第一篇：《企業身份的證明——SSL證書》

《企業身份的證明——SSL證書》

SSL證書是一種包含SSL協議的證書，由數字證書供應商來供應。由于現今互聯網的發展，SSL證書已經不單限于提交一份SSL協議，更多的是代表著一種互聯網絡的身份認證。

簡而言之，SSL證書有兩個主要功能：一是把用戶瀏覽器發送到您網站的數據加密；二是驗證您網站的身份。時代互聯在此可以鄭重的告訴大家：在大眾對于網絡安全越來越重視的今天，購置和安裝SSL證書已經不單單是出于安全性的考量，更是體現一個網站對于用戶和自身身份的重視。

一個網站具備SSL是對于用戶隱密的尊重，擁有SSL證書的網站可以更好地保護訪客的隱密安全。

SSL 是網絡安全的標準，對大多數商家賬戶服務而言，SSL證書都是必需的。如果您經營的是購物類網站，需要用戶輸入相關的卡信息，那SSL證書更是必不可少的。SSL證書尤為重要的作用就是驗證網站身份，一個具備SSL證書的網站是經過身份認證的，確保了網站的真實性，并且SSL公司不會給兩個同名網站頒發證書，這從根源上能排除了釣魚網站的可能性，對于維護網絡安全有至關重要的作用。

另外，谷歌和百度開始對搜索引擎算法做出調整，并表示在同等條件下，使用h t t p s加密技術的站點在搜索排名上更具優勢。

識別網站是否使用SSL證書的最明顯的標志就是網頁網址欄是否以h t t p s開頭，如果不是h t t p s而是h t t p開頭的網站則是沒有使用SSL。有一部分證書會允許網址顯示為綠色，這也是網站使用了SSL證書的標識。Chrome瀏覽器更是做到把所有沒有使用SSL證書的網站都標注了警示圖標，以此來提醒用戶此網站具有安全漏洞。

所以使用SSL證書是非常有必要的。

第二篇：SSL證書的主要用途

SSL證書的主要用途

目前只有部署SSL證書才能有效地保證網上機密信息的安全，SSL證書的主要用途有：

1.確保用戶輸入的登錄密碼能從用戶電腦自動加密傳輸到服務器，從而大大降低用戶密碼被盜的可能性。有關統計表明：部署SSL證書后，可以降低80%的由于用戶密碼問題帶來的客戶服務工作量，這將為服務提供商降低客服成本。

2.確保用戶安全登錄后在線提交個人機密信息、公司機密信息和瀏覽其機密信息時能從用戶電腦到網站服務器之間能自動加密傳輸，防止非法竊取和非法篡改。

3.讓在線用戶能在線查詢網站服務器的真實身份，防止被假冒網站所欺詐。如假冒銀行網站，用戶只要查看SSL證書中的主題信息的O字段就能了解此網站并不是真正的銀行網站;而被列入黑名單的欺詐網站，IE7瀏覽器能實時幫助用戶識別。使用EV服務器證書更可以獲得大部分主流瀏覽器綠色地址欄支持。EV證書與瀏覽器的安全功能結合更加緊密，使站點真實性更加可靠，幫助用戶更容易識別假冒站點。EV證書的簽發遵循全球統一的標準“EV證書簽發和管理指南”，有效避免誤簽的風險。

4.讓在線用戶放心，這點對于電子商務網站非常重要，因為部署了SSL證書，一方面表明服務提供商采取了可靠的技術措施來保證用戶的機密信息安全;另一方面更重要的是，可以讓用戶了解到此網站的真實身份已經通過權威的第三方認證，網站身份是真實的，是現實世界合法存在的企業。

5.法律法規遵從：部署SSL證書就等于該網站已經按照有關法律法規要求采取了可靠的技術措施，這對于企業的健康發展非常重要。

全球最值得信任的網絡基礎架構供應商——威瑞信(VeriSign)公司提供的 Web 服務器證書(SSL證書)可以確保您的網站與您的客戶之間安全的信息傳輸，為超過93%的財富500強企業，97%的世界100大銀行，以及全球50家最大電子商務網站中的47家提供了數字認證服務。VeriSign提供的擴展驗證(EV)SSL證書(extended validation ssl certificates)產品可以最大限度上提升客戶交易信心。截至目前，全球范圍有超過百萬臺服務器部署了VeriSign SSL證書，并且這一數字還在不斷刷新。

VeriSign SSL證書還提供50萬至150萬美元的保單協議，為用戶提供身份認證擔保服務以及信息傳輸安全擔保服務。確保不會錯誤的發行證書，并保障數據傳輸安全可靠。

本文由：ev ssl證書 http://verisign.itrus.com.cn/ 整理

第三篇：常見SSL證書問題集錦

常見SSL證書問題集錦

1.如何實現用戶用訪問http時自動跳轉到https的訪問地址？

實現網頁的自動跳轉有兩種方式： A 增加重定向到https B 在頁面中加入自動跳轉代碼。例如：<—< meta http-equiv=”Refresh” content=”秒數;url=跳轉的文件或地址”>—> 2.同一張服務器證書是否可以配置在多臺服務器上？

不可以。Verisign的簽署協議中禁止客戶在多臺服務器上配置同一張證書。

3.多臺服務器多個域名，該如何選購SSL證書? 一般來講，一個網站(一個域名)對應一個SSL證書，因為SSL證書是綁定域名的。只有通配型證書和多域型證書才支持多個域名。通配型證書適合于同一臺物理服務器下的同一域名下的多個子域，如您在同一臺物理服務器上有多個網站： www.tmdps.cn、domain.net、domain.net.cn、mydomain.com、domain.us、domaina.com等等。不僅適合于有多個域名需要部署SSL證書的單位，更適合于虛擬主機服務提供商為不同單位的不同域名的網站部署SSL證書。

請注意：以上兩種證書都使用于同一臺物理服務器，如果您有多臺物理服務器在使用同一個域名(負載均衡方式)，則您需要為多臺服務器購買多服務器許可證即可。

4.部分客戶端訪問IIS服務器時，證書鏈中的中級證書過期怎么辦？ 這種情況通常發生在IIS服務器上。導致該問題的原因是服務器上存在多張可提供信任關系的中級證書，且其中有已過期的中間級證書。如果客戶端PC系統中證 書存儲區沒有新的中級證書而只有已經過期版本的中級證書的話，客戶端瀏覽器不會主動從服務器上下載新的中級證書文件，而只通過已過期的中級證書去驗證服務 器證書的有效性。導致客戶端報中間級證書已過期錯誤。

解決方法：刪除服務器上計算機賬戶中“中級證書頒發機構”里已過期的證書，并更新最新的中級證書文件，強制客戶端下載最新的證書鏈文件，使客戶端只能通過一條最新的證書鏈來驗證服務器證書的有效性。

5、收到證書批準郵件后，從郵件中提取的證書安裝失敗，無法安裝？

1.保存下來的服務器證書文件中，文件代碼前后可能有空格或其他無效字符。或者沒有將證書頭和尾部起始代碼包含進來。在Windows環境下，雙擊嘗試打開該證書文件，檢查是否能夠查看證書信息。

2.原始請求被刪除或被新的請求覆蓋，私鑰丟失。需要吊銷替換，重新生成證書文件。

3.私鑰管理權限不足，使用管理員權限登陸，并賦予私鑰的管理權限。

6.IIS下同一站點不允許同時提交多個請求

微軟IIS 6.0中每一個站點只允許同時發出一個CSR請求。如果在已有的請求之上重新創建一個新的CSR請求，您的原始請求（和私鑰）將被覆蓋。在正式提交CSR請求后，請不要對服務器做證書方面的配置，并可通過私鑰備份，保存您的私鑰文件。

7.初始VTN服務器證書時，CSR中的所有信息都是按照要求正確填寫的，但提交后系統無法解析，無法簽發證書。

客戶在填寫辨識碼時（證書管理密碼）使用了特殊字符。

8.在Apache 上配置EV SSL 服務器證書，但EV SSL 服務器證書有兩張中級證書，在Apache 配置文件中出現兩個引用中級證書語句時，啟動失敗。Apache 下，需要將兩張中級證書打包成一個證書文件。打包方式：用記事本等文本編輯器打開兩張中級證書文件，分別復制證書代碼，粘貼到一個記事本文檔中。并將該文件配置到 Apapche 配置文件中 SSLCertificateChainFile 路徑下。

9.服務器需要使用的是 Pem 格式的私鑰和證書文件，該如何生成私鑰和證書請求。

可以安裝 Openssl，使用 Openssl 來生成證書請求。請參考Apahce服務器證書CSR生成指南，在生成私鑰文件時，只需要將私鑰文件名的后綴定義成.pem 就可以了。

10.IIS中，已經提交CSR請求，還未收到證書如何備份私鑰。

開始菜單“運行”-“MMC”-“文件”-“添加刪除管理單元”，打開控制臺，添加計算機賬戶-本地計算機。在控制臺根節點中找到“證書注冊申請”，在該目錄下，找到您的注冊請求文件并導出成一個PFX文件。

安裝證書時，先從控制臺導入私鑰備份文件到“證書注冊申請”，再把服務器證書導入到“個人”中。然后再到 internet 服務管理器中，需要配置證書的網站上，指派現有證書到導入的服務器證書上即可。

11.為什么查看某些安全站點時會彈出“本頁不但包含安全的內容，也包含不安全的內容。是否顯示不安全的內容”？

在編寫網站頁面文件代碼的時候，頁面URL和資源文件建議使用相對路徑來定義。這樣有助于提高頁面對證書的兼容性。當客戶端無論是用http還是 https來訪問該頁面都不會報錯。如果頁面需要強制使用https來訪問，則在頁面中，需要確保所有的圖片、Flash、JS腳本、CSS等文件都使用 https的絕對路徑或使用相對路徑來定義文件在頁面代碼中的位置。

12.ssl會話建立的過程（原理）是什么？

交換開始于客戶端發出的一條“client_hello”消息，消息包括 客戶端支持的SSl版本號

客戶端產生的32字節的隨機數 一個對應的會話ID 一個支持的密碼算法的列表 一個支持的壓縮算法的列表 服務器發出消息“server_hello”進行響應，內容包括 服務器從客戶端列表中選擇的SSL版本號 服務器產生的32字節的隨機數 會話ID 從客戶端列表中選擇的密碼算法

選定的壓縮算法（通常不進行壓縮）

客 戶端檢查服務器的證書和它發出的諸多參數；如果服務器請求客戶端證書，那么客戶端響應一條證書消息，其中包含了它的X.509證書 服務器以客戶端發來的“change_cipher_spec”消息作為相應，向客戶端消失它也將使用與客戶端相同的參數來加密將來所有的通信內容。因為 服務器已經收到了客戶端計算密鑰使用的隨機數，它也可以計算與客戶端相同的密鑰；服務器發送交換結束消息來結束握手過程

13.服務器證書做雙向認證是否需要安裝第三方的插件？

常用的webserve 中間件都會有支持客戶端認證的功能。配置證書書只需要修改配置文件便可以啟用客戶認證的功能。不需要安裝第三方的插件。

14.物理服務器出現故障是對證書使用會有什么影響？

在您申請服務器證書后，請及時備份您的證書及私鑰。如果物理服務器出現故障只需要將備份的證書配置到新的服務器上就可以，不會對證書的使用造成影響。

15.服務器上裝個證書會不會影響到速度和流量？

當然會增加服務器CPU的處理負擔，因為要為每一個SSL連接實現加密和解密，但一般不會影響太大。同時建議注意以下幾點以減輕服務器的負擔：(1)僅為需要加密的頁面使用SSL，如http://www.tmdps.cn/login.asp，不要所有頁面都使用https://，特別是訪問量最大的首頁；

(2)盡量不要在使用了SSL的頁面上設計大塊的圖片文件和其他大文件，盡量使用簡潔的文字頁面。

如果網站的訪問量非常大，則建議另外購買SSL加速卡來專門負責SSL加解密工作，可以完全不增加服務器任何負擔。或另外增加服務器。

16.網絡設備是否可以支持SSL證書？

設備的硬件制造如果讓設備支持SSL協議是可以支持證書，一般的技術配置文檔由這些設備廠商提供。如cisoco F5 VPN 都有支持證書的產品。17.如果改變了硬件、軟件（web server）證書需要重新申請嗎？

服務器證書與硬件無關。系統和web server版本如果相同也不會有任何影響。如果改變了服務器軟件，證書就要重新申請。服務器證書不可以更換平臺使用。

18.托管服務器提供商不讓配置ssl證書？

托管服務器一般也叫虛擬主機提供商．他們在一臺較好的服務器上配置了多個虛擬站點．一般都是提供普通的80 web服務．如果其中的一個站點配置了證書走SSL協議是會對整個服務器會有負載的。

19.在一臺服務器的多個虛擬主機中，是否可以實現SSL功能？

如果是一個IP多個網站的情況，無法實現SSL功能；如果是一臺服務器對應多個網站多個IP（每個網站一個IP），就可以實現SSL功能。每個網站需要配置一張服務器證書。

20.如果顯示證書已過期（并未到有效期）？

可能情況：1）系統時間不對；2）中級證書過期。

21.服務器證書雙擊打開時，提示是無效的證書格式，如何處理？

可能是文件中含有其證書鏈上的其它證書的緣故。可將文件的后綴改成.p7b解決。

22.在Web Logic中安裝Web Server證書時，出現私鑰與證書不匹配的問題，是為什么？

在私鑰文件與證書文件都正確的情況下，這可能是由于沒有安裝中級CA引起的。客戶必須將全球服務器證書配置到域名與證書通用名相同的WEB站點上（即證 書通用名與URL必須相符），否則可能會出現Win98下無法建立連接、或低加密強度的瀏覽器無法建立128bit連接而只能建立40bit或56bit 的SSL連接的問題（可能還有其他不可預知的問題）。

23.在IIS中如何導入pfx格式的服務器證書？ 如果操作系統是win 2003，在IIS配置目錄安全性的選項里有從pfx文件中導入的選項，按照安裝向導配置即可。如果是其他操作系統，需要先雙擊pfx文件，將證書導入到系統中，然后再選擇指派現有證書進行配置。

24.關于重定向的配置

方法一：在主頁中嵌入 <—