标签： 服务器证书

SSL协议是 NetScape 公司于 1994 年提出的一个关注互联网信息安全的信息加密传输协议，其目的是为客户端(浏览器) 到服务器端之间的信息传输构建一个加密通道，此协议是与操作系统和 Web 服务器无关。

同时， NetScape 在 SSL协议中采用了主流的加密算法(如： DES 、AES 等) 和采用了通用的 PKI 加密技术。目前， SSL已经发展到 V3.0 版本，已经成为一个国际标准，并得到了所有浏览器和服务器软件的支持。

部署了SSL证书能说明什么？

起初， SSL证书的主要角色就是为网站的机密数据提供加密传输功能，从而确保机密信息的机密性、完整性和不可否认性。但是，对于电子商务来讲，用户在向网站提交 机密信息之前如果不能信任此网站，那再高强度的加密也是没有用的，因为加密只是一种技术保护措施。

所以， SSL证书标准也在不断完善，使得 SSL证书不仅起到加密作用，而且成为了网站的电子身份证或称“数字营业执照”，因为 SSL证书中将包含经过证书颁发机构验证的单位名称和所在地区等信息，这样，就大大方便了在线用户能实时查验此网站是否是用一个现实世界的实体所拥有和是 否就是网站上所声称的单位，从而让用户放心地从事在线交易。

不严格的身份验证就颁发SSL证书给在线交易带来了信任危机

数字证书颁发机构在维护在线身份的真实性上起到关键的作用，因为其颁发的证书就代表申请单位在网络世界的数字身份，数字证书颁发机构一定要严格验证申请单位的真实身份，并把通过其验证的信息包含在数字证书中。

但不幸的是，由于后来的数字证书颁发机构为了占领市场或为了降低成本，就推出了只验证域名所有权的 SSL证书，而不要求提供营业执照并验证，这种 SSL证书只能起到加密作用，而不能起到最关键的真实身份认证的作用。

而更糟糕的是：这种 SSL证书在浏览器中同SSL证书一样显示一样的安全锁标志，只要仔细查看证书主题才能发现：不显示单位名称(只显示域名)。但一般用户是不会查验证书详细信息的，只是在浏览器中看到有安全锁就以为安全了。

如果两个网站：( www.ABCcompany.com)和 (www.ABC-company.com) 都申请了 SSL 证书，如何判断哪个网站确实是 ABC company 的网站呢？这就是需要第三方的验证资料，这体现在 SSL 证书上，需要仔细查看证书的主题信息，因为都会显示一个“安全锁”标志，因为假冒网站是非常容易获得只验证域名所有权的 SSL 证书的，但这就给在线欺诈分子一个可乘之机，因为一般网上消费者根本就不能识别此 SSL 证书是否已经验证真实身份。

EV SSL 的推出就是为了解决SSL证书的信任危机

正是由于以上 SSL证书中存在的问题，就诞生了 EV SSL 证书。其中最为著名的便是VeriSign EVSSL证书。

当网站部署了 EV SSL 证书后，让用户使用 IE7 或其他新版浏览器访问此网站时，其地址栏是绿色的，而地址栏右边的安全状态栏会循环显示此网站所属的单位名称和颁发此证书的证书颁发机构，如下图所示，绿 色表示此网站的身份是经过严格的身份验证的，而其他 SSL 证书则仍然显示一般的白色：

SSL 证书在网站信息安全上是至关重要的，它保护了信息的机密性、完整性和身份认证。而电子商务不仅需要加密，更重要的是需要增强在线消费者信心，让消费者相信 电子商务网站的真实身份，所以严格身份验证的 SSL 证书对于电子商务来讲是至关重要的。

相信 EV SSL 证书的推出，一定会为电子商务提供更好的安全保证和身份保证。这样，电子商务才能继续快速而健康地发展，为人们提供安全可信的在线购物和其他在线服务。

根据Verisign的签署协议中禁止客户在多台服务器上配置同一张SSL证书。如果做负载均衡是需要在每台物理服务器上都配置SSL证书的.如果因为出现违反VeriSign关于负载均衡说明所引起的问题.我们是不负责任的。

如何实现用户用访问http时自动跳转到https的访问地址？

实现网页的自动跳转有两种方式：

1、增加重定向到https

2、在页面中加入自动跳转代码。例如：<—< meta http-equiv=”Refresh” content=”秒数; url=跳转的文件或地址”>—>

多台服务器多个域名，该如何选购SSL证书?

一般来讲，一个网站(一个域名)对应一个SSL证书，因为SSL证书是绑定域名的。只有通配型SSL证书和多域型SSL证书才支持多个域名。

通配型SSL证书适合于同一台物理服务器下的同一域名下的多个子域，如您在同一台物理服务器上有多个网站：

www.mydomain.com

secure.mydomain.com

pay.mydomain.com

login.mydomain.com

申请通配型SSL证书时填写的通用名称(Common Name)为： *.mydomain.com 。

与通配型SSL证书只支持子域不同的是，多域型SSL证书支持任何域名，不仅限于子域，如：domain.com、domain.cn、domain.com.cn、domain.net、domain.net.cn、mydomain.com、domain.us、domaina.com等等。不仅适合于有多个域名需要部署SSL证书的单位，更适合于虚拟主机服务提供商为不同单位的不同域名的网站部署SSL证书。

请注意：以上两种证书都使用于同一台物理服务器，如果您有多台物理服务器在使用同一个域名(负载均衡方式)，则您需要为多台服务器购买多服务器许可证即可。

部分客户端访问IIS服务器时，证书链中的中级证书过期怎么办？

这种情况通常发生在IIS服务器上。导致该问题的原因是服务器上存在多张可提供信任关系的中级证书，且其中有已过期的中间级证书。

如果客户端PC系统中证书存储区没有新的中级证书而只有已经过期版本的中级证书的话，客户端浏览器不会主动从服务器上下载新的中级证书文件，而只通过已过期的中级证书去验证服务器证书的有效性。导致客户端报中间级证书已过期错误。

解决方法：删除服务器上计算机账户中“中级证书颁发机构”里已过期的证书，并更新最新的中级证书文件，强制客户端下载最新的证书链文件，使客户端只能通过一条最新的证书链来验证服务器证书的有效性。

收到证书批准邮件后，从邮件中提取的证书安装失败，无法安装？

1.保存下来的服务器证书文件中，文件代码前后可能有空格或其他无效字符。或者没有将证书头和尾部起始代码包含进来。在Windows环境下，双击尝试打开该证书文件，检查是否能够查看证书信息。

2.原始请求被删除或被新的请求覆盖，私钥丢失。需要吊销替换，重新生成证书文件。

3.私钥管理权限不足，使用管理员权限登陆，并赋予私钥的管理权限。

IIS下同一站点不允许同时提交多个请求

微软IIS 6.0中每一个站点只允许同时发出一个CSR请求。如果在已有的请求之上重新创建一个新的CSR请求，您的原始请求（和私钥）将被覆盖。

在正式提交CSR请求后，请不要对服务器做证书方面的配置，并可通过私钥备份，保存您的私钥文件。

初始VeriSign服务器证书时，CSR中的所有信息都是按照要求正确填写的，但提交后系统无法解析，无法签发证书。

客户在填写辨识码时（证书管理密码）使用了特殊字符。

服务器需要使用的是 Pem 格式的私钥和证书文件，该如何生成私钥和证书请求。

可以安装 Openssl ，使用 Openssl 来生成证书请求。请参考Apahce服务器证书CSR生成指南，在生成私钥文件时，只需要将私钥文件名的后缀定义成 .pem 就可以了。

在Apache 上配置VeriSign EV SSL 证书，但VeriSign EV SSL证书有两张中级证书，在Apache 配置文件中出现两个引用中级证书语句时，启动失败。Apache 下，需要将两张中级证书打包成一个证书文件。打包方式：用记事本等文本编辑器打开两张中级证书文件，分别复制证书代码，粘贴到一个记事本文档中。并将该文件配置到 Apapche 配置文件中 SSLCertificateChainFile 路径下。