|
常见问题faq |
| 基础知识 |
1、什么是SSL?
答:Secure socket layer(SSL)协议最初由Netscape企业发展,现已成为网络用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装数字证书,或服务器证书就可以激活服务器功能了。 |
2、什么是服务器证书?
答:服务器证书一种可以让访问者利用网页浏览器来验证网站真实身份的数字证明,通过服务器证书客户端和服务端可以进行具有SSL加密的通讯过程。 |
3、服务器证书的价值
答:可能很多用户对证书的加密这一块非常在意,但是从安全的角度讲证书的公私钥一般是很难破解的。因为在用户的信息交互加密上是相对来说比较安全的,但是现在更多的网站会利用互联网许多的漏洞来做一些非法的交易。因此在认证网站的可信性上服务器证书是发挥了更大的作用,因此服务器证书不光是在技术上实现信息交互的加密更多的是在认证网站的可信性也是非常重要的。 |
4、服务器证书如何操作?
答:用户连接到你的Web站点,该Web站点受服务器证书所保护。(可由查看URL的开头是否为“https:”来进行辩识,或浏览器会提供你相关的信息)。
你的服务器进行响应,并自动传送你网站的数字证书给用户,用于鉴别你的网站。
用户的网页浏览器程序产生一把唯一的“会话钥匙码”,用以跟网站之间所有的通讯过程进行加密。
使用者的浏览器以网站的公钥对交谈钥匙码进行加密,以便只有让你的网站得以阅读此交谈钥匙码。
现在,具有安全性的通讯过程已经建立。这个过程仅需几秒中时间,且使用者不需进行任何动作。依不同的浏览器程序而定,使用者会看到一个钥匙的图标变得完整,或一个门栓的图标变成上锁的样子,用于表示目前的工作阶段具有安全性。 |
5、为什么选择128位强制加密?
答:40位强度的证书暴力破解耗费4小时,而对于128位证书破解需要一万亿年以上。128位强制型,在消费者登录安全页面时以技术手段强制消费者采用128位加密级别,以提升安全性,能很大程度上减少隐私信息外泄的可能,因此128位强制型证书在市场上倍受青睐。 |
6、谁需要换装最新的EV证书?
答:EV证书对金融机构、支付平台、购物平台、知名企业等网络交易频繁的网站作用更为显著。主流浏览器如IE7.0、Firefox
3等可无缝实现EV SSL服务器证书全部功能,当网民登陆配置了EV SSL证书的网页时,浏览器地址栏将会自动变为绿色,提示网站经过了高级别身份验证,并且地址栏上还会滚动出现网站身份信息及数字证书颁发机构的名称,帮助网民辨别网站真伪,能有效降低钓鱼欺诈网站对公司的安全威胁,提升公司品牌形象。 |
7、为什么要在网站上放置动态站点签章标志?
答:SSL证书客户将该标志放在网站上,可以时刻提醒在线用户,所有在线提交的数据信息正在受到高强度的加密传输保护,能最最大限度上提升网站可信度。 |
8、谁需要代码签名?
答:代码签名可以帮助软件使用者确认代码经数字签名后未被恶意修改,这就好比我们以前购买软件产品时通过检查外包装是否完好,从而判断软件光盘事前未被其他人调换。随着技术的发展,越来越多的代码程序通过网络分发和安装,这就要求有一种可靠的方法确保软件程序未被修改和破坏。VeriSign代码签名产品可以保护代码程序的完成可靠性,进而保护您的品牌价值。 |
9、如何获取代码签名证书?
答:为了获取代码签名证书,我司与VeriSign一起收集一些您公司信息以验证开发者的真实身份,这一过程需要1-3天的时间,这取决于您提供的信息是否准确。鉴证完成后,我们可以立即为您颁发您需要的代码签名证书品种。 |
| 业务相关 |
1、全球服务器证书适用于哪些Web服务器软件?
答:apache IIS resin jboss weblogic websphere tomcat orion
iplanet等。 |
2、证书更新流程是什么?
·签订合同
·支付更新费用
·提供鉴证资料
·等待处理(正常情况下为1-5个工作日)
·签发证书 |
3、鉴证资料包括哪些?
答:申请服务器证书包括:《营业执照》(副本)、《证书申请表》《域名使用授权信》等。
申请代码签名证书包括:《营业执照》、《电话帐单》等。 |
4、如何实现用户用访问http时自动跳转到https的访问地址?
答:实现网页的自动跳转有两种方式:
1、增加重定向到https
2、在页面中加入自动跳转代码。例如:<---< meta http-equiv="Refresh"
content="秒数; url=跳转的文件或地址">---> |
5、同一张服务器证书是否可以配置在多台服务器上?
答:不可以。Verisign的签署协议中禁止客户在多台服务器上配置同一张证书。如果做负载均衡是需要在每台物理服务器上都配置证书的,如果因为出现违反VeriSign关于负载均衡说明所引起的问题,我们是不负责任的。 |
6、多台服务器多个域名,该如何选购SSL证书?
答:一般来讲,一个网站(一个域名)对应一个SSL证书,因为SSL证书是绑定域名的。只有通配型证书和多域型证书才支持多个域名。
通配型证书适合于同一台物理服务器下的同一域名下的多个子域,如您在同一台物理服务器上有多个网站:
www.mydomain.com
secure.mydomain.com
pay.mydomain.com
login.mydomain.com
申请通配型SSL证书时填写的通用名称(Common Name)为:*.mydomain.com。
与通配型证书只支持子域不同的是,多域型SSL证书支持任何域名,不仅限于子域,如:domain.com、domain.cn、domain.com.cn、domain.net、domain.net.cn、mydomain.com、domain.us、domaina.com等等。不仅适合于有多个域名需要部署SSL证书的单位,更适合于虚拟主机服务提供商为不同单位的不同域名的网站部署SSL证书。
请注意:以上两种证书都使用于同一台物理服务器,如果您有多台物理服务器在使用同一个域名(负载均衡方式),则您需要为多台服务器购买多服务器许可证即可。 |
7、IIS下同一站点不允许同时提交多个请求
答:微软IIS 6.0中每一个站点只允许同时发出一个CSR请求。如果在已有的请求之上重新创建一个新的CSR请求,您的原始请求(和私钥)将被覆盖。
在正式提交CSR请求后,请不要对服务器做证书方面的配置,并可通过私钥备份,保存您的私钥文件。 |
8、服务器需要使用的是Pem格式的私钥和证书文件,该如何生成私钥和证书请求?
答:可以安装Openssl,使用Openssl来生成证书请求。请参考Apahce服务器证书CSR生成指南,在生成私钥文件时,只需要将私钥文件名的后缀定义成.pem就可。 |
| 故障解决 |
1、此网站出具的安全证书不是由受信任的证书颁发机构颁发的。
答:服务器正在使用的SSL证书,没有通过正式的CA颁发。通常是因为没有正确安装了证书,请再检查一下是否删除了原来的测试证书,如果网站使用的证书是正确的,请重新启动网站进程。 |
2、此网站出具的安全证书已过期或还未生效。
答:这个标识网站使用的证书已经过期,请先检查网站证书的有效期,如果网站证书有效期在本日以后,则请检查本地电脑的日期设置,是否正确。 |
3、此网站出具的安全证书是为其他网站地址颁发的。
答:一个SSL证书所对应的域名是一个全域名FQDN(Fully Qualified Domain Name),如果证书中的域名是www.domain.com,则通过其他相近的域名:web.domain.com,app.domain.com,domain.com,系统都会报告和证书中的域名不匹配。 |
4、我访问网站看到的证书不是我安装的那张。
答:请检查,在服务器上相同的IP和相同的端口上,只安装了一张证书,SSL协议之允许一个IP上一个端口返回一张证书。要解决这个问题,可以通过分配不同的端口号,或者不同的IP地址来解决这个问题。 |
5、本页面包含有不安全的内容。
答:如果一个页面需要通过HTTPS访问被访问,则其中所有的元素都必须是HTTPS方式,如果有:图片、JS脚本,FLASH插件是通过HTTP方式去调用的,就会出现这个错误,最常见的,就是调用flash播放插件:codebase='http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab',将http改成HTTPS即可。 |
6、注册试用服务器证书时,注册信息报错9511,是何含义?
答:9511是指生成CSR时填写了非法字符――不能填写中文,而只能是中文的拼音。 |
7、部分客户端访问IIS服务器时,证书链中的中级证书过期怎么办?
答:这种情况通常发生在IIS服务器上。导致该问题的原因是服务器上存在多张可提供信任关系的中级证书,且其中有已过期的中间级证书。
如果客户端PC系统中证书存储区没有新的中级证书而只有已经过期版本的中级证书的话,客户端浏览器不会主动从服务器上下载新的中级证书文件,而只通过已过期的中级证书去验证服务器证书的有效性。导致客户端报中间级证书已过期错误。
解决方法:删除服务器上计算机账户中“中级证书颁发机构”里已过期的证书,并更新最新的中级证书文件,强制客户端下载最新的证书链文件,使客户端只能通过一条最新的证书链来验证服务器证书的有效性。 |
8、收到证书批准邮件后,从邮件中提取的证书安装失败,无法安装?
·保存下来的服务器证书文件中,文件代码前后可能有空格或其他无效字符。或者没有将证书头和尾部起始代码包含进来。在Windows环境下,双击尝试打开该证书文件,检查是否能够查看证书信息。
·原始请求被删除或被新的请求覆盖,私钥丢失。需要吊销替换,重新生成证书文件。
·私钥管理权限不足,使用管理员权限登陆,并赋予私钥的管理权限。 |
9、在Apache上配置EV
SSL服务器证书,但EV SSL服务器证书有两张中级证书,在Apache配置文件中出现两个引用中级证书语句时,启动失败。
答:Apache下,需要将两张中级证书打包成一个证书文件。打包方式:用记事本等文本编辑器打开两张中级证书文件,分别复制证书代码,粘贴到一个记事本文档中。并将该文件配置到Apapche配置文件中SSLCertificateChainFile路径下。 |
|
|
|
