第一篇：《企業(yè)身份的證明——SSL證書》

《企業(yè)身份的證明——SSL證書》

SSL證書是一種包含SSL協(xié)議的證書，由數(shù)字證書供應(yīng)商來供應(yīng)。由于現(xiàn)今互聯(lián)網(wǎng)的發(fā)展，SSL證書已經(jīng)不單限于提交一份SSL協(xié)議，更多的是代表著一種互聯(lián)網(wǎng)絡(luò)的身份認(rèn)證。

簡而言之，SSL證書有兩個主要功能：一是把用戶瀏覽器發(fā)送到您網(wǎng)站的數(shù)據(jù)加密；二是驗(yàn)證您網(wǎng)站的身份。時代互聯(lián)在此可以鄭重的告訴大家：在大眾對于網(wǎng)絡(luò)安全越來越重視的今天，購置和安裝SSL證書已經(jīng)不單單是出于安全性的考量，更是體現(xiàn)一個網(wǎng)站對于用戶和自身身份的重視。

一個網(wǎng)站具備SSL是對于用戶隱密的尊重，擁有SSL證書的網(wǎng)站可以更好地保護(hù)訪客的隱密安全。

SSL 是網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)，對大多數(shù)商家賬戶服務(wù)而言，SSL證書都是必需的。如果您經(jīng)營的是購物類網(wǎng)站，需要用戶輸入相關(guān)的卡信息，那SSL證書更是必不可少的。SSL證書尤為重要的作用就是驗(yàn)證網(wǎng)站身份，一個具備SSL證書的網(wǎng)站是經(jīng)過身份認(rèn)證的，確保了網(wǎng)站的真實(shí)性，并且SSL公司不會給兩個同名網(wǎng)站頒發(fā)證書，這從根源上能排除了釣魚網(wǎng)站的可能性，對于維護(hù)網(wǎng)絡(luò)安全有至關(guān)重要的作用。

另外，谷歌和百度開始對搜索引擎算法做出調(diào)整，并表示在同等條件下，使用h t t p s加密技術(shù)的站點(diǎn)在搜索排名上更具優(yōu)勢。

識別網(wǎng)站是否使用SSL證書的最明顯的標(biāo)志就是網(wǎng)頁網(wǎng)址欄是否以h t t p s開頭，如果不是h t t p s而是h t t p開頭的網(wǎng)站則是沒有使用SSL。有一部分證書會允許網(wǎng)址顯示為綠色，這也是網(wǎng)站使用了SSL證書的標(biāo)識。Chrome瀏覽器更是做到把所有沒有使用SSL證書的網(wǎng)站都標(biāo)注了警示圖標(biāo)，以此來提醒用戶此網(wǎng)站具有安全漏洞。

所以使用SSL證書是非常有必要的。

第二篇：SSL證書的主要用途

SSL證書的主要用途

目前只有部署SSL證書才能有效地保證網(wǎng)上機(jī)密信息的安全，SSL證書的主要用途有：

1.確保用戶輸入的登錄密碼能從用戶電腦自動加密傳輸?shù)椒?wù)器，從而大大降低用戶密碼被盜的可能性。有關(guān)統(tǒng)計表明：部署SSL證書后，可以降低80%的由于用戶密碼問題帶來的客戶服務(wù)工作量，這將為服務(wù)提供商降低客服成本。

2.確保用戶安全登錄后在線提交個人機(jī)密信息、公司機(jī)密信息和瀏覽其機(jī)密信息時能從用戶電腦到網(wǎng)站服務(wù)器之間能自動加密傳輸，防止非法竊取和非法篡改。

3.讓在線用戶能在線查詢網(wǎng)站服務(wù)器的真實(shí)身份，防止被假冒網(wǎng)站所欺詐。如假冒銀行網(wǎng)站，用戶只要查看SSL證書中的主題信息的O字段就能了解此網(wǎng)站并不是真正的銀行網(wǎng)站;而被列入黑名單的欺詐網(wǎng)站，IE7瀏覽器能實(shí)時幫助用戶識別。使用EV服務(wù)器證書更可以獲得大部分主流瀏覽器綠色地址欄支持。EV證書與瀏覽器的安全功能結(jié)合更加緊密，使站點(diǎn)真實(shí)性更加可靠，幫助用戶更容易識別假冒站點(diǎn)。EV證書的簽發(fā)遵循全球統(tǒng)一的標(biāo)準(zhǔn)“EV證書簽發(fā)和管理指南”，有效避免誤簽的風(fēng)險。

4.讓在線用戶放心，這點(diǎn)對于電子商務(wù)網(wǎng)站非常重要，因?yàn)椴渴鹆薙SL證書，一方面表明服務(wù)提供商采取了可靠的技術(shù)措施來保證用戶的機(jī)密信息安全;另一方面更重要的是，可以讓用戶了解到此網(wǎng)站的真實(shí)身份已經(jīng)通過權(quán)威的第三方認(rèn)證，網(wǎng)站身份是真實(shí)的，是現(xiàn)實(shí)世界合法存在的企業(yè)。

5.法律法規(guī)遵從：部署SSL證書就等于該網(wǎng)站已經(jīng)按照有關(guān)法律法規(guī)要求采取了可靠的技術(shù)措施，這對于企業(yè)的健康發(fā)展非常重要。

全球最值得信任的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)供應(yīng)商——威瑞信(VeriSign)公司提供的 Web 服務(wù)器證書(SSL證書)可以確保您的網(wǎng)站與您的客戶之間安全的信息傳輸，為超過93%的財富500強(qiáng)企業(yè)，97%的世界100大銀行，以及全球50家最大電子商務(wù)網(wǎng)站中的47家提供了數(shù)字認(rèn)證服務(wù)。VeriSign提供的擴(kuò)展驗(yàn)證(EV)SSL證書(extended validation ssl certificates)產(chǎn)品可以最大限度上提升客戶交易信心。截至目前，全球范圍有超過百萬臺服務(wù)器部署了VeriSign SSL證書，并且這一數(shù)字還在不斷刷新。

VeriSign SSL證書還提供50萬至150萬美元的保單協(xié)議，為用戶提供身份認(rèn)證擔(dān)保服務(wù)以及信息傳輸安全擔(dān)保服務(wù)。確保不會錯誤的發(fā)行證書，并保障數(shù)據(jù)傳輸安全可靠。

本文由：ev ssl證書 http://verisign.itrus.com.cn/ 整理

第三篇：常見SSL證書問題集錦

常見SSL證書問題集錦

1.如何實(shí)現(xiàn)用戶用訪問http時自動跳轉(zhuǎn)到https的訪問地址？

實(shí)現(xiàn)網(wǎng)頁的自動跳轉(zhuǎn)有兩種方式： A 增加重定向到https B 在頁面中加入自動跳轉(zhuǎn)代碼。例如：<—< meta http-equiv=”Refresh” content=”秒數(shù);url=跳轉(zhuǎn)的文件或地址”>—> 2.同一張服務(wù)器證書是否可以配置在多臺服務(wù)器上？

不可以。Verisign的簽署協(xié)議中禁止客戶在多臺服務(wù)器上配置同一張證書。

3.多臺服務(wù)器多個域名，該如何選購SSL證書? 一般來講，一個網(wǎng)站(一個域名)對應(yīng)一個SSL證書，因?yàn)镾SL證書是綁定域名的。只有通配型證書和多域型證書才支持多個域名。通配型證書適合于同一臺物理服務(wù)器下的同一域名下的多個子域，如您在同一臺物理服務(wù)器上有多個網(wǎng)站： 004km.cn、domain.net、domain.net.cn、mydomain.com、domain.us、domaina.com等等。不僅適合于有多個域名需要部署SSL證書的單位，更適合于虛擬主機(jī)服務(wù)提供商為不同單位的不同域名的網(wǎng)站部署SSL證書。

請注意：以上兩種證書都使用于同一臺物理服務(wù)器，如果您有多臺物理服務(wù)器在使用同一個域名(負(fù)載均衡方式)，則您需要為多臺服務(wù)器購買多服務(wù)器許可證即可。

4.部分客戶端訪問IIS服務(wù)器時，證書鏈中的中級證書過期怎么辦？ 這種情況通常發(fā)生在IIS服務(wù)器上。導(dǎo)致該問題的原因是服務(wù)器上存在多張可提供信任關(guān)系的中級證書，且其中有已過期的中間級證書。如果客戶端PC系統(tǒng)中證 書存儲區(qū)沒有新的中級證書而只有已經(jīng)過期版本的中級證書的話，客戶端瀏覽器不會主動從服務(wù)器上下載新的中級證書文件，而只通過已過期的中級證書去驗(yàn)證服務(wù) 器證書的有效性。導(dǎo)致客戶端報中間級證書已過期錯誤。

解決方法：刪除服務(wù)器上計算機(jī)賬戶中“中級證書頒發(fā)機(jī)構(gòu)”里已過期的證書，并更新最新的中級證書文件，強(qiáng)制客戶端下載最新的證書鏈文件，使客戶端只能通過一條最新的證書鏈來驗(yàn)證服務(wù)器證書的有效性。

5、收到證書批準(zhǔn)郵件后，從郵件中提取的證書安裝失敗，無法安裝？

1.保存下來的服務(wù)器證書文件中，文件代碼前后可能有空格或其他無效字符?；蛘邲]有將證書頭和尾部起始代碼包含進(jìn)來。在Windows環(huán)境下，雙擊嘗試打開該證書文件，檢查是否能夠查看證書信息。

2.原始請求被刪除或被新的請求覆蓋，私鑰丟失。需要吊銷替換，重新生成證書文件。

3.私鑰管理權(quán)限不足，使用管理員權(quán)限登陸，并賦予私鑰的管理權(quán)限。

6.IIS下同一站點(diǎn)不允許同時提交多個請求

微軟IIS 6.0中每一個站點(diǎn)只允許同時發(fā)出一個CSR請求。如果在已有的請求之上重新創(chuàng)建一個新的CSR請求，您的原始請求（和私鑰）將被覆蓋。在正式提交CSR請求后，請不要對服務(wù)器做證書方面的配置，并可通過私鑰備份，保存您的私鑰文件。

7.初始VTN服務(wù)器證書時，CSR中的所有信息都是按照要求正確填寫的，但提交后系統(tǒng)無法解析，無法簽發(fā)證書。

客戶在填寫辨識碼時（證書管理密碼）使用了特殊字符。

8.在Apache 上配置EV SSL 服務(wù)器證書，但EV SSL 服務(wù)器證書有兩張中級證書，在Apache 配置文件中出現(xiàn)兩個引用中級證書語句時，啟動失敗。Apache 下，需要將兩張中級證書打包成一個證書文件。打包方式：用記事本等文本編輯器打開兩張中級證書文件，分別復(fù)制證書代碼，粘貼到一個記事本文檔中。并將該文件配置到 Apapche 配置文件中 SSLCertificateChainFile 路徑下。

9.服務(wù)器需要使用的是 Pem 格式的私鑰和證書文件，該如何生成私鑰和證書請求。

可以安裝 Openssl，使用 Openssl 來生成證書請求。請參考Apahce服務(wù)器證書CSR生成指南，在生成私鑰文件時，只需要將私鑰文件名的后綴定義成.pem 就可以了。

10.IIS中，已經(jīng)提交CSR請求，還未收到證書如何備份私鑰。

開始菜單“運(yùn)行”-“MMC”-“文件”-“添加刪除管理單元”，打開控制臺，添加計算機(jī)賬戶-本地計算機(jī)。在控制臺根節(jié)點(diǎn)中找到“證書注冊申請”，在該目錄下，找到您的注冊請求文件并導(dǎo)出成一個PFX文件。

安裝證書時，先從控制臺導(dǎo)入私鑰備份文件到“證書注冊申請”，再把服務(wù)器證書導(dǎo)入到“個人”中。然后再到 internet 服務(wù)管理器中，需要配置證書的網(wǎng)站上，指派現(xiàn)有證書到導(dǎo)入的服務(wù)器證書上即可。

11.為什么查看某些安全站點(diǎn)時會彈出“本頁不但包含安全的內(nèi)容，也包含不安全的內(nèi)容。是否顯示不安全的內(nèi)容”？

在編寫網(wǎng)站頁面文件代碼的時候，頁面URL和資源文件建議使用相對路徑來定義。這樣有助于提高頁面對證書的兼容性。當(dāng)客戶端無論是用http還是 https來訪問該頁面都不會報錯。如果頁面需要強(qiáng)制使用https來訪問，則在頁面中，需要確保所有的圖片、Flash、JS腳本、CSS等文件都使用 https的絕對路徑或使用相對路徑來定義文件在頁面代碼中的位置。

12.ssl會話建立的過程（原理）是什么？

交換開始于客戶端發(fā)出的一條“client_hello”消息，消息包括 客戶端支持的SSl版本號

客戶端產(chǎn)生的32字節(jié)的隨機(jī)數(shù) 一個對應(yīng)的會話ID 一個支持的密碼算法的列表 一個支持的壓縮算法的列表 服務(wù)器發(fā)出消息“server_hello”進(jìn)行響應(yīng)，內(nèi)容包括 服務(wù)器從客戶端列表中選擇的SSL版本號 服務(wù)器產(chǎn)生的32字節(jié)的隨機(jī)數(shù) 會話ID 從客戶端列表中選擇的密碼算法

選定的壓縮算法（通常不進(jìn)行壓縮）

客 戶端檢查服務(wù)器的證書和它發(fā)出的諸多參數(shù)；如果服務(wù)器請求客戶端證書，那么客戶端響應(yīng)一條證書消息，其中包含了它的X.509證書 服務(wù)器以客戶端發(fā)來的“change_cipher_spec”消息作為相應(yīng)，向客戶端消失它也將使用與客戶端相同的參數(shù)來加密將來所有的通信內(nèi)容。因?yàn)?服務(wù)器已經(jīng)收到了客戶端計算密鑰使用的隨機(jī)數(shù)，它也可以計算與客戶端相同的密鑰；服務(wù)器發(fā)送交換結(jié)束消息來結(jié)束握手過程

13.服務(wù)器證書做雙向認(rèn)證是否需要安裝第三方的插件？

常用的webserve 中間件都會有支持客戶端認(rèn)證的功能。配置證書書只需要修改配置文件便可以啟用客戶認(rèn)證的功能。不需要安裝第三方的插件。

14.物理服務(wù)器出現(xiàn)故障是對證書使用會有什么影響？

在您申請服務(wù)器證書后，請及時備份您的證書及私鑰。如果物理服務(wù)器出現(xiàn)故障只需要將備份的證書配置到新的服務(wù)器上就可以，不會對證書的使用造成影響。

15.服務(wù)器上裝個證書會不會影響到速度和流量？

當(dāng)然會增加服務(wù)器CPU的處理負(fù)擔(dān)，因?yàn)橐獮槊恳粋€SSL連接實(shí)現(xiàn)加密和解密，但一般不會影響太大。同時建議注意以下幾點(diǎn)以減輕服務(wù)器的負(fù)擔(dān)：(1)僅為需要加密的頁面使用SSL，如http://004km.cn/login.asp，不要所有頁面都使用https://，特別是訪問量最大的首頁；

(2)盡量不要在使用了SSL的頁面上設(shè)計大塊的圖片文件和其他大文件，盡量使用簡潔的文字頁面。

如果網(wǎng)站的訪問量非常大，則建議另外購買SSL加速卡來專門負(fù)責(zé)SSL加解密工作，可以完全不增加服務(wù)器任何負(fù)擔(dān)?；蛄硗庠黾臃?wù)器。

16.網(wǎng)絡(luò)設(shè)備是否可以支持SSL證書？

設(shè)備的硬件制造如果讓設(shè)備支持SSL協(xié)議是可以支持證書，一般的技術(shù)配置文檔由這些設(shè)備廠商提供。如cisoco F5 VPN 都有支持證書的產(chǎn)品。17.如果改變了硬件、軟件（web server）證書需要重新申請嗎？

服務(wù)器證書與硬件無關(guān)。系統(tǒng)和web server版本如果相同也不會有任何影響。如果改變了服務(wù)器軟件，證書就要重新申請。服務(wù)器證書不可以更換平臺使用。

18.托管服務(wù)器提供商不讓配置ssl證書？

托管服務(wù)器一般也叫虛擬主機(jī)提供商．他們在一臺較好的服務(wù)器上配置了多個虛擬站點(diǎn)．一般都是提供普通的80 web服務(wù)．如果其中的一個站點(diǎn)配置了證書走SSL協(xié)議是會對整個服務(wù)器會有負(fù)載的。

19.在一臺服務(wù)器的多個虛擬主機(jī)中，是否可以實(shí)現(xiàn)SSL功能？

如果是一個IP多個網(wǎng)站的情況，無法實(shí)現(xiàn)SSL功能；如果是一臺服務(wù)器對應(yīng)多個網(wǎng)站多個IP（每個網(wǎng)站一個IP），就可以實(shí)現(xiàn)SSL功能。每個網(wǎng)站需要配置一張服務(wù)器證書。

20.如果顯示證書已過期（并未到有效期）？

可能情況：1）系統(tǒng)時間不對；2）中級證書過期。

21.服務(wù)器證書雙擊打開時，提示是無效的證書格式，如何處理？

可能是文件中含有其證書鏈上的其它證書的緣故。可將文件的后綴改成.p7b解決。

22.在Web Logic中安裝Web Server證書時，出現(xiàn)私鑰與證書不匹配的問題，是為什么？

在私鑰文件與證書文件都正確的情況下，這可能是由于沒有安裝中級CA引起的?？蛻舯仨殞⑷蚍?wù)器證書配置到域名與證書通用名相同的WEB站點(diǎn)上（即證 書通用名與URL必須相符），否則可能會出現(xiàn)Win98下無法建立連接、或低加密強(qiáng)度的瀏覽器無法建立128bit連接而只能建立40bit或56bit 的SSL連接的問題（可能還有其他不可預(yù)知的問題）。

23.在IIS中如何導(dǎo)入pfx格式的服務(wù)器證書？ 如果操作系統(tǒng)是win 2003，在IIS配置目錄安全性的選項(xiàng)里有從pfx文件中導(dǎo)入的選項(xiàng)，按照安裝向?qū)渲眉纯?。如果是其他操作系統(tǒng)，需要先雙擊pfx文件，將證書導(dǎo)入到系統(tǒng)中，然后再選擇指派現(xiàn)有證書進(jìn)行配置。

24.關(guān)于重定向的配置

方法一：在主頁中嵌入 <—