- 服务器证书是什么?
- 全球服务器证书如何保护国际交易的安全?
- 40-位SSL 安全服务器证书 与128-位SSL 全球服务器证书有什么不同?
- 证书的有效期是几年?到期如何更新?
- 为什么查看某些安全站点时会弹出包含不安全内容的警告?
- ssl会话建立的过程(原理)是什么?
- ssl2和ssl3的区别是什么?
- 服务器证书中的颁发者说明中的否认书,是什么含义?
- 注册全球服务器证书时,注册信息报错950A,是何含义?
- 注册试用服务器证书时,注册信息报错9511,是何含义?
- 如果改变了硬件、软件(web server)证书需要重新申请吗?
- iPlanet Web Server 6.0上安装测试服务器证书后,在IE中看到只有可靠的SSL(56位),无法达到128位,为什么?
- 全球服务器证书适用于哪些Web服务器软件?
- 在一台服务器的多个虚拟主机中,是否可以实现SSL功能?
- 如何实现用户用访问http时自动跳转到https的访问地址?
- 服务器证书双击打开时,提示是无效的证书格式,如何处理?
- 关于在负载均衡上配置服务器证书的问题。
- 全球服务器证书创建连接后,仍显示为40位连接,如何解决?
- 如何在两台同一通用名的机器上使用一张服务器证书?
- 如果显示证书已过期(并未到有效期)。
- 配置好证书的站点,如何实现其站点下部分网页实现SSL功能,部分网页不用SSL功能?
- 书后无法启动apache报”Failed to configure CA certificate chain!”错误,为什么?
- 服务器证书做双向认证是否需要安装第三方的插件?
- 物理服务器出现故障对证书使用会有什么影响?
- 服务器证安装证书会不会影响到速度和流量?
- SSL服务器证书一般的应用模式?
- 网络设备是否可以支持SSL证书?
- 如果服务器更换了IP地址,原来的SSL证书是否还能用?
- 托管服务器提供商不让配置SSL证书
- 是否可以申请公用名为“通配符+域名”形式的证书?
- 在Web Logic中安装Web Server证书时,出现私钥与证书不匹配的问题,是为什么?
服务器证书一种可以让访问者利用网页浏览器来验证网站真实身份的数字证明,通过服务器证书客户端和服务端可以进行具有SSL 加密的通讯过程。
(1)全球服务器证书是不可伪造的,其内含的密钥几乎是不可破解的。
(2)只有符合中国政府限定资格的合法企业才能获得全球服务器证书。
(3)不可能通过欺诈的手段获得全球服务器证书。
3、40-位SSL 安全服务器证书 与128-位SSL 全球服务器证书有什么不同?
这两种服务器证书的最主要差别在于各自所能激活的SSL 阶段作业的加密强度不一样。SSL对信息的加密强度分为两种,分别为40位及128位;这两者的区别主要在于每次进行加密过程时所产生的"会话密钥"长度不同。加密密钥的长度越长,要破解加密就越困难。据RSA 实验室表示,128位的SSL 加密是全球最坚实的技术;以现今的技术要破解128 位加密必须耗费好几兆年的时间。Microsoft 与Netscape 两家企业在其网页浏览器程序中各提供两种不同的版本;分别为输出版本(export) 以及本地版本(domestic),依浏览器程序与正在通讯中的服务器证书而定,这两种不同版本的网页浏览器各可以激活不同层次的加密等级。
40 位SSL安全服务器证书包含在Secure Site与Commerce Site服务中,可以在与输出版本的Netscape及Microsoft Internet Explorer浏览器(为全球大多数用户所使用) 进行通讯时激活40位SSL机制;而当与本地版本的Microsoft 及Netscape 浏览器通讯时则可以激活128位的SSL加密。
128-位SSL全球服务器证书包含在 Secure Site Pro 与Commerce Site Pro 服务中,可以激活128 位的SSL 加密,它是目前全球最坚强的加密等级,Microsoft[TM] 与Netscape[TM]浏览器的本地及输出版本皆适用。
128位的SSL 全球服务器证书与40-位的SSL 安全服务器证书还有一个主要的差异点,即各自所支持的服务器平台数目不同。
北京CA数字证书认证中心可以为客户分别签发有效期为一年至五年的全球服务器证书和有效期为一至三年的代码签名证书。
证书即将到期时,我们客服部会以邮件的形式提醒客户更新证书。
这是因为这些站点上有不安全的链接(没有使用https协议)。
(1)交换开始于客户端发出的一条“client_hello”消息,消息包括
- 客户端支持的SSl版本号
- 客户端产生的32字节的随机数
- 一个对应的会话ID
- 一个支持的密码算法的列表
- 一个支持的压缩算法的列表
(2)服务器发出消息“server_hello”进行响应,内容包括
- 服务器从客户端列表中选择的SSL版本号
- 服务器产生的32字节的随机数
- 会话ID
- 从客户端列表中选择的密码算法
- 选定的压缩算法(通常不进行压缩)
(3)客户端检查服务器的证书和它发出的诸多参数;如果服务器请求客户端证书,那么客户端响应一条证书消息,其中包含了它的X.509证书。
(4)服务器以客户端发来的“change_cipher_spec”消息作为响应,向客户端显示它也将使用与客户端相同的参数来加密将来所有的通信内容。因为服务器已经收到了客户端计算密钥使用的随机数,它也可以计算与客户端相同的密钥;服务器发送交换结束消息来结束握手过程。
ssl2和ssl3的主要区别在于“服务端对客户端的认证上”:
(1)ssl2中服务端不对客户端进行认证;
(2)ssl3中服务端需要对客户端进行认证(不是必须的)。
VeriSign在不同时期向证书中添加一些信息,如:CPS等。所以,可能不同时间签发的证书显示的信息不同。“否认书”一词只是系统对证书中注释词的翻译,并不准确。不影响证书的使用。
950A是指省、市/区、县一栏填写错误。
10、注册试用服务器证书时,注册信息报错9511,是何含义?
9511是指生成CSR时填写了非法字符――不能填写中文,而只能是中文的拼音。
11、如果改变了硬件、软件(web server)证书需要重新申请吗?
服务器证书与硬件无关。系统和web server版本如果相同也不会有任何影响。如果改变了服务器软件,证书就要重新申请。服务器证书不可以更换平台使用。
12、iPlanet Web Server 6.0上安装测试服务器证书后,在IE中看到只有可靠的SSL(56位),无法达到128位,为什么?
无法达到128位可能有两个原因:
(1)服务端某些强度比较低的算法(例如:RC4 with 56……)没有屏蔽掉;
(2)客户端的加密强度比较低,升级IE的加密包。
全球服务器数字证书目前可用于以下平台:
-Secure confidential information (e.g. customer information, credit card numbers) sent to merchants by their customers
-Compaq/Tandem iTP Webserver
-Hewlett Packard Virtual Vault (with Netscape Enterprise)
-Lotus Domino 4.6.2+ (Please note that GO does not yet support Global Secure Site IDs)
-Microsoft IIS 3.0+以上版本
-anoteq NetSeq server
-One of the Netscape Suite Spot Server, 3.0+ or later (e.g. Netscape Enterprise 3.0+, Netscape Proxy 3.0+, 2.01c, etc.)――iPlanet
14、在一台服务器的多个虚拟主机中,是否可以实现SSL功能?
如果是一个IP多个网站的情况,是无法实现SSL功能;如果是一台服务器对应多个网站多个IP(每个网站一个IP),就可以实现SSL功能。每个网站需要配置一张服务器证书。
15、如何实现用户用访问http时自动跳转到https的访问地址?
实现网页的自动跳转有两种方式:1、增加重定向到https 2、在页面中加入自动跳转代码。例如:<meta http-equiv="Refresh" content="秒数; url=跳转的文件或地址">
16、服务器证书双击打开时,提示是无效的证书格式,如何处理?
可能是文件中含有其证书链上的其它证书的缘故。可将文件的后缀改成.p7b解决。
(1)通过一个域名访问一个switch(硬件),然后分配到各服务器上,如果把证书安装在sewitch上,要求其支持SSL功能;如果安装在server上,要求switch有基于SSL的分配功能。这里建议客户安装在server上
(2)负载均衡的服务器,每台都要购买证书。对于服务器是托管在IDC的,也需要购买证书。
18、全球服务器证书创建连接后,仍显示为40位连接,如何解决?
请客户在服务器端打一个NT4高强度加密包。
将证书连带私钥导出,再导入到另一台机器上即可。
可能情况:1)系统时间不对;2)中级证书过期。
21、配置好证书的站点,如何实现其站点下部分网页实现SSL功能,部分网页不用SSL功能?
主站点不要申请SSL安全通道,在站点下建立两个虚拟目录,一个放入要实现SSL功能的页面,申请安全通道,一个放入不用SSL功能的页面,不申请安全通道。
22、书后无法启动apache报”Failed to configure CA certificate chain!”错误,为什么?
Mod_ssl模块的问题,重新编译一下apache即可。
常用的Webserve中间件都会有支持客户端认证的功能,配置证书只需要修改配置文件便可以启用客户认证的功能,不需要安装第三方插件。
在您申请服务器证书后,请及时备份您的证书(私钥,公钥)如果物理服务器出现故障只需要将备份的证书配置到新的服务器上就可以了,不会对证书使用造成影响。
当然会增加服务器CPU的处理负担,因为要为每一个SSL连接实现加密和解密,但一般不会影响太大,同时建议注意以下几点以减轻服务的负担:
(1)仅为需要加密的页面使用SSL,如https://www.bjca.com,不要把所有页面都使用https://,特别是访问量最大的首页:
(2)尽量不要在使用了SSL页面上设计大块的图片文件和其他大文件,尽量使用简洁的文字页面。
如果网站的访问量非常大,则建议另外购买SSL加速卡来专门负责SSL加解密工作,可以完全不增加服务器任何负担或另外增加服务器。
由于443端口的开放,走SSL协议会对服务器带来一定的负载,一般的应用模式是在整个站点的首页开放80端口让用户可以通过https://访问,在主页面中做一个连接跳转到443端口,一般也可以让一台单独的服务器来运行SSL页面,这样不会对整站的访问造成影响,目前的网银和在线交易平台基本都是这种应用。
设备的硬件制造如果让设备支持SSL协议是可以支持证书,一般的技术配置文档邮这些设备厂商提供。如:cisoco、F5、VPN都有支持证书的产品。
28、如果服务器更换了IP地址,原来的SSL证书是否还能用?
一般SSL证书都是绑定域名的,服务器更换IP地址没有任何关系,只要域名不变,重新解析到新的IP地址即可,原来的SSL证书当然照样可以用。但如果您申请的SSL证书是为IP地址申请,那么更新IP后,就要重新申请证书,之前的证书就无法再继续使用了,Geotrust有绑定IP的证书(不能绑定公网 IP)。
托管服务器一般也叫虚似主机提供商,他们在一台较好的服务上配置了多个虚似站点,一般都是提供普通80WEB服务,如果其中一个站点配置了证书走SSL协议是会对整个服务器有负载的。
可以的,Verisign Geotrust Thawte 都有支持如*.BJCA.org.Cn形式的证书。
31、在Web Logic中安装Web Server证书时,出现私钥与证书不匹配的问题,是为什么?
在私钥文件与证书文件都正确的情况下,这可能是由于没有安装中级CA引起的,客户必须半全球服务器证书配置到域名与证书通用名相同的WEB站点上(即证书 通用名与URL必须相符)否则可能会出现Win98下无法建立连接或低加密强度的浏览器无法建立128bit连接而只能建立40bit或56bit的 SSL 连接问题(可能还有其他不可预知的问题)。
