SSL证书常见问题(第一篇)

1. 同一张服务器证书是否可以配置在多台服务器上?

不可以。Verisign的签署协议中禁止客户在多台服务器上配置同一张证书。

2. 部分客户端访问IIS服务器时,证书链中的中级证书过期怎么办?

这种情况通常发生在IIS服务器上。导致该问题的原因是服务器上存在多张可提供信任关系的中级证书,且其中有已过期的中间级证书。如果客户端PC系 统中证 书存储区没有新的中级证书而只有已经过期版本的中级证书的话,客户端浏览器不会主动从服务器上下载新的中级证书文件,而只通过已过期的中级证书去验证服务 器证书的有效性。导致客户端报中间级证书已过期错误。

解决方法:删除服务器上计算机账户中“中级证书颁发机构”里已过期的证书,并更新最新的中级证书文件,强制客户端下载最新的证书链文件,使客户端只能通过一条最新的证书链来验证服务器证书的有效性。

3. 如何实现用户用访问http时自动跳转到https的访问地址?

实现网页的自动跳转有两种方式:

A 增加重定向到https

B 在页面中加入自动跳转代码。例如:<—< meta http-equiv=”Refresh” content=”秒数; url=跳转的文件或地址”>—>

4. IIS下同一站点不允许同时提交多个请求

微软IIS 6.0中每一个站点只允许同时发出一个CSR请求。如果在已有的请求之上重新创建一个新的CSR请求,您的原始请求(和私钥)将被覆盖。在正式提交CSR请求后,请不要对服务器做证书方面的配置,并可通过私钥备份,保存您的私钥文件。

5. 初始VTN服务器证书时,CSR中的所有信息都是按照要求正确填写的,但提交后系统无法解析,无法签发证书。

客户在填写辨识码时(证书管理密码)使用了特殊字符。

6. IIS中,已经提交CSR请求,还未收到证书如何备份私钥。

开始菜单“运行”-“MMC”-“文件”-“添加删除管理单元”,打开控制台,添加计算机账户-本地计算机。在控制台根节点中找到“证书注册申请”,在该目录下,找到您的注册请求文件并导出成一个PFX文件。

安装证书时,先从控制台导入私钥备份文件到“证书注册申请”,再把服务器证书导入到“个人”中。然后再到 internet 服务管理器中,需要配置证书的网站上,指派现有证书到导入的服务器证书上即可。

7. ssl会话建立的过程(原理)是什么?

交换开始于客户端发出的一条“client_hello”消息,消息包括
客户端支持的SSl版本号
客户端产生的32字节的随机数
一个对应的会话ID
一个支持的密码算法的列表
一个支持的压缩算法的列表
服务器发出消息“server_hello”进行响应,内容包括
服务器从客户端列表中选择的SSL版本号
服务器产生的32字节的随机数
会话ID
从客户端列表中选择的密码算法
选定的压缩算法(通常不进行压缩)
客 户端检查服务器的证书和它发出的诸多参数;如果服务器请求客户端证书,那么客户端响应一条证书消息,其中包含了它的X.509证书 服务器以客户端发来的“change_cipher_spec”消息作为相应,向客户端消失它也将使用与客户端相同的参数来加密将来所有的通信内容。因为 服务器已经收到了客户端计算密钥使用的随机数,它也可以计算与客户端相同的密钥;服务器发送交换结束消息来结束握手过程

8. 服务器证书双击打开时,提示是无效的证书格式,如何处理?

可能是文件中含有其证书链上的其它证书的缘故。可将文件的后缀改成.p7b解决。

9. Apache如何启动SSL?

Windows平台下启动apache
1. apache -k install 将apache加载为系统服务
2. apache -D SSL -k start 注意大小写

Unix或linux平台下启动apache
1. apachectl start
2. apachectl startssl

10. 配置好证书的站点,如何实现其站点下部分网页实现SSL功能,部分网页不用SSL功能?

主站点不要申请SSL安全通道,在站点下建立两个虚拟目录,一个放入要实现SSL功能的页面,申请安全通道,一个放入不用SSL功能的页面,不申请安全通道。