首页 > 客户服务与支持 > SSL服务与支持
常见问题解答
常识问题
·为什么申请SSL证书需要严格的鉴定过程?
  答:因为SSL证书是证明WEB服务器在网络上的身份的,相当于服务器在网络上的身份证,又类似于颁发给企业的营业执照。而数字认证中心(如BJCA)是公正的第三方认证机构,需要对证书的签发行为负责,也是对用户自身的负责。
  比如:BJCA签发SSL证书就相当于工商局向企业发营业执照一样,试想如果工商局没有将营业执照真正的发给您,而是错误的发给了另外一个企业或个人,而这个企业或个人冒充您去做了一些非法的事情,我想这肯定是您所不愿意看到的。我们发SSL服务器证书也是如此,主要是为了保证广大用户的利益。
·中文域名能申请SSL证书吗?
  答:不行,因为域名信息将做为SSL证书中的CN(Comman Name)出现,而CN只允许是英文的。
·SSL证书必须要做私钥备份吗?
  答:不是必须的,但我们建议您尽量做备份,因为在您生成CSR后或安装了证书后,可能因为各种原因导致密钥损坏或丢失,如错误操作导致密钥丢失或更换、操作系统崩溃、更换服务器平台软件、更换服务器硬件等,为保证在出现这些情况时您的证书能够被恢复使用,最好做私钥备份。
·服务器装上SSL证书会不会影响到速度和流量?
  答:会增加服务器CPU的处理负担,因为要为每一个SSL连接实现加密和解密,但一般不会影响太大,因为只是在服务端和客户端建立SSL通道初始阶段速度会稍显慢,但一旦SSL通道建立后速度基本就不会有任何影响了。同时建议注意以下几点以减轻服务器的负担:
  a) 仅为需要加密的页面使用SSL,如https://www.yourdomain.com/login.htm,不要把所有页面都使用https,特别是访问量最大的首页;
  b) 尽量不要在使用了SSL的页面上设计大块的图片文件和其他大文件,尽量使用简洁的文字页面;
  c) 如果网站的访问量非常大,则建议另外购买SSL加速卡来专门负责SSL加解密工作,可以完全不增加服务器任何负担,或另外增加服务器。
·能介绍一下Entrust公司吗?
  答:a) Entrust是全球三大PKI厂商之一,是全球电子认证最具规模的安全技术公司之一
  b) 是美国 Nasdaq上市公司,Entrust 在PKI技术领域一直维持领先的地位
  c) 1994年Entrust是全球首家以商业模式售出 PKI 技术的安全技术公司
  d) Entrust的技术研究中心经美国政府认可,客户包括FBI(美国联邦调查局)、加拿大政府等多个政府部门、US Bank(美国国家银行)、JPMorgan Chase、康柏计算机、 ING、加拿大贝尔、Sony、BP、Kodak和Canada邮政等。另外,全球前8位的网上政府、电信运营商、宇航局、国防部,前7位的国际性商业银行、制药企业以及前4位国际石油企业都应用了Entrust的数字证书服务
  e) Entrust的SSL证书价格较Verisign等厂商有优势。
产品相关
·请问你们公司在SSL证书这方面有赔付机制吗?
  答:有,如果我们错误颁发了证书,我们将向SSL证书用户提供¥12000元的赔付保障。
·我有多台Web服务器都要用SSL,该怎么办?
  答:首先,如果您要给两个虚拟Web站点需要用SSL证书,我们建议您购买"BJCA SSL全球服务器证书(高级版)",这样您能够在两个Web站点上共用一张SSL证书,可以为您节省费用,并可以在证书有效期内多次免费重发,详情可参考SSL全球服务器证书(高级版)白皮书。
  其次,如果您有超过5台Web服务器需要使用SSL证书,请直接与我们取得联系,我们可以在价格上给予您更多优惠。BJCA的联系方式如下:
北京数字证书认证中心 全球服务器证书组
地  址
 北京市西城区裕民东路3号京版信息港二层
邮  编
 100029
服务热线
 010-82031677-8720
传  真
 010-82031599
E - mail
 ssl@bjca.org.cn
·您的SSL证书标准版和高级版有什么不同?
  答:SSL证书高级版与标准版相比,主要有四点优势:

无限期免费重置
  在证书有效期内,可以无限期免费重新签发,因为在您安装或使用SSL证书过程中,可能因误操作等原因导致申请的证书无法使用,此时BJCA可以为您免费重新颁发,这样就为您节省了大量的意外费用,在以下状况可以为您提供免费重置服务:
  ·在您安装或配置SSL证书出现问题时,BJCA可为您无限制重签发,但如果重签发2~3次仍无法解决问题,就必须确认问题所在,然后再决定是否继续重签发
  ·在您的服务器私钥丢失时,BJCA可为您无限制重签发,但我们强烈建议您妥善保管并备份私钥,在重签发时您需要重新生成私钥和CSR
  ·在域名所有者更换时,BJCA可为您无限制重新签发
  ·当CN发生变更时,只能重签发一次,且必须在顶级域名不发生改变的情况下,如:已经给bjca.org.cn签发了证书,那么可为www.bjca.org.cn重签发证书,但不可为www.bjca2.org.cn 重签发证书。

两个Web站点共用一张SSL证书
  通过使用主题备用名(SubjectAltName),使两个虚拟Web站点共用一张SSL证书,可以为您节省很多费用。

服务器间身份认证
  除了可实现Web浏览器和Web服务器之间的认证,还可以实现Web服务器之间的认证。

价格更划算
  您申请一张SSL全球服务器证书(高级版),可以同时应用于两个虚拟Web站点,价格上比您申请两张SSL全球服务器证书(标准版)要便宜很多,为您节省了更多成本。
·安装BJCA的SSL证书后还需要下载根证书吗?
  答:不用,因为BJCA与Entrust全面合作,而Entrust的根证书已经预埋到象IE这样的浏览器中,用户无须再下载根证书,当您访问装有SSL服务器证书的页面时也不会弹出警告框。
·我的服务器使用IP地址,请问您的证书支持吗?
  答:当然支持,您可以用IP地址申请SSL证书,但如果以后您的IP地址改变了,则必须重新申请。
·请问您的服务器证书能支持虚拟主机吗?
  答: 当然可以,但需要您的虚拟主机服务商帮您生成CSR文件,颁发证书给您后,还需要您的虚拟主机服务商帮您安装。
    但虚拟主机有个问题:一台物理服务器上一般有多个虚拟主机用户,但SSL缺省使用的端口443却只有一个,所以,可能您就无法使用443端口了,可能会分配一个448端口给您,那么当通过https访问您的网站页面时就必须使用https://www.yourdomain.com:448/login.htm
证书申请
·生成CSR过程中有哪些需要特别注意的?
  答:生成CSR时按如下方式填写:
  ·CSR中的CN填写您网站的完整域名(如:www.bjca.org.cn),并且该域名应该为您组织所有,如果不是您组织申请的域名,您还需要该域名所有组织给您出具《域名使用授权书》
  ·CSR中的O为您单位的英文名称(Beijing Certificate Authority, Ltd),并且确保该英文名称为您组织所有,不要与其他组织名称相同
  ·CSR中的OU为部门英文名称,可填"primary server",或者为空
  ·CSR中的C为国家代码,域名所属组织在中国境内的统一填"CN"

生成CSR时需特别注意以下问题:
  ·在生成CSR过程中,任何填入的信息中不允许出?quot;逗号",因为"逗号"将被系统认为是一个字段的结束,并且会导致CSR生成错误。
  ·在CSR生成过程中,不要出现某些特殊字符,否则会产生错误,如:! @ # $ % ^ * ( ) ~ ? > < & / \
  ·在产生CSR过程中,请确保您是作为网站服务器的管理员(Administrator)登陆的
  ·生成CSR后,最好立刻备份私钥

在页面上粘贴CSR时需注意:
  1) 打开CSR文本文件,如certreq.txt,将全部文本内容复制到"剪贴板"中,请注意必须包含"-----BEGIN NEW CERTIFICATE REQUEST-----"和"-----END NEW CERTIFICATE REQUEST-----"
  2) 将"剪贴板"中的文本内容粘贴到提交CSR的文本框中,请注意在整个文本内容前后一定不要有"空格",否则会提交错误,因为如果有"空格",服务器会认为证书格式错误而无法签发证书
·为什么在产生CSR时只能填写英文信息?
  答: 因为现在的服务器软件在生成CSR过程中只支持英文字符,不支持中文字符,SSL证书中也只能出现英文信息
·申请SSL证书需要提供什么样的证明文件?
材料名称
提交要求
《企业营业执照》或其他批准成立证照,如事业单位登记证、社会团体登记证等 必须提供
《域名使用授权书》 如果域名注册者不是申请组织,需盖公章
《服务器证书授权委托书》 如果技术联络人不是申请组织的员工,需盖公章

注:
  ·只需要将以上证明文件的复印件给BJCA发传真即可,并在传真件左上方写上"全球服务器证书组"字样
  ·BJCA的传真:010-82031599
·我填写的通信地址有什么用?
  答:BJCA会将发票寄至您填写的通信地址,因此该地址一定不要填错。
·颁发的SSL证书会发到我的哪个电子邮箱中?
  答:给您颁发的SSL证书会发到"技术联络人"电子邮箱中,因此该邮箱一定不要填错,并确保该邮箱能够正常收发电子邮件。
证书安装
·给我颁发的证书安装不上,为什么?
  答:这是因为在您的服务器平台软件上生成CSR时,已经在您本地服务器上生成了SSL证书私钥和CSR文件,而如果您在我们向您签发证书之前又重新产生了CSR或做了一些误操作,那么私钥将被删除,SSL证书颁发后将无法安装,因为系统找不到匹配的私钥了,那签发给您的这个SSL证书就没用了!
    所以,在您产生了CSR后千万不要随便对服务器做任何改动,直到我们将SSL证书颁发给您!
·我换了服务器平台,以前的证书还能用吗?
  答: 如果您备份了证书私钥,是可以继续使用的。因此生成CSR后,您需要将服务器挂起,等待我们向您颁发SSL证书,您收到SSL证书并安装成功后一定要立刻备份导出证书(含私钥和公钥),并妥善保管,一旦将来需要换别的操作系统或其他机器,只要导入证书和私钥就可以了。