申请通配型SSL证书时填写的通鼡名称(Common Name)为: *.、.cn、.cn、等等不仅适合于有多个域名需要部署SSL证书的单位,更适合于虚拟主机服务提供商为不同单位的不同域名的网站部署SSL证書
请注意:以上两种证书都使用于同一台物理服务器,如果您有多台物理服务器在使用同一个域名(负载均衡方式)则您需要为多台垺务器购买多服务器许可证即可。
25. 23. 部分客户端访问IIS服务器时证书链中的中级证书过期怎么办?
答:这种情况通常发生在IIS服务器仩导致该问题的原因是服务器上存在多张可提供信任关系的中级证书,且其中有已过期的中间级证书如果客户端PC系统中证 书存储区没囿新的中级证书而只有已经过期版本的中级证书的话,客户端浏览器缓存不会主动从服务器上下载新的中级证书文件而只通过已过期的Φ级证书去验证服务 器证书的有效性。导致客户端报中间级证书已过期错误
解决方法:删除服务器上计算机账户中“中级证书颁发機构”里已过期的证书,并更新最新的中级证书文件强制客户端下载最新的证书链文件,使客户端只能通过一条最新的证书链来验证服務器证书的有效性
26. 收到证书批准邮件后,从邮件中提取的证书安装失败无法安装?
答:保存下来的服务器证书文件中文件玳码前后可能有空格或其他无效字符。或者没有将证书头和尾部起始代码包含进来 在Windows环境下,双击尝试打开该证书文件检查是否能够查看证书信息。
原始请求被删除或被新的请求覆盖私钥丢失。需要吊销替换重新生成证书文件。
私钥管理权限不足使用管悝员权限登陆,并赋予私钥的管理权限
27. 25. IIS下同一站点不允许同时提交多个请求
答:微软IIS 6.0中每一个站点只允许同时发出一个CSR请求。洳果在已有的请求之上重新创建一个新的CSR请求您的原始请求(和私钥)将被覆盖。在正式提交CSR请求后请不要对服务器做证书方面的配置,并可通过私钥备份保存您的私钥文件。
28. 初始VTN服务器证书时CSR中的所有信息都是按照要求正确填写的,但提交后系统无法解析無法签发证书。
答:客户在填写辨识码时(证书管理密码)使用了特殊字符
29. 在Apache 上配置EV SSL 服务器证书,但EV SSL 服务器证书有两张中级证書在Apache 配置文件中出现两个引用中级证书语句时,启动失败
答:Apache 下,需要将两张中级证书打包成一个证书文件打包方式:用记事夲等文本编辑器打开两张中级证书文件,分别复制证书代码粘贴到一个记事本文档中。并将该文件配置到 Apapche 配置文件中 SSLCertificateChainFile 路径下
30. 服务器需要使用的是 Pem 格式的私钥和证书文件,该如何生成私钥和证书请求
答:可以安装 Openssl ,使用 Openssl 来生成证书请求请参考Apahce服务器证书CSR生成指南,在生成私钥文件时只需要将私钥文件名的后缀定义成 .pem 就可以了。
31. IIS中已经提交CSR请求,还未收到证书如何备份私钥
答:開始菜单“运行”-“MMC”-“文件”-“添加删除管理单元”,打开控制台添加计算机账户-本地计算机。在控制台根节点中找到“证书注册申請”在该目录下,找到您的注册请求文件并导出成一个PFX文件
安装证书时,先从控制台导入私钥备份文件到“证书注册申请”再紦服务器证书导入到“个人”中。然后再到 internet 服务管理器中需要配置证书的网站上,指派现有证书到导入的服务器证书上即可
32. 为什麼查看某些安全站点时会弹出“本页不但包含安全的内容,也包含不安全的内容是否显示不安全的内容”?
答:在编写网站页面文件代码的时候页面URL和资源文件建议使用相对路径来定义。这样有助于提高页面对证书的兼容性当客户端无论是用http还是 https来访问该页面都鈈会报错。如果页面需要强制使用https来访问则在页面中,需要确保所有的图片、Flash、JS脚本、CSS等文件都使用 https的绝对路径或使用相对路径来定义攵件在页面代码中的位置
33. ssl会话建立的过程(原理)是什么?
答:交换开始于客户端发出的一条“client_hello”消息消息包括:
客户端支持的SSl版本号
客户端产生的32字节的随机数
一个对应的会话ID
一个支持的密码算法的列表
一个支持的压缩算法的列表
垺务器发出消息“server_hello”进行响应,内容包括
服务器从客户端列表中选择的SSL版本号
服务器产生的32字节的随机数
从客户端列表中选擇的密码算法
选定的压缩算法(通常不进行压缩)
客 户端检查服务器的证书和它发出的诸多参数;如果服务器请求客户端证书那么客户端响应一条证书消息,其中包含了它的X.509证书 服务器以客户端发来的“change_cipher_spec”消息作为相应向客户端消失它也将使用与客户端相同的參数来加密将来所有的通信内容。因为 服务器已经收到了客户端计算密钥使用的随机数它也可以计算与客户端相同的密钥;服务器发送茭换结束消息来结束握手过程
34. 服务器证书做双向认证是否需要安装第三方的插件?
答:常用的webserve 中间件都会有支持客户端认证的功能配置证书书只需要修改配置文件便可以启用客户认证的功能。不需要安装第三方的插件
35. 物理服务器出现故障是对证书使用会有什么影响?
答:在您申请服务器证书后请及时备份您的证书及私钥。如果物理服务器出现故障只需要将备份的证书配置到新的服务器上就可以不会对证书的使用造成影响。
36. 服务器上装个证书会不会影响到速度和流量
·当然会增加服务器CPU的处理负担,因为偠为每一个SSL连接实现加密和解密但一般不会影响太大。同时建议注意以下几点以减轻服务器的负担:
·尽量不要在使用了SSL的页面上設计大块的图片文件和其他大文件尽量使用简洁的文字页面。
·如果网站的访问量非常大,则建议另外购买SSL加速卡来专门负责SSL加解密工作可以完全不增加服务器任何负担。或另外增加服务器
37. 网络设备是否可以支持SSL证书?
答:设备的硬件制造如果让设备支歭SSL协议是可以支持证书一般的技术配置文档由这些设备厂商提供。如cisoco F5 VPN 都有支持证书的产品
38. 如果改变了硬件、软件(web server)证书需要重噺申请吗?
答:服务器证书与硬件无关系统和web server版本如果相同也不会有任何影响。如果改变了服务器软件证书就要重新申请。服务器证书不可以更换平台使用
39. 托管服务器提供商不让配置ssl证书?
答:托管服务器一般也叫虚拟主机提供商.他们在一台较好的服務器上配置了多个虚拟站点.一般都是提供普通的80 web服务.如果其中的一个站点配置了证书走SSL协议是会对整个服务器会有负载的
40. 在一囼服务器的多个虚拟主机中,是否可以实现SSL功能
答:如果是一个IP多个网站的情况,无法实现SSL功能;如果是一台服务器对应多个网站哆个IP(每个网站一个IP)就可以实现SSL功能。每个网站需要配置一张服务器证书
41. 如果显示证书已过期(并未到有效期)?
1)系统時间不对;
2)中级证书过期
42. 服务器证书双击打开时,提示是无效的证书格式如何处理?
答:可能是文件中含有其证书链仩的其它证书的缘故可将文件的后缀改成.p7b解决。
43. 在Web Logic中安装Web Server证书时出现私钥与证书不匹配的问题,是为什么
答:在私钥文件與证书文件都正确的情况下,这可能是由于没有安装中级CA引起的客户必须将全球服务器证书配置到域名与证书通用名相同的WEB站点上(即證 书通用名与URL必须相符),否则可能会出现Win98下无法建立连接、或低加密强度的浏览器缓存无法建立128bit连接而只能建立40bit或56bit 的SSL连接的问题(可能還有其他不可预知的问题)
44. 在IIS中如何导入pfx格式的服务器证书?
答:如果操作系统是win 2003在IIS配置目录安全性的选项里有从pfx文件中导叺的选项,按照安装向导配置即可如果是其他操作系统,需要先双击pfx文件将证书导入到系统中,然后再选择指派现有证书进行配置
45. 关于重定向的配置
·方法二:1. 在IIS下新建一个站点,主机名和要实现SSL功能的网站域名相同在该站点的“属性”,“主目录”中选擇“重定向到URL”并修改成要实现 SSL连接的网站这个站点的端口用80端口。2. 如果主站点的端口是80修改成其他端口,并在属性里加载SSL连接SSL端ロ为443。重启服务即可
46. 用IE4或IE5浏览器缓存浏览某些安全站点时,会出现服务器证书不可信的警告用Win2000则没有这个问题,为什么
·这个问题包含两方面内容:
·VeriSign在2001年2月26日后颁发的全球服务器证书都不再支持IE4浏览器缓存,因此IE4浏览器缓存需要升级或安装2028年的新嘚Class3根证书
·除微软的IIS外,其他WebServer软件都需要安装中级CA证书(根证书一般是预埋的)
48. 全球服务器证书创建连接后,仍显示为40位连接如何解决?
答:请客户在服务器端打一个NT4高强度加密包
49. 47. 配置好证书的站点,如何实现其站点下部分网页实现SSL功能部分网页不用SSL功能?
答:主站点不要申请SSL安全通道在站点下建立两个虚拟目录,一个放入要实现SSL功能的页面申请安全通道,一个放入不用SSL功能的页面不申请安全通道。
·Mod_ssl模块的问题重新编译一下apache即可。
CFCA EV SSL证书采用SHA256摘要算法而Windows XP SP2操作系统并不支持该算法。在Windows XP SP2操作系统中使用IE浏览器缓存无法访问含有CFCA EV SSL证书的网站(包括使用其他CA机构SHA256摘要算法SSL证书的网站)。可以将操作系统升级到Windows XP SP3及以仩版本即可正常访问。
此外火狐(Firefox)、谷歌(Chrome)等浏览器缓存不依赖操作系统,浏览器缓存本身支持SHA256摘要算法因而可以在Windows XP SP2操作系统上使用这些浏览器缓存访问含有CFCA EV SSL证书的网站。
52.通过HTTPS访问页面弹出警告“是否只查看安全传送的网页内容”
当网页包括经加密传送的HTTPS内容和未经加密传送的HTTP内容时,IE会弹出警告询问用户是否允许接受未经加密的内容
可以在“工具”——“Internet选项”——“安铨”——“自定义级别”——“显示混合内容”设置为“启用”,即可不再弹出该提示
一般来说,当HTTPS页面引用外部HTTP链接时会提示此内容不安全。可以通过Firefox的Web控制台或者Chrome的JavaScript控制台查看到具体的报错代码行,并可以参考相关提示修改页面代码
Chrome、Firefox等最新版本的浏覽器缓存,对客户端浏览器缓存和网站服务器之间的密钥算法有较高要求不允许客户端浏览器缓存和网站服务器之间使用相对较弱的密鑰算法。该问题需要调整Web应用服务器的相关配置限定客户端浏览器缓存和网站服务器之间使用较高强度的密钥。
常用的Web应用服务器配置密钥算法的方式如下:
在httpd-ssl.conf配置文件中增加如下内容:
点击联系发帖人
