一、如何实现用户访问http时自动跳转到https?
有两种方式可实现网页自动跳转:一是增加重定向到https;二是在页面中加入自动跳转代码,例如:<meta http-equiv="Refresh" content="秒数; url=跳转的文件或地址">。
二、同一张服务器证书能否配置在多台服务器上?
不可以。Verisign的签署协议禁止客户在多台服务器上配置同一张证书。若进行负载均衡,需在每台物理服务器上都配置证书。若因违反VeriSign关于负载均衡说明所引起问题,将不负责任。
三、多台服务器多个域名,该如何选购SSL证书?
一般一个网站(一个域名)对应一个SSL证书。只有通配型证书和多域型证书支持多个域名。通配型证书适合同一台物理服务器下同一域名的多个子域,申请时通用名称为 `*.dns666.com`。多域型SSL证书支持任何域名,不仅适合有多个域名需部署SSL证书的单位,也适合虚拟主机服务提供商为不同单位的不同域名网站部署SSL证书。若有多台物理服务器使用同一域名(负载均衡方式),则需为多台服务器购买多服务器许可证。
四、部分客户端访问IIS服务器时,证书链中的中级证书过期怎么办?
此情况通常发生在IIS服务器上。原因是服务器上有多张可提供信任关系的中级证书且其中有已过期证书。若客户端 PC系统证书存储区只有过期版本中级证书,客户端浏览器不会主动下载新中级证书,而通过已过期证书验证服务器证书有效性,导致报错。解决方法是删除服务器上计算机账户中“中级证书颁发机构”里已过期证书,更新最新中级证书文件,强制客户端下载最新证书链文件,使客户端通过最新证书链验证服务器证书有效性。
五、收到证书批准邮件后,提取的证书安装失败怎么办?
可能原因有:保存的服务器证书文件代码前后有空格或其他无效字符,或未包含证书头和尾部起始代码;原始请求被删除或被新请求覆盖致私钥丢失,需吊销替换重新生成证书文件;私钥管理权限不足,需用管理员权限登陆并赋予私钥管理权限。
六、IIS下同一站点不允许同时提交多个请求
微软IIS 6.0中每一个站点只允许同时发出一个CSR请求。若在已有请求之上创建新CSR请求,原始请求(和私钥)将被覆盖。正式提交CSR请求后,不要对服务器做证书方面配置,并可通过私钥备份保存私钥文件。
七、初始VTN服务器证书时,CSR信息正确但系统无法解析无法签发证书。
原因是客户在填写辨识码时(证书管理密码)使用了特殊字符。
八、在Apache上配置EV SSL服务器证书,因有两张中级证书启动失败怎么办?
在Apache下,需将两张中级证书打包成一个证书文件。用记事本等文本编辑器打开两张中级证书文件,复制证书代码粘贴到一个记事本文档中,并将该文件配置到Apapche配置文件中SSL Certificate Chain File路径下。
九、服务器需要Pem格式私钥和证书文件,如何生成私钥和证书请求?
可安装Openssl,参考 Apahce 服务器证书CSR生成指南,在生成私钥文件时,将私钥文件名后缀定义成 `.pem`。
十、IIS中,已提交CSR请求还未收到证书如何备份私钥?
在开始菜单“运行”中输入“MMC”,“文件”-“添加删除管理单元”,打开控制台,添加计算机账户-本地计算机。在控制台根节点找到“证书注册申请”,找到注册请求文件并导出成PFX文件。安装证书时,先从控制台导入私钥备份文件到“证书注册申请”,再把服务器证书导入到“个人”中,然后到internet服务管理器中,在需配置证书的网站上,指派现有证书到导入的服务器证书上。
十一、为什么查看某些安全站点时会弹出“本页不但包含安全的内容,也包含不安全的内容。是否显示不安全的内容”?
编写网站页面文件代码时,页面URL和资源文件建议使用相对路径定义,提高页面对证书的兼容性。若页面需强制使用 https访问,确保所有图片、Flash、JS脚本、CSS等文件都使用https的绝对路径或相对路径定义文件在页面代码中的位置。
十二、ssl会话建立的过程(原理)是什么?
交换开始于客户端发出“client_hello”消息,包括客户端支持的SSL版本号、32字节随机数、对应会话ID、支持的密码算法列表、支持的压缩算法列表。服务器以“server_hello”响应,内容包括从客户端列表中选择的SSL版本号、32 字节随机数、会话ID、选择的密码算法、选定的压缩算法(通常不压缩)。客户端检查服务器证书和参数,若服务器请求客户端证书,客户端响应证书消息。服务器以客户端发来的“change_cipher_spec”消息作为响应,向客户端表示它也将使用与客户端相同的参数加密将来所有通信内容,因服务器已收到客户端计算密钥使用的随机数,也可计算与客户端相同的密钥。服务器发送交换结束消息结束握手过程。
十三、服务器证书做双向认证是否需要安装第三方插件?
常用的webserve中间件都有支持客户端认证的功能,配置证书只需修改配置文件即可启用客户认证功能,不需要安装第三方插件。
十四、物理服务器出现故障对证书使用有什么影响?
申请服务器证书后及时备份证书(私钥、公钥),若物理服务器出现故障,将备份证书配置到新服务器上即可,不会对证书使用造成影响。
十五、服务器上装证书会不会影响速度和流量?
会增加服务器CPU的处理负担,因为要为每一个SSL连接实现加密和解密,但一般影响不大。可注意以下几点减轻服务器负担:仅为需要加密的页面使用SSL,如`https://www.dns666.com/`,不要把所有页面都用https;尽量不在使用SSL的页面上设计大块图片文件和其他大文件,使用简洁文字页面。若网站访问量非常大,可购买SSL加速卡专门负责SSL加解密工作,或增加服务器。
十六、网络设备是否可以支持SSL证书?
若设备硬件制造让设备支持SSL协议,则可以支持证书。一般技术配置文档由设备厂商提供,如cisoco F5 VPN有支持证书的产品。
十七、如果改变了硬件、软件(web server)证书需要重新申请吗?
服务器证书与硬件无关。系统和web server版本若相同也无影响。若改变服务器软件,证书需重新申请,服务器证书不可以更换平台使用。
十八、托管服务器提供商不让配置SSL证书?
托管服务器一般也叫虚拟主机提供商,在一台较好的服务器上配置多个虚拟站点,一般提供普通80 web服务。若其中一个站点配置证书走SSL协议会对整个服务器有负载。
十九、在一台服务器的多个虚拟主机中,是否可以实现SSL功能?
如果是一个IP多个网站的情况,无法实现SSL功能;如果是一台服务器对应多个网站多个IP(每个网站一个IP),就可以实现SSL功能,每个网站需配置一张服务器证书。
二十、如果显示证书已过期(并未到有效期)?
可能情况:系统时间不对;中级证书过期。
二十一、服务器证书双击打开时,提示是无效的证书格式,如何处理?
可能是文件中含有其证书链上的其它证书,可将文件后缀改成 `.p7b`解决。
二十二、在Web Logic中安装Web Server证书时,出现私钥与证书不匹配的问题,是为什么?
在私钥文件与证书文件都正确的情况下,可能是由于没有安装中级CA引起的。客户必须将全球服务器证书配置到域名与证书通用名相同的WEB站点上(即证书通用名与URL必须相符),否则可能会出现Win98下无法建立连接、或低加密强度的浏览器无法建立128bit连接而只能建立40bit或56bit的SSL连接的问题(可能还有其他不可预知的问题)。
二十三、在IIS中如何导入pfx格式的服务器证书?
如果操作系统是win 2003,在IIS配置目录安全性的选项里有从pfx文件中导入的选项,按照安装向导配置即可。如果是其他操作系统,需要先双击pfx文件,将证书导入到系统中,然后再选择指派现有证书进行配置。
