如果是公司的入口網站、購物或會員網站、電子郵件伺服器登入頁面等,只要是需要客戶或使用者輸入帳號、密碼或信用卡資料…等的機密、敏感資料的話,我們就可以考慮使用 SSL 憑證了。因為 SSL (Secure Socket Layer) 協定可以保證網站的機密敏感訊息從使用者瀏覽器到伺服器之間的傳輸受到高強度加密保障,較無法被駭客非法竊取、窺視及篡改,也能辨別網站之網域名稱確實為憑證申請者擁有,網站較不會被偽造或仿冒。
一般要採用 SSL 加密機制是需要有效的憑證。而這個憑證通常是公認憑證機構(例如: Symantec SSL(前身為 Verisign)、GoDaddy、中華電信通用憑證管理中心等)為自己的網站簽發一個二級或三級憑證。其實我們在企業內部可以使用免費的內部企業憑證就足夠了,一般都是使用在 mail 或是網頁方面。以下就以 Windows Server 內建的 IIS 網頁伺服器向企業內部申請二級憑證為例!
1.請依照下圖依序展開樹系,並點選 IIS 的「伺服器憑證」:
2.請點選「建立憑證要求」:
3.請輸入您的公司資訊,以建立相關的憑證。然後會產生一個 .txt 的記事本檔案,這是根憑證所產生的加密金鑰:
4.在 IIS 伺服器上以瀏覽器開啟根憑證的主機網頁,向根憑證伺服器申請子憑證。這個步驟請點選「要求憑證」:
5.接著請點選「進階憑證要求」:
6.請再點選「用 Base-64 編碼的 CMC 或 PKCS #10 檔案來提交憑證要求,或用 Base-64 編碼的 PKCS #7 檔案提交更新要求。」:
7.找到並開啟第三步所申請到的 .txt 加密金鑰檔案後請全部複製:
8.請將金鑰複製到下圖1的位址,並選擇「網頁伺服器」後再點選「提交」:
9.請再點選「下載憑證」:
10.請點選「完成憑證要求…」,然後在 https 綁定新申請的憑證:
11.也不要忘記開啟網頁需要 SSL 的協定:
12.最後再以客戶端的瀏覽器後開啟 https 進行測試,沒有憑證錯誤的提示訊息,表示憑證是可用且正常且是未過期的:
另外,憑證通常也會簽署在安裝程式、驅動程式,讓使用者方便辨識這個應用程式是否有被修改過。雖然數位簽章曾經被偽造,無法保證100%的絕對安全,但還是有高度的安全性可以信賴:
沒有留言:
張貼留言