客户端数字证书用于身份认证,也会出现以上提示框,如果用户没有 客户端单位数字证书而选择“取消”则不能进入网站,系统会提示:“网页要求客户证书,您要查看的网页要求使用客户证书”。此设置适合于一定要使用 客户端数字证书用于强身份认证的网站。
(3) “启动客户证书映射”则是指把 客户端单位数字证书作为身份认证并 映射到 Windows 的某个帐户上,即映射将客户端证书中包含的信息与 Windows 用户帐户信息进行匹配,对访问权限加以控制,等同于用户使用某个 Windows 帐户登录后的权限来使用 Windows 2000 Server 上的资源。
(4) 若选中“启用证书信任列表”,则需把颁发此客户端证书的 CA 根证书的信任列表加入选框中,只有此 CA 签发的客户端证书,且在有效期内才能通过验证,登录 WEB 站点;若不选中“启用证书信任列表”,则对客户端证书的颁发机构 (CA) 无特定要求,只要客户端证书有效,即可登录 WEB 站点。