SSL证书常见问题(第三篇)

1. 在Apache 上配置EV SSL 服务器证书,但EV SSL 服务器证书有两张中级证书,在Apache 配置文件中出现两个引用中级证书语句时,启动失败。

Apache 下,需要将两张中级证书打包成一个证书文件。打包方式:用记事本等文本编辑器打开两张中级证书文件,分别复制证书代码,粘贴到一个记事本文档中。并将该文件配置到 Apapche 配置文件中 SSLCertificateChainFile 路径下。

2. 配置中间证书后无法启动apache报”Failed to configure CA certificate chain!”错误,为什么?

Mod_ssl模块的问题,重新编译一下apache即可。

3. 关于重定向的配置

方法一:在主页中嵌入 <—<script language=javascript> if(document.location.protocol == “http:”){ document.location.replace(document.location.href.replace(/^http:/i,”https:”)); } —>

方法二:1. 在IIS下新建一个站点,主机名和要实现SSL功能的网站域名相同,在该站点的“属性”,“主目录”中选择“重定向到URL”并修改成要实现 SSL连接的网站,这个站点的端口用80端口。2. 如果主站点的端口是80,修改成其他端口,并在属性里加载SSL连接,SSL端口为443。重启服务即可。

4. 在Web Logic中安装Web Server证书时,出现私钥与证书不匹配的问题,是为什么?

在私钥文件与证书文件都正确的情况下,这可能是由于没有安装中级CA引起的。客户必须将全球服务器证书配置到域名与证书通用名相同的WEB站点上 (即证 书通用名与URL必须相符),否则可能会出现Win98下无法建立连接、或低加密强度的浏览器无法建立128bit连接而只能建立40bit或56bit 的SSL连接的问题(可能还有其他不可预知的问题)。

5. 如果改变了硬件、软件(web server)证书需要重新申请吗?

服务器证书与硬件无关。系统和web server版本如果相同也不会有任何影响。如果改变了服务器软件,证书就要重新申请。服务器证书不可以更换平台使用。

6. 服务器证书做双向认证是否需要安装第三方的插件?

常用的webserve 中间件都会有支持客户端认证的功能。配置证书书只需要修改配置文件便可以启用客户认证的功能。不需要安装第三方的插件。

7. 服务器需要使用的是 Pem 格式的私钥和证书文件,该如何生成私钥和证书请求。

可以安装 Openssl ,使用 Openssl 来生成证书请求。请参考Apahce服务器证书CSR生成指南,在生成私钥文件时,只需要将私钥文件名的后缀定义成 .pem 就可以了。

8. 用IE4或IE5浏览器浏览某些安全站点时,会出现服务器证书不可信的警告,用Win2000则没有这个问题,为什么?

这个问题包含两方面内容:

1. VeriSign在2001年2月26日后颁发的全球服务器证书都不再支持IE4浏览器,因此IE4浏览器需要升级或安装2028年的新的Class3根证书。

2. 除微软的IIS外,其他WebServer软件都需要安装中级CA证书(根证书一般是预埋的)。

9. 如果显示证书已过期(并未到有效期)?

可能情况:1)系统时间不对;2)中级证书过期。