使用SSL加密，需要证书，主要包括：

• CA证书
• 自签名证书

CA证书

CA是证书的签发机构，它是公钥基础设施（Public Key Infrastructure，PKI）的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。

CA 拥有一个证书（内含公钥和私钥）。网上的公众用户通过验证 CA 的签字从而信任 CA ，任何人都可以得到 CA 的证书（含公钥），用以验证它所签发的证书。

如果用户想得到一份属于自己的证书，他应先向 CA 提出申请。在 CA 判明申请者的身份后，便为他分配一个公钥，并且 CA 将该公钥与申请者的身份信息绑在一起，并为之签字后，便形成证书发给申请者。

如果一个用户想鉴别另一个证书的真伪，他就用 CA 的公钥对那个证书上的签字进行验证，一旦验证通过，该证书就被认为是有效的。证书实际是由证书签证机关（CA）签发的对用户的公钥的认证。

证书的内容包括：电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。证书的格式和验证方法普遍遵循X.509 国际标准。

证书原理

数字证书在用户公钥后附加了用户信息及CA的签名。公钥是密钥对的一部分，另一部分是私钥。公钥公之于众，谁都可以使用。私钥只有自己知道。由公钥加密的信息只能由与之相对应的私钥解密。为确保只有某个人才能阅读自己的信件，发送者要用收件人的公钥加密信件；收件人便可用自己的私钥解密信件。同样，为证实发件人的身份，发送者要用自己的私钥对信件进行签名；收件人可使用发送者的公钥对签名进行验证，以确认发送者的身份。

在线交易中您可使用数字证书验证对方身份。用数字证书加密信息，可以确保只有接收者才能解密、阅读原文，信息在传递过程中的保密性和完整性。有了数字证书网上安全才得以实现，电子邮件、在线交易和信用卡购物的安全才能得到保证。

证书作用

保密性 - 只有收件人才能阅读信息。

认证性 - 确认信息发送者的身份。

完整性 - 信息在传递过程中不会被篡改。

不可抵赖性 - 发送者不能否认已发送的信息。

保证请求者与服务者的数据交换的安全性。

自签名证书

摘自：

https://baijiahao.baidu.com/s?id=1714030675299741216&wfr=spider&for=pc

自签名证书是由不受信的CA机构颁发的数字证书，也就是自己签发的证书。与受信任的CA签发的传统数字证书不同，自签名证书是由一些公司或软件开发商创建、颁发和签名的。虽然自签名证书使用的是与X.509证书相同的加密密钥对架构，但是却缺少受信任第三方（如Sectigo）的验证。在颁发过程中缺乏独立验证会产生额外的风险，这就是为什么对于面向公众的网站和应用程序来说，自签名证书是不安全的。

自签名证书有什么优势？

虽然使用自签名证书有风险，但也有其用途。主要优势是：

免费。自签名证书是免费提供的，任何开发人员都可以申请。

随时签发。自签名证书可以随时随地签发，不用等待第三方证书颁发机构的验证和签发。

加密。自签名SSL证书使用与其他付费SSL/TLS证书相同的方法加密传输数据。

方便。自签名证书不会在一段时间后过期或需要续订，但CA颁发的证书却会在一段时间后过期，还需要续订。

虽然自签名证书看起来很方便，但这也是这些证书的主要问题之一，因为它们无法满足针对发现的漏洞进行安全更新，也不能满足当今现代企业安全所需的证书敏捷性。因此，很少人使用自签名SSL证书。此外，自签名证书无法撤销证书，如果证书被遗忘或保留在恶意行为者开放的系统上，则会暴露所使用的加密方法。不幸的是，即便如此，一些 IT 部门认为，证书颁发机构颁发的证书的成本超过了降低额外验证和漏洞支持的风险。

自签名证书有什么缺陷？

不受浏览器信任，易丢失用户。

每当用户访问使用自签名证书的站点时，他们会收到“不安全”警告，显示诸如“error_self_signed_cert”或“err_cert_authority_invalid”之类的错误，要求用户确认他们愿意承担风险继续浏览。这些警告会给网站访问者带来恐惧和不安，用户会认为该网站已被入侵，无法保护他们的数据，最后选择放弃浏览该站点转而访问不会提示安全警告的竞争对手网站。另外，不受浏览器信任的自签名证书，地址栏不会显示安全锁和HTTPS协议头。下图为SSL证书在浏览器地址栏中的状态显示，左边为自签名SSL证书，右边为受信CA颁发的SSL证书：

不安全

由于自签名证书支持超长有效期，因此也无法在发现新的漏洞后进行安全更新，容易受到中间人攻击破解。自签名SSL证书没有可访问的吊销列表，也容易被黑客伪造、假冒网站利用，不能满足当前的安全策略，存在诸多的不安全隐患。

创建自签名证书

进入IIS主页，点击IIS下的服务器证书

进入服务器证书页面后，可以看到本电脑所有证书，其中包括IIS Express Development Certificate

服务器证书右侧操作栏有创建证书申请，这个是申请正式版的CA证书的，具体的流程比较复杂，参考页面：https://blog.csdn.net/gworgcom/article/details/114528134，有详细的说明，还需要完成验证过程并从颁发的证书颁发机构（CA）接收受信任的 SSL 证书，暂时不使用这个。

选择操作创建自签名证书，设置好名称，这个简单。。。

应用自签名证书

进入win10 IIS FTPTest主页，选择FTP SSL设置页面，选择刚才创建的自签名证书，应用

打开FileZilla Client，输入用户名和密码

弹出未知证书，颁发者是自签名的，确定，连接成功