SSL证书配置常见问题
1、如何实现用户用访问http时自动跳转到https的访问地址?
答:实现网页的自动跳转有两种方式:
1)增加重定向到https
2)在页面中加入自动跳转代码。例如:<---< meta http-equiv="Refresh" content="秒数; url=跳转的文件或地址">--->
2、同一张服务器证书是否可以配置在多台服务器上?
答:不可以。Verisign的签署协议中禁止客户在多台服务器上配置同一张证书。如果做负载均衡是需要在每台物理服务器上都配置证书的.如果因为出现违反VeriSign关于负载均衡说明所引起的问题.我们是不负责任的.
3、多台服务器多个域名,该如何选购SSL证书?
一般来讲,一个网站(一个域名)对应一个SSL证书,因为SSL证书是绑定域名的。只有通配型证书和多域型证书才支持多个域名。
通配型证书适合于同一台物理服务器下的同一域名下的多个子域,如您在同一台物理服务器上有多个网站:
www.longming.com
secure.longming.com
pay.longming.com
login.longming.com
申请通配型SSL证书时填写的通用名称(Common Name)为: *.longming.com。
与通配型证书只支持子域不同的是,多域型SSL证书支持任何域名,不仅限于子域,如:
longming.com、longming.cn、longming.com.cn、longming.net、longming.net.cn、longming.us等等。不仅适合于有多个域名需要部署SSL证书的单位,更适合于虚拟主机服务提供商为不同单位的不同域名的网站部署SSL证书。
请注意:以上两种证书都使用于同一台物理服务器,如果您有多台物理服务器在使用同一个域名(负载均衡方式),则您需要为多台服务器购买多服务器许可证即可。
4、部分客户端访问IIS服务器时,证书链中的中级证书过期怎么办?
这种情况通常发生在IIS服务器上。导致该问题的原因是服务器上存在多张可提供信任关系的中级证书,且其中有已过期的中间级证书。
如果客户端PC系统中证书存储区没有新的中级证书而只有已经过期版本的中级证书的话,客户端浏览器不会主动从服务器上下载新的中级证书文件,而只通过已过期的中级证书去验证服务器证书的有效性。导致客户端报中间级证书已过期错误。
解决方法:删除服务器上计算机账户中“中级证书颁发机构”里已过期的证书,并更新最新的中级证书文件,强制客户端下载最新的证书链文件,使客户端只能通过一条最新的证书链来验证服务器证书的有效性。
5、收到证书批准邮件后,从邮件中提取的证书安装失败,无法安装?
1.保存下来的服务器证书文件中,文件代码前后可能有空格或其他无效字符。或者没有将证书头和尾部起始代码包含进来。在Windows环境下,双击尝试打开该证书文件,检查是否能够查看证书信息。
2.原始请求被删除或被新的请求覆盖,私钥丢失。需要吊销替换,重新生成证书文件。
3.私钥管理权限不足,使用管理员权限登陆,并赋予私钥的管理权限。
6、IIS下同一站点不允许同时提交多个请求
微软IIS 6.0中每一个站点只允许同时发出一个CSR请求。如果在已有的请求之上重新创建一个新的CSR请求,您的原始请求(和私钥)将被覆盖。
在正式提交CSR请求后,请不要对服务器做证书方面的配置,并可通过私钥备份,保存您的私钥文件。
7、初始VTN服务器证书时,CSR中的所有信息都是按照要求正确填写的,但提交后系统无法解析,无法签发证书。
答:客户在填写辨识码时(证书管理密码)使用了特殊字符。
8、在Apache 上配置EV SSL 服务器证书,但EV SSL 服务器证书有两张中级证书,在Apache 配置文件中出现两个引用中级证书语句时,启动失败。
Apache 下,需要将两张中级证书打包成一个证书文件。打包方式:用记事本等文本编辑器打开两张中级证书文件,分别复制证书代码,粘贴到一个记事本文档中。并将该文件配置到 Apapche 配置文件中 SSLCertificateChainFile 路径下。
9、 服务器需要使用的是 Pem 格式的私钥和证书文件,该如何生成私钥和证书请求。
可以安装 Openssl ,使用 Openssl 来生成证书请求。请参考Apahce服务器证书CSR生成指南,在生成私钥文件时,只需要将私钥文件名的后缀定义成 .pem 就可以了。
10、IIS中,已经提交CSR请求,还未收到证书如何备份私钥。
开始菜单“运行”-“MMC”-“文件”-“添加删除管理单元”,打开控制台,添加计算机账户-本地计算机。在控制台根节点中找到“证书注册申请”,在该目录下,找到您的注册请求文件并导出成一个PFX文件。
安装证书时,先从控制台导入私钥备份文件到“证书注册申请”,再把服务器证书导入到“个人”中。然后再到 internet 服务管理器中,需要配置证书的网站上,指派现有证书到导入的服务器证书上即可。
11、为什么查看某些安全站点时会弹出“本页不但包含安全的内容,也包含不安全的内容。是否显示不安全的内容”?
在编写网站页面文件代码的时候,页面URL和资源文件建议使用相对路径来定义。这样有助于提高页面对证书的兼容性。当客户端无论是用http还是https来访问该页面都不会报错。如果页面需要强制使用https来访问,则在页面中,需要确保所有的图片、Flash、JS脚本、CSS等文件都使用https的绝对路径或使用相对路径来定义文件在页面代码中的位置。
12、ssl会话建立的过程(原理)是什么?
交换开始于客户端发出的一条“client_hello”消息,消息包括
客户端支持的SSl版本号
客户端产生的32字节的随机数
一个对应的会话ID
一个支持的密码算法的列表
一个支持的压缩算法的列表
服务器发出消息“server_hello”进行响应,内容包括
服务器从客户端列表中选择的SSL版本号
服务器产生的32字节的随机数
会话ID
从客户端列表中选择的密码算法
选定的压缩算法(通常不进行压缩)
客户端检查服务器的证书和它发出的诸多参数;如果服务器请求客户端证书,那么客户端响应一条证书消息,其中包含了它的X.509证书服务器以客户端发来的“change_cipher_spec”消息作为相应,向客户端消失它也将使用与客户端相同的参数来加密将来所有的通信内容。因为服务器已经收到了客户端计算密钥使用的随机数,它也可以计算与客户端相同的密钥;服务器发送交换结束消息来结束握手过程
13、服务器证书做双向认证是否需要安装第三方的插件?
答:常用的webserve 中间件都会有支持客户端认证的功能.配置证书书只需要修改配置文件便可以启用客户认证的功能.不需要安装第三方的插件.
14、物理服务器出现故障是对证书使用会有什么影响?
答:在您申请服务器证书后,请及时备份您的证书(私钥,公钥)如果物理服务器出现故障只需要将备份的证书配置到新的服务器上就可以了.不会对证书的使用造成影响.
15、服务器上装个证书会不会影响到速度和流量?
答: 当然会增加服务器CPU的处理负担,因为要为每一个SSL连接实现加密和解密,但一般不会影响太大。同时建议注意以下几点以减轻服务器的负担:
(1) 仅为需要加密的页面使用SSL,如https://www.domaincom/login.asp,不要把所有页面都使用https://,特别是访问量最大的首页;
(2) 尽量不要在使用了SSL的页面上设计大块的图片文件和其他大文件,尽量使用简洁的文字页面。
如果网站的访问量非常大,则建议另外购买SSL加速卡来专门负责SSL加解密工作,可以完全不增加服务器任何负担。或另外增加服务器。
16、网络设备是否可以支持SSL证书?
答:设备的硬件制造如果让设备支持SSL协议是可以支持证书.一般的技术配置文档由这些设备厂商提供.如cisoco F5 VPN 都有支持证书的产品.
17、如果改变了硬件、软件(web server)证书需要重新申请吗?
答:服务器证书与硬件无关。系统和web server版本如果相同也不会有任何影响。如果改变了服务器软件,证书就要重新申请。服务器证书不可以更换平台使用。
18、托管服务器提供商不让配置ssl证书?
答:托管服务器一般也叫虚拟主机提供商.他们在一台较好的服务器上配置了多个虚拟站点.一般都是提供普通的80web服务.如果其中的一个站点配置了证书走SSL协议是会对整个服务器会有负载的.
19、 在一台服务器的多个虚拟主机中,是否可以实现SSL功能?
答:如果是一个IP多个网站的情况,是无法实现SSL功能;如果是一台服务器对应多个网站多个IP(每个网站一个IP),就可以实现SSL功能。每个网站需要配置一张服务器证书。
20、如果显示证书已过期(并未到有效期)?
答:可能情况:1)系统时间不对;2)中级证书过期。
21、服务器证书双击打开时,提示是无效的证书格式,如何处理?
答:可能是文件中含有其证书链上的其它证书的缘故。可将文件的后缀改成.p7b解决。
22、在Web Logic中安装Web Server证书时,出现私钥与证书不匹配的问题,是为什么?
答:在私钥文件与证书文件都正确的情况下,这可能是由于没有安装中级CA引起的。客户必须将全球服务器证书配置到域名与证书通用名相同的WEB站点上(即证书通用名与URL必须相符),否则可能会出现Win98下无法建立连接、或低加密强度的浏览器无法建立128bit连接而只能建立40bit或56bit的SSL连接的问题(可能还有其他不可预知的问题)。
23、在IIS中如何导入pfx格式的服务器证书?
答:如果操作系统是win 2003,在IIS配置目录安全性的选项里有从pfx文件中导入的选项,按照安装向导配置即可。如果是其他操作系统,需要先双击pfx文件,将证书导入到系统中,然后再选择指派现有证书进行配置。
上一篇: 一口价域名在线交易服务协议
下一篇: 域名预订抢注服务协议