1、如何實(shí)現(xiàn)用戶用訪問(wèn)http時(shí)自動(dòng)跳轉(zhuǎn)到https的訪問(wèn)地址？ 
答：實(shí)現(xiàn)網(wǎng)頁(yè)的自動(dòng)跳轉(zhuǎn)有兩種方式：
1）增加重定向到https 
2）在頁(yè)面中加入自動(dòng)跳轉(zhuǎn)代碼。例如：<---< meta http-equiv="Refresh" content="秒數(shù); url=跳轉(zhuǎn)的文件或地址">--->

2、同一張服務(wù)器證書(shū)是否可以配置在多臺(tái)服務(wù)器上？ 
答：不可以。Verisign的簽署協(xié)議中禁止客戶在多臺(tái)服務(wù)器上配置同一張證書(shū)。如果做負(fù)載均衡是需要在每臺(tái)物理服務(wù)器上都配置證書(shū)的.如果因?yàn)槌霈F(xiàn)違反VeriSign關(guān)于負(fù)載均衡說(shuō)明所引起的問(wèn)題.我們是不負(fù)責(zé)任的.


3、多臺(tái)服務(wù)器多個(gè)域名，該如何選購(gòu)SSL證書(shū)?
一般來(lái)講，一個(gè)網(wǎng)站(一個(gè)域名)對(duì)應(yīng)一個(gè)SSL證書(shū)，因?yàn)镾SL證書(shū)是綁定域名的。只有通配型證書(shū)和多域型證書(shū)才支持多個(gè)域名。
通配型證書(shū)適合于同一臺(tái)物理服務(wù)器下的同一域名下的多個(gè)子域，如您在同一臺(tái)物理服務(wù)器上有多個(gè)網(wǎng)站：
www.mydomain.com 
secure.mydomain.com 
pay.mydomain.com 
login.mydomain.com
申請(qǐng)通配型SSL證書(shū)時(shí)填寫(xiě)的通用名稱(chēng)(Common Name)為： *.mydomain.com 。 
與通配型證書(shū)只支持子域不同的是，多域型SSL證書(shū)支持任何域名，不僅限于子域，如：domain.com、domain.cn、domain.com.cn、domain.net、domain.net.cn、mydomain.com、domain.us、domaina.com等等。不僅適合于有多個(gè)域名需要部署SSL證書(shū)的單位，更適合于虛擬主機(jī)服務(wù)提供商為不同單位的不同域名的網(wǎng)站部署SSL證書(shū)。 
請(qǐng)注意：以上兩種證書(shū)都使用于同一臺(tái)物理服務(wù)器，如果您有多臺(tái)物理服務(wù)器在使用同一個(gè)域名(負(fù)載均衡方式)，則您需要為多臺(tái)服務(wù)器購(gòu)買(mǎi)多服務(wù)器許可證即可。

4、部分客戶端訪問(wèn)IIS服務(wù)器時(shí)，證書(shū)鏈中的中級(jí)證書(shū)過(guò)期怎么辦？ 
這種情況通常發(fā)生在IIS服務(wù)器上。導(dǎo)致該問(wèn)題的原因是服務(wù)器上存在多張可提供信任關(guān)系的中級(jí)證書(shū)，且其中有已過(guò)期的中間級(jí)證書(shū)。
如果客戶端PC系統(tǒng)中證書(shū)存儲(chǔ)區(qū)沒(méi)有新的中級(jí)證書(shū)而只有已經(jīng)過(guò)期版本的中級(jí)證書(shū)的話，客戶端瀏覽器不會(huì)主動(dòng)從服務(wù)器上下載新的中級(jí)證書(shū)文件，而只通過(guò)已過(guò)期的中級(jí)證書(shū)去驗(yàn)證服務(wù)器證書(shū)的有效性。導(dǎo)致客戶端報(bào)中間級(jí)證書(shū)已過(guò)期錯(cuò)誤。
解決方法：刪除服務(wù)器上計(jì)算機(jī)賬戶中“中級(jí)證書(shū)頒發(fā)機(jī)構(gòu)”里已過(guò)期的證書(shū)，并更新最新的中級(jí)證書(shū)文件，強(qiáng)制客戶端下載最新的證書(shū)鏈文件，使客戶端只能通過(guò)一條最新的證書(shū)鏈來(lái)驗(yàn)證服務(wù)器證書(shū)的有效性。

5、收到證書(shū)批準(zhǔn)郵件后，從郵件中提取的證書(shū)安裝失敗，無(wú)法安裝？ 
1.保存下來(lái)的服務(wù)器證書(shū)文件中，文件代碼前后可能有空格或其他無(wú)效字符?；蛘邲](méi)有將證書(shū)頭和尾部起始代碼包含進(jìn)來(lái)。在Windows環(huán)境下，雙擊嘗試打開(kāi)該證書(shū)文件，檢查是否能夠查看證書(shū)信息。
2.原始請(qǐng)求被刪除或被新的請(qǐng)求覆蓋，私鑰丟失。需要吊銷(xiāo)替換，重新生成證書(shū)文件。
3.私鑰管理權(quán)限不足，使用管理員權(quán)限登陸，并賦予私鑰的管理權(quán)限。

6、IIS下同一站點(diǎn)不允許同時(shí)提交多個(gè)請(qǐng)求 
微軟IIS 6.0中每一個(gè)站點(diǎn)只允許同時(shí)發(fā)出一個(gè)CSR請(qǐng)求。如果在已有的請(qǐng)求之上重新創(chuàng)建一個(gè)新的CSR請(qǐng)求，您的原始請(qǐng)求（和私鑰）將被覆蓋。
在正式提交CSR請(qǐng)求后，請(qǐng)不要對(duì)服務(wù)器做證書(shū)方面的配置，并可通過(guò)私鑰備份，保存您的私鑰文件。

7、初始VTN服務(wù)器證書(shū)時(shí)，CSR中的所有信息都是按照要求正確填寫(xiě)的，但提交后系統(tǒng)無(wú)法解析，無(wú)法簽發(fā)證書(shū)。 
答：客戶在填寫(xiě)辨識(shí)碼時(shí)（證書(shū)管理密碼）使用了特殊字符。

8、在Apache 上配置EV SSL 服務(wù)器證書(shū)，但EV SSL 服務(wù)器證書(shū)有兩張中級(jí)證書(shū)，在Apache 配置文件中出現(xiàn)兩個(gè)引用中級(jí)證書(shū)語(yǔ)句時(shí)，啟動(dòng)失敗。 
Apache 下，需要將兩張中級(jí)證書(shū)打包成一個(gè)證書(shū)文件。打包方式：用記事本等文本編輯器打開(kāi)兩張中級(jí)證書(shū)文件，分別復(fù)制證書(shū)代碼，粘貼到一個(gè)記事本文檔中。并將該文件配置到 Apapche 配置文件中 SSLCertificateChainFile 路徑下。

9、 服務(wù)器需要使用的是 Pem 格式的私鑰和證書(shū)文件，該如何生成私鑰和證書(shū)請(qǐng)求。 
可以安裝 Openssl ，使用 Openssl 來(lái)生成證書(shū)請(qǐng)求。請(qǐng)參考Apahce服務(wù)器證書(shū)CSR生成指南，在生成私鑰文件時(shí)，只需要將私鑰文件名的后綴定義成 .pem 就可以了。
  
10、IIS中，已經(jīng)提交CSR請(qǐng)求，還未收到證書(shū)如何備份私鑰。 
開(kāi)始菜單“運(yùn)行”-“MMC”-“文件”-“添加刪除管理單元”，打開(kāi)控制臺(tái)，添加計(jì)算機(jī)賬戶-本地計(jì)算機(jī)。在控制臺(tái)根節(jié)點(diǎn)中找到“證書(shū)注冊(cè)申請(qǐng)”，在該目錄下，找到您的注冊(cè)請(qǐng)求文件并導(dǎo)出成一個(gè)PFX文件。
安裝證書(shū)時(shí)，先從控制臺(tái)導(dǎo)入私鑰備份文件到“證書(shū)注冊(cè)申請(qǐng)”，再把服務(wù)器證書(shū)導(dǎo)入到“個(gè)人”中。然后再到 internet 服務(wù)管理器中，需要配置證書(shū)的網(wǎng)站上，指派現(xiàn)有證書(shū)到導(dǎo)入的服務(wù)器證書(shū)上即可。

11、為什么查看某些安全站點(diǎn)時(shí)會(huì)彈出“本頁(yè)不但包含安全的內(nèi)容，也包含不安全的內(nèi)容。是否顯示不安全的內(nèi)容”？ 
在編寫(xiě)網(wǎng)站頁(yè)面文件代碼的時(shí)候，頁(yè)面URL和資源文件建議使用相對(duì)路徑來(lái)定義。這樣有助于提高頁(yè)面對(duì)證書(shū)的兼容性。當(dāng)客戶端無(wú)論是用http還是https來(lái)訪問(wèn)該頁(yè)面都不會(huì)報(bào)錯(cuò)。如果頁(yè)面需要強(qiáng)制使用https來(lái)訪問(wèn)，則在頁(yè)面中，需要確保所有的圖片、Flash、JS腳本、CSS等文件都使用https的絕對(duì)路徑或使用相對(duì)路徑來(lái)定義文件在頁(yè)面代碼中的位置。

12、ssl會(huì)話建立的過(guò)程（原理）是什么？  
交換開(kāi)始于客戶端發(fā)出的一條“client_hello”消息，消息包括
客戶端支持的SSl版本號(hào)
客戶端產(chǎn)生的32字節(jié)的隨機(jī)數(shù)
一個(gè)對(duì)應(yīng)的會(huì)話ID
一個(gè)支持的密碼算法的列表
一個(gè)支持的壓縮算法的列表
服務(wù)器發(fā)出消息“server_hello”進(jìn)行響應(yīng)，內(nèi)容包括
服務(wù)器從客戶端列表中選擇的SSL版本號(hào)
服務(wù)器產(chǎn)生的32字節(jié)的隨機(jī)數(shù)
會(huì)話ID
從客戶端列表中選擇的密碼算法
選定的壓縮算法（通常不進(jìn)行壓縮）
客戶端檢查服務(wù)器的證書(shū)和它發(fā)出的諸多參數(shù)；如果服務(wù)器請(qǐng)求客戶端證書(shū)，那么客戶端響應(yīng)一條證書(shū)消息，其中包含了它的X.509證書(shū)服務(wù)器以客戶端發(fā)來(lái)的“change_cipher_spec”消息作為相應(yīng)，向客戶端消失它也將使用與客戶端相同的參數(shù)來(lái)加密將來(lái)所有的通信內(nèi)容。因?yàn)榉?wù)器已經(jīng)收到了客戶端計(jì)算密鑰使用的隨機(jī)數(shù)，它也可以計(jì)算與客戶端相同的密鑰；服務(wù)器發(fā)送交換結(jié)束消息來(lái)結(jié)束握手過(guò)程

13、服務(wù)器證書(shū)做雙向認(rèn)證是否需要安裝第三方的插件？ 
答:常用的webserve 中間件都會(huì)有支持客戶端認(rèn)證的功能.配置證書(shū)書(shū)只需要修改配置文件便可以啟用客戶認(rèn)證的功能.不需要安裝第三方的插件.


14、物理服務(wù)器出現(xiàn)故障是對(duì)證書(shū)使用會(huì)有什么影響？ 
答:在您申請(qǐng)服務(wù)器證書(shū)后,請(qǐng)及時(shí)備份您的證書(shū)(私鑰,公鑰)如果物理服務(wù)器出現(xiàn)故障只需要將備份的證書(shū)配置到新的服務(wù)器上就可以了.不會(huì)對(duì)證書(shū)的使用造成影響.


15、服務(wù)器上裝個(gè)證書(shū)會(huì)不會(huì)影響到速度和流量？ 
答: 當(dāng)然會(huì)增加服務(wù)器CPU的處理負(fù)擔(dān)，因?yàn)橐獮槊恳粋€(gè)SSL連接實(shí)現(xiàn)加密和解密，但一般不會(huì)影響太大。同時(shí)建議注意以下幾點(diǎn)以減輕服務(wù)器的負(fù)擔(dān)：
(1) 僅為需要加密的頁(yè)面使用SSL，如https://www.domaincom/login.asp，不要把所有頁(yè)面都使用https://,特別是訪問(wèn)量最大的首頁(yè)；
(2) 盡量不要在使用了SSL的頁(yè)面上設(shè)計(jì)大塊的圖片文件和其他大文件，盡量使用簡(jiǎn)潔的文字頁(yè)面。
如果網(wǎng)站的訪問(wèn)量非常大，則建議另外購(gòu)買(mǎi)SSL加速卡來(lái)專(zhuān)門(mén)負(fù)責(zé)SSL加解密工作，可以完全不增加服務(wù)器任何負(fù)擔(dān)?；蛄硗庠黾臃?wù)器。

16、網(wǎng)絡(luò)設(shè)備是否可以支持SSL證書(shū)？ 
答:設(shè)備的硬件制造如果讓設(shè)備支持SSL協(xié)議是可以支持證書(shū).一般的技術(shù)配置文檔由這些設(shè)備廠商提供.如cisoco F5 VPN 都有支持證書(shū)的產(chǎn)品.

17、如果改變了硬件、軟件（web server）證書(shū)需要重新申請(qǐng)嗎？ 
答：服務(wù)器證書(shū)與硬件無(wú)關(guān)。系統(tǒng)和web server版本如果相同也不會(huì)有任何影響。如果改變了服務(wù)器軟件，證書(shū)就要重新申請(qǐng)。服務(wù)器證書(shū)不可以更換平臺(tái)使用。

18、托管服務(wù)器提供商不讓配置ssl證書(shū)？ 
答：托管服務(wù)器一般也叫虛擬主機(jī)提供商．他們?cè)谝慌_(tái)較好的服務(wù)器上配置了多個(gè)虛擬站點(diǎn)．一般都是提供普通的８０web服務(wù)．如果其中的一個(gè)站點(diǎn)配置了證書(shū)走ＳＳＬ協(xié)議是會(huì)對(duì)整個(gè)服務(wù)器會(huì)有負(fù)載的．

19、 在一臺(tái)服務(wù)器的多個(gè)虛擬主機(jī)中，是否可以實(shí)現(xiàn)SSL功能？ 
答：如果是一個(gè)IP多個(gè)網(wǎng)站的情況，是無(wú)法實(shí)現(xiàn)SSL功能；如果是一臺(tái)服務(wù)器對(duì)應(yīng)多個(gè)網(wǎng)站多個(gè)IP（每個(gè)網(wǎng)站一個(gè)IP），就可以實(shí)現(xiàn)SSL功能。每個(gè)網(wǎng)站需要配置一張服務(wù)器證書(shū)。
 
20、如果顯示證書(shū)已過(guò)期（并未到有效期）？ 
答：可能情況：1）系統(tǒng)時(shí)間不對(duì)；2）中級(jí)證書(shū)過(guò)期。

21、服務(wù)器證書(shū)雙擊打開(kāi)時(shí)，提示是無(wú)效的證書(shū)格式，如何處理？ 
答：可能是文件中含有其證書(shū)鏈上的其它證書(shū)的緣故?？蓪⑽募暮缶Y改成.p7b解決。

22、在Web Logic中安裝Web Server證書(shū)時(shí)，出現(xiàn)私鑰與證書(shū)不匹配的問(wèn)題，是為什么？ 
答：在私鑰文件與證書(shū)文件都正確的情況下，這可能是由于沒(méi)有安裝中級(jí)CA引起的?？蛻舯仨殞⑷蚍?wù)器證書(shū)配置到域名與證書(shū)通用名相同的WEB站點(diǎn)上（即證書(shū)通用名與URL必須相符），否則可能會(huì)出現(xiàn)Win98下無(wú)法建立連接、或低加密強(qiáng)度的瀏覽器無(wú)法建立128bit連接而只能建立40bit或56bit的SSL連接的問(wèn)題（可能還有其他不可預(yù)知的問(wèn)題）。

23、在IIS中如何導(dǎo)入pfx格式的服務(wù)器證書(shū)？ 
答：如果操作系統(tǒng)是win 2003，在IIS配置目錄安全性的選項(xiàng)里有從pfx文件中導(dǎo)入的選項(xiàng)，按照安裝向?qū)渲眉纯?。如果是其他操作系統(tǒng)，需要先雙擊pfx文件，將證書(shū)導(dǎo)入到系統(tǒng)中，然后再選擇指派現(xiàn)有證書(shū)進(jìn)行配置。