[常见SSL证书问题集锦.docVIP

常见SSL证书问题集锦 1. 如何实现用户用访问http时自动跳转到https的访问地址？ 实现网页的自动跳转有两种方式： A 增加重定向到https B 在页面中加入自动跳转代码。例如：— meta http-equiv=”Refresh” content=”秒数; url=跳转的文件或地址”— 2. 同一张服务器证书是否可以配置在多台服务器上？ 不可以。Verisign的签署协议中禁止客户在多台服务器上配置同一张证书。 3. 多台服务器多个域名，该如何选购SSL证书? 一般来讲，一个网站(一个域名)对应一个SSL证书，因为SSL证书是绑定域名的。只有通配型证书和多域型证书才支持多个域名。通配型证书适合于同一台物理服务器下的同一域名下的多个子域，如您在同一台物理服务器上有多个网站：  申请通配型SSL证书时填写的通用名称(Common Name)为： *. 。 与 通配型证书只支持子域不同的是，多域型SSL证书支持任何域名，不仅限于子域，如：、、 、、、、domain.us、 等等。不仅适合于有多个域名需要部署SSL证书的单位，更适合于虚拟主机服务提供商为不同单位的不同域名的网站部署SSL证书。 请注意：以上两种证书都使用于同一台物理服务器，如果您有多台物理服务器在使用同一个域名(负载均衡方式)，则您需要为多台服务器购买多服务器许可证即可。 4. 部分客户端访问IIS服务器时，证书链中的中级证书过期怎么办？ 这种情况通常发生在IIS服务器上。导致该问题的原因是服务器上存在多张可提供信任关系的中级证书，且其中有已过期的中间级证书。如果客户端PC系统中证 书存储区没有新的中级证书而只有已经过期版本的中级证书的话，客户端浏览器不会主动从服务器上下载新的中级证书文件，而只通过已过期的中级证书去验证服务 器证书的有效性。导致客户端报中间级证书已过期错误。 解决方法：删除服务器上计算机账户中“中级证书颁发机构”里已过期的证书，并更新最新的中级证书文件，强制客户端下载最新的证书链文件，使客户端只能通过一条最新的证书链来验证服务器证书的有效性。 5、收到证书批准邮件后，从邮件中提取的证书安装失败，无法安装？ 1.保存下来的服务器证书文件中，文件代码前后可能有空格或其他无效字符。或者没有将证书头和尾部起始代码包含进来。 在Windows环境下，双击尝试打开该证书文件，检查是否能够查看证书信息。 2.原始请求被删除或被新的请求覆盖，私钥丢失。需要吊销替换，重新生成证书文件。 3.私钥管理权限不足，使用管理员权限登陆，并赋予私钥的管理权限。 6. IIS下同一站点不允许同时提交多个请求 微软IIS 6.0中每一个站点只允许同时发出一个CSR请求。如果在已有的请求之上重新创建一个新的CSR请求，您的原始请求（和私钥）将被覆盖。在正式提交CSR请求后，请不要对服务器做证书方面的配置，并可通过私钥备份，保存您的私钥文件。 7. 初始VTN服务器证书时，CSR中的所有信息都是按照要求正确填写的，但提交后系统无法解析，无法签发证书。 客户在填写辨识码时（证书管理密码）使用了特殊字符。 8. 在Apache 上配置EV SSL 服务器证书，但EV SSL 服务器证书有两张中级证书，在Apache 配置文件中出现两个引用中级证书语句时，启动失败。 Apache 下，需要将两张中级证书打包成一个证书文件。打包方式：用记事本等文本编辑器打开两张中级证书文件，分别复制证书代码，粘贴到一个记事本文档中。并将该文件配置到 Apapche 配置文件中 SSLCertificateChainFile 路径下。 9. 服务器需要使用的是 Pem 格式的私钥和证书文件，该如何生成私钥和证书请求。 可以安装 Openssl ，使用 Openssl 来生成证书请求。请参考Apahce服务器证书CSR生成指南，在生成私钥文件时，只需要将私钥文件名的后缀定义成 .pem 就可以了。 10. IIS中，已经提交CSR请求，还未收到证书如何备份私钥。 开始菜单“运行”-“MMC”-“文件”-“添加删除管理单元”，打开控制台，添加计算机账户-本地计算机。在控制台根节点中找到“证书注册申请”，在该目录下，找到您的注册请求文件并导出成一个PFX文件。 安装证书时，先从控制台导入私钥备份文件到“证书注册申请”，再把服务器证书导入到“个人”中。然后再到 internet 服务管理器中，需要配置证书的网站上，指派现有证书到导入的服务器证书上即可。 11. 为什么查看某些安全站点时会弹出“本页不但包含安全的内容，也包含不安全的内容。是否显示不安全的内容”？ 在编写网站页面文件代码的时候，页面URL和资源文件建议使用相对路径来定义。这样有助于提高页面对证书的兼容性。当客户端无论是用http还是 ht