第四步：对我们的网站做测试

　给网站添加一个"default.aspx"网页，然后在浏览器里输入https://localhost/default.aspx来试着访问该页，注意这里"https"（而不是"http"）的用法，表示你要通过SSL来连接。

　如果你使用IE7，你会看到这个谨防欺诈（anti-phishing）的错误信息：（图10）

　如果这发生的话，别怕，这只不过是IE想帮你，向你表明你本地机器的自签证书看上去有点可疑。点击"继续连接这个网站(Continuetothiswebsite)"链接跳过这个安全警告，继续连接到该网站上。你会发现你的default.aspx网页现在是在SSL保护下运行的：（图11）

　至此，全部完成！

　最后，几个涉及SSL的注意事项：

　"IIS7.0管理工具有个"SSL设置（SSLSettings）"节点，你可以针对每个网站，目录或者文件来做选择，这允许你控制特定的资源执行时是否需要SSL请求。这对login.aspx这样的网页来说很有用，因为你要保证只有在加过密的通道上提交信息时，用户才能输入他们的身份信息。假如你配置login.asp需要SSL的话，IIS7.0就会堵截浏览器的访问，除非是通过SSL来访问的。

　"在ASP.NET网页或处理器(handler)里，你可以通过检查Request.IsSecure属性，用编程的手法检查当前请求是否使用了SSL(假如进来的浏览器请求是通过SSL的，该属性会返回true)。

　"你可以设置web.config文件中的<forms>配置部分的"requireSSL"属性，要求ASP.NET的表单认证系统确保表单认证cookie只有在启用了SSL的网页和URLs上才可以设置和使用。这避免了黑客在不受SSL保护的网页上试着拦截认证cookie，然后试着从另外的机器上使用"重放攻击(ReplayAttack)"来冒充用户的危险。