SSL的工作流程简介

SSL 的工作流程简介：1：客户端的浏览器向服务器传送客户端 SSL 协议的版本号，加密算法的种类，产生的随机数，以及其他服务器和客户端之间通讯所需要的各种信息。2：服务器向客户端传送 SSL 协议的

SSL 的工作流程简介：

1：客户端的浏览器向服务器传送客户端 SSL 协议的版本号，加密算法的种类，产生的随机数，以及其他服务器和客户端之间通讯所需要的各种信息。

2：服务器向客户端传送 SSL 协议的版本号，加密算法的种类，随机数以及其他相关信息，同时服务器还将向客户端传送自己的证书。

3：客户利用服务器传过来的信息验证服务器的合法性，服务器的合法性包括：证书是否过期，发行服务器证书的 CA 是否可靠，发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”，服务器证书上的域名是否和服务器的实际域名相匹配。如果合法性验证没有通过，通讯将断开；如果合法性验证通过，将继续进行第四步。

4：用户端随机产生一个用于后面通讯的“对称密码”，然后用服务器的公钥（服务器的公钥从步骤②中的服务器的证书中获得）对其加密，然后将加密后的“预主密码”传给服务器。 5：如果服务器要求客户的身份认证（在握手过程中为可选），用户可以建立一个随机数然后对其进行数据签名，将这个含有签名的随机数和客户自己的证书以及加密过的“预主密码”一起传给服务器。

6：如果服务器要求客户的身份认证，服务器必须检验客户证书和签名随机数的合法性，具体的合法性验证过程包括：客户的证书使用日期是否有效，为客户提供证书的CA 是否可靠，发行CA 的公钥能否正确解开客户证书的发行 CA 的数字签名，检查客户的证书是否在证书废止列表（CRL ）中。检验如果没有通过，通讯立刻中断；如果验证通过，服务器将用自己的私钥解开加密的“预主密码”，然后执行一系列步骤来产生主通讯密码（客户端也将通过同样的方法产生相同的主通讯密码）。

7：服务器和客户端用相同的主密码即“通话密码”，一个对称密钥用于 SSL 协议的安全数据通讯的加解密通讯。同时在 SSL 通讯过程中还要完成数据通讯的完整性，防止数据通讯中的任何变化。

8：客户端向服务器端发出信息，指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥，同时通知服务器客户端的握手过程结束。

9：服务器向客户端发出信息，指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥，同时通知客户端服务器端的握手过程结束。

10：SSL 的握手部分结束，SSL 安全通道的数据通讯开始，客户和服务器开始使用相同的对称密钥进行数据通讯，同时进行通讯完整性的检验。

添加IIS 组件：

点击‘确定’，安装完毕后，查看IIS 管理器，如下：

添加”证书服务“组件

如果您的机器没有安装活动目录，在勾选以上‘证书服务’时，将弹出如下窗口：

由于我们将要安装的是独立CA ，所以不需要安装活动目录，点击‘是’，窗口跳向如下：

默认情况下，‘用自定义设置生成密钥对和CA 证书’没有勾选，我们勾选之后点击‘下一步’可以进行密钥算法的选择：

Microsoft 证书服务的默认CSP 为：Microsoft Strong Cryptographic Provider，默认散列算法：SHA-1，密钥长度：2048——您可以根据需要做相应的选择，这里我们使用默认。点击‘下一步’：

填写CA 的公用名称（以AAAAA 为例），其他信息（如邮件、单位、部门等）可在‘可分辨名

称后缀’中添加，有效期限默认为5年（可根据需要作相应改动，此处默认）。

点击‘下一步’

点击‘下一步’进入组件的安装，安装过程中可能弹出如下窗口：

单击‘是’，继续安装，可能再弹出如下窗口：

由于安装证书服务的时候系统会自动在IIS 中（这也是为什么必须先安装IIS 的原因）添加证书申请服务，该服务系统用ASP 写就，所以必须为IIS 启用ASP 功能，点击‘是’继续安装：

‘完成’证书服务的安装。

开始 --》 管理工具 --》 证书颁发机构，打开如下窗口：

我们已经为服务器成功配置完公用名为AAAAA 的独立根CA ，Web 服务器和客户端可以通过访问该服务器的IIS 证书申请服务申请相关证书。

此时该服务器（CA ）的IIS 下多出以下几项：

我们可以通过在浏览器中输入以下网址进行数字证书的申请： http://hostname/certsrv或http://hostip/certsrv 申请界面如下：