常见SSL证书问题集锦
常见SSL证书问题集锦
1. 如何实现用户用访问http时自动跳转到https的访问地址?
实现网页的自动跳转有两种方式:
A 增加重定向到https
B 在页面中加入自动跳转代码。例如:<—< meta http-equiv=”Refresh” content=”秒数; url=跳转的文件或地址”>—>
2. 同一张服务器证书是否可以配置在多台服务器上?
不可以。Verisign的签署协议中禁止客户在多台服务器上配置同一张证书。
3. 多台服务器多个域名,该如何选购SSL证书?
一般来讲,一个网站(一个域名)对应一个SSL证书,因为SSL证书是绑定域名的。只有通配型证书和多域型证书才支持多个域名。通配型证书适合于同一台物理服务器下的同一域名下的多个子域,如您在同一台物理服务器上有多个网站:
https://www.360docs.net/doc/7019265685.html,
https://www.360docs.net/doc/7019265685.html,
https://www.360docs.net/doc/7019265685.html,
https://www.360docs.net/doc/7019265685.html,
申请通配型SSL证书时填写的通用名称(Common Name)为: *https://www.360docs.net/doc/7019265685.html, 。
与通配型证书只支持子域不同的是,多域型SSL证书支持任何域名,不仅限于子域,如:https://www.360docs.net/doc/7019265685.html,、https://www.360docs.net/doc/7019265685.html,、 https://www.360docs.net/doc/7019265685.html,、https://www.360docs.net/doc/7019265685.html,、https://www.360docs.net/doc/7019265685.html,、https://www.360docs.net/doc/7019265685.html,、https://www.360docs.net/doc/7019265685.html,、 https://www.360docs.net/doc/7019265685.html,等等。不仅适合于有多个域名需要部署SSL证书的单位,更适合于虚拟主机服务提供商为不同单位的不同域名的网站部署SSL证书。
请注意:以上两种证书都使用于同一台物理服务器,如果您有多台物理服务器在使用同一个域名(负载均衡方式),则您需要为多台服务器购买多服务器许可证即可。
4. 部分客户端访问IIS服务器时,证书链中的中级证书过期怎么办?
这种情况通常发生在IIS服务器上。导致该问题的原因是服务器上存在多张可提供信任关系的中级证书,且其中有已过期的中间级证书。如果客户端PC系统中证书存储区没有新的中级证书而只有已经过期版本的中级证书的话,客户端浏览器不会主动从服务器上下载新的中级证书文件,而只通过已过期的中级证书去验证服务器证书的有效性。导致客户端报中间级证书已过期错误。
解决方法:删除服务器上计算机账户中“中级证书颁发机构”里已过期的证书,并更新最新的中级证书文件,强制客户端下载最新的证书链文件,使客户端只能通过一条最新的证书链来验证服务器证书的有效性。
5、收到证书批准邮件后,从邮件中提取的证书安装失败,无法安装?
1.保存下来的服务器证书文件中,文件代码前后可能有空格或其他无效字符。或者没有将证书头和尾部起始代码包含进来。在Windows环境下,双击尝试打开该证书文件,检查是否能够查看证书信息。
2.原始请求被删除或被新的请求覆盖,私钥丢失。需要吊销替换,重新生成证书文件。
3.私钥管理权限不足,使用管理员权限登陆,并赋予私钥的管理权限。
6. IIS下同一站点不允许同时提交多个请求
微软IIS 6.0中每一个站点只允许同时发出一个CSR请求。如果在已有的请求之上重新创建一个新的CSR请求,您的原始请求(和私钥)将被覆盖。在正式提交CSR请求后,请不要对服务器做证书方面的配置,并可通过私钥备份,保存您的私钥文件。
7. 初始VTN服务器证书时,CSR中的所有信息都是按照要求正确填写的,但提交后系统无法解析,无法签发证书。
客户在填写辨识码时(证书管理密码)使用了特殊字符。
8. 在Apache 上配置EV SSL 服务器证书,但EV SSL 服务器证书有两张中级证书,在Apache 配置文件中出现两个引用中级证书语句时,启动失败。
Apache 下,需要将两张中级证书打包成一个证书文件。打包方式:用记事本等文本编辑器打开两张中级证书文件,分别复制证书代码,粘贴到一个记事本文档中。并将该文件配置到 Apapche 配置文件中 SSLCertificateChainFile 路径下。
9. 服务器需要使用的是 Pem 格式的私钥和证书文件,该如何生成私钥和证书请求。
可以安装 Openssl ,使用 Openssl 来生成证书请求。请参考Apahce服务器证书CSR生成指南,在生成私钥文件时,只需要将私钥文件名的后缀定义成 .pem 就可以了。
10. IIS中,已经提交CSR请求,还未收到证书如何备份私钥。
开始菜单“运行”-“MMC”-“文件”-“添加删除管理单元”,打开控制台,添加计算机账户-本地计算机。在控制台根节点中找到“证书注册申请”,在该目录下,找到您的注册请求文件并导出成一个PFX文件。
安装证书时,先从控制台导入私钥备份文件到“证书注册申请”,再把服务器证书导入到“个人”中。然后再到 internet 服务管理器中,需要配置证书的网站上,指派现有证书到导入的服务器证书上即可。
11. 为什么查看某些安全站点时会弹出“本页不但包含安全的内容,也包含不安全的内容。是否显示不安全的内容”?
在编写网站页面文件代码的时候,页面URL和资源文件建议使用相对路径来定义。这样有助于提高页面对证书的兼容性。当客户端无论是用http还是 https 来访问该页面都不会报错。如果页面需要强制使用https来访问,则在页面中,需要确保所有的图片、Flash、JS脚本、CSS等文件都使用 https的绝对路径或使用相对路径来定义文件在页面代码中的位置。
12. ssl会话建立的过程(原理)是什么?
交换开始于客户端发出的一条“client_hello”消息,消息包括
客户端支持的SSl版本号
客户端产生的32字节的随机数
一个对应的会话ID
一个支持的密码算法的列表
一个支持的压缩算法的列表
服务器发出消息“server_hello”进行响应,内容包括
服务器从客户端列表中选择的SSL版本号
服务器产生的32字节的随机数
会话ID
从客户端列表中选择的密码算法
选定的压缩算法(通常不进行压缩)
客户端检查服务器的证书和它发出的诸多参数;如果服务器请求客户端证书,那么客户端响应一条证书消息,其中包含了它的X.509证书服务器以客户端发来的“change_cipher_spec”消息作为相应,向客户端消失它也将使用与客户端相同的参数来加密将来所有的通信内容。因为服务器已经收到了客户端计算密钥使用的随机数,它也可以计算与客户端相同的密钥;服务器发送交换结束消息来结束握手过程
13. 服务器证书做双向认证是否需要安装第三方的插件?
常用的webserve 中间件都会有支持客户端认证的功能。配置证书书只需要修改配置文件便可以启用客户认证的功能。不需要安装第三方的插件。
14. 物理服务器出现故障是对证书使用会有什么影响?
在您申请服务器证书后,请及时备份您的证书及私钥。如果物理服务器出现故障只需要将备份的证书配置到新的服务器上就可以,不会对证书的使用造成影响。
15. 服务器上装个证书会不会影响到速度和流量?
当然会增加服务器CPU的处理负担,因为要为每一个SSL连接实现加密和解密,但一般不会影响太大。同时建议注意以下几点以减轻服务器的负担:
(1) 仅为需要加密的页面使用SSL,如https://www.domaincom/login.asp,不要所有页面都使用https://,特别是访问量最大的首页;
(2) 尽量不要在使用了SSL的页面上设计大块的图片文件和其他大文件,尽量使用简洁的文字页面。
如果网站的访问量非常大,则建议另外购买SSL加速卡来专门负责SSL加解密工作,可以完全不增加服务器任何负担。或另外增加服务器。
16. 网络设备是否可以支持SSL证书?
设备的硬件制造如果让设备支持SSL协议是可以支持证书,一般的技术配置文档由这些设备厂商提供。如cisoco F5 VPN 都有支持证书的产品。
17. 如果改变了硬件、软件(web server)证书需要重新申请吗?
服务器证书与硬件无关。系统和web server版本如果相同也不会有任何影响。如果改变了服务器软件,证书就要重新申请。服务器证书不可以更换平台使用。
18. 托管服务器提供商不让配置ssl证书?
托管服务器一般也叫虚拟主机提供商.他们在一台较好的服务器上配置了多个虚拟站点.一般都是提供普通的80 web服务.如果其中的一个站点配置了证书走SSL协议是会对整个服务器会有负载的。
19. 在一台服务器的多个虚拟主机中,是否可以实现SSL功能?
如果是一个IP多个网站的情况,无法实现SSL功能;如果是一台服务器对应多个网站多个IP(每个网站一个IP),就可以实现SSL功能。每个网站需要配置一张服务器证书。
20. 如果显示证书已过期(并未到有效期)?
可能情况:1)系统时间不对;2)中级证书过期。
21. 服务器证书双击打开时,提示是无效的证书格式,如何处理?
可能是文件中含有其证书链上的其它证书的缘故。可将文件的后缀改成.p7b解决。
22. 在Web Logic中安装Web Server证书时,出现私钥与证书不匹配的问题,是为什么?
在私钥文件与证书文件都正确的情况下,这可能是由于没有安装中级CA引起的。客户必须将全球服务器证书配置到域名与证书通用名相同的WEB站点上(即证书通用名与URL必须相符),否则可能会出现Win98下无法建立连接、或低加密强度的浏览器无法建立128bit连接而只能建立40bit或56bit 的SSL连接的问题(可能还有其他不可预知的问题)。
23. 在IIS中如何导入pfx格式的服务器证书?
如果操作系统是win 2003,在IIS配置目录安全性的选项里有从pfx文件中导入的选项,按照安装向导配置即可。如果是其他操作系统,需要先双击pfx文件,将证书导入到系统中,然后再选择指派现有证书进行配置。
24. 关于重定向的配置
方法一:在主页中嵌入 <—
if(document.location.protocol ==
“http:”){ document.location.replace(document.location.href.replace( /^http:/i,”https:”)); } —>
方法二:1. 在IIS下新建一个站点,主机名和要实现SSL功能的网站域名相同,在该站点的“属性”,“主目录”中选择“重定向到URL”并修改成要实现 SSL 连接的网站,这个站点的端口用80端口。2. 如果主站点的端口是80,修改成其他端口,并在属性里加载SSL连接,SSL端口为443。重启服务即可。
25. 用IE4或IE5浏览器浏览某些安全站点时,会出现服务器证书不可信的警告,用Win2000则没有这个问题,为什么?
这个问题包含两方面内容:
1. VeriSign在2001年2月26日后颁发的全球服务器证书都不再支持IE4浏览器,因此IE4浏览器需要升级或安装2028年的新的Class3根证书。
2. 除微软的IIS外,其他WebServer软件都需要安装中级CA证书(根证书一般是预埋的)。
26. Apache如何启动SSL?
Windows平台下启动apache
1. apache -k install 将apache加载为系统服务
2. apache -D SSL -k start 注意大小写
Unix或linux平台下启动apache
1. apachectl start
2. apachectl startssl
27. 全球服务器证书创建连接后,仍显示为40位连接,如何解决?
请客户在服务器端打一个NT4高强度加密包。
28. 配置好证书的站点,如何实现其站点下部分网页实现SSL功能,部分网页不用SSL功能?
主站点不要申请SSL安全通道,在站点下建立两个虚拟目录,一个放入要实现SSL功能的页面,申请安全通道,一个放入不用SSL功能的页面,不申请安全通道。
29. 配置中间证书后无法启动apache报”Failed to configure CA certificate chain!”错误,为什么?
Mod_ssl模块的问题,重新编译一下apache即可。
SSL证书验证过程解读
SSL证书验证过程解读及申请使用注意事项 SSL证书和我们日常用的身份证类似,是一个支持HTTPS网站的身份证明,由受信任的数字证书颁发机构CA(如沃通CA)验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。SSL证书里面包含了网站的域名,证书有效期,证书的颁发机构以及用于加密传输密码的公钥等信息,由于公钥加密的密码只能被在申请证书时生成的私钥解密,因此浏览器在生成密码之前需要先核对当前访问的域名与证书上绑定的域名是否一致,同时还要对证书的颁发机构进行验证,如果验证失败浏览器会给出证书错误的提示。 本文将对SSL证书的验证过程以及个人用户在访问HTTPS网站时,对SSL证书的使用需要注意哪些安全方面的问题进行描述。 一、数字证书的类型 实际上,我们使用的数字证书分很多种类型,SSL证书只是其中的一种。证书的格式是由X.509标准定义。SSL证书负责传输公钥,是一种PKI(Public Key Infrastructure,公钥基础结构)证书。 我们常见的数字证书根据用途不同大致有以下几种: 1、SSL证书:用于加密HTTP协议,也就是HTTPS。 2、代码签名证书:用于签名二进制文件,比如Windows内核驱动,Firefox插件,Java 代码签名等等。 3、客户端证书:用于加密邮件。 4、双因素证书,网银专业版使用的USB Key里面用的就是这种类型的证书。 这些证书都是由受认证的证书颁发机构CA(Certificate Authority)来颁发,针对企业与个人的不同,可申请的证书的类型也不同,价格也不同。CA机构颁发的证书都是受信任的证书,对于SSL证书来说,如果访问的网站与证书绑定的网站一致就可以通过浏览器的验证而不会提示错误。 二、SSL证书申请与规则 SSL证书可以向CA机构通过付费的方式申请,也有CA机构提供免费SSL证书如沃通CA。 CA机构颁发的证书有效期一般只有一年到三年不等,过期之后还要再次申请,在ssl 证书应用中企业网站应用较多。但是随着个人网站的增多,以及免费SSL证书的推出,个人网站ssl证书应用数量也在飞速增加。在百度开放收录https网站后,预计https网站将迎来井喷。 在申请SSL证书时需要向CA机构提供网站域名,营业执照,以及申请人的身份信息等。网站的域名非常重要,申请人必须证明自己对域名有所有权。此外,一个证书一般只绑定一个域名,比如你要申请域名时绑定的域名是https://www.360docs.net/doc/7019265685.html,,那么只有在浏览器地址是
如何通过SSL证书开启服务器443端口
如何通过SSL证书开启服务器443端口 前阵子遇到个问题,因为我们的网站是外贸网站,需要通过Paypal付款,但是,客户通过PP付款之后居然不能生成订单号,后来发现服务器的443端口是关闭状态,好了,问题来了:如何开启服务器的443端口呢? 深圳国际快递https://www.360docs.net/doc/7019265685.html,在这里分享一下开启443端口的经验: 第一:当然是配置硬件,把防火墙令443端口放行!具体办法朋友可以去百度一下哈,其实落伍里面也有! 第二,创建SSL证书,我个人觉得这个比较重要,下面把具体的方法分享给一下。 #LoadModule ssl_module modules/mod_ssl.so 的#去掉,开启SSL功能。 然后我们要新建一个SSL虚拟目录,监听443端口 一般情况下我使用centos的虚拟列表都会放到/etc/httpd/conf.d/目录下 依旧是在这个目录下新建一个ssl.conf,并且在你的网站列表新建一个ssl文件夹,我的习惯是/var/www/vhosts/ssl 将你的server.crt和ca-server.crt文件以及你原来生成的server.key文件一起上传到ssl文件夹内。 进入/etc/httpd/conf.d/ 输入 vi ssl.conf 使用vi编辑器编辑ssl.conf内容如下
Linux下利用openssl 生成SSL证书步骤
Linux下利用openssl 生成SSL证书步骤 1、概念 首先要有一个CA根证书,然后用CA根证书来签发用户证书。 用户进行证书申请:一般先生成一个私钥,然后用私钥生成证书请求(证书请求里应含有公钥信息),再利用证书服务器的CA根证书来签发证书。 2、后缀详解 .key格式:私有的密钥 .csr格式:证书签名请求(证书请求文件),含有公钥信息,certificate signing request 的缩写 .crt格式:证书文件,certificate的缩写 .crl格式:证书吊销列表,Certificate Revocation List的缩写 .pem格式:用于导出,导入证书时候的证书的格式,有证书开头,结尾的格式 3、添加 index.txt 和 serial 文件 cd /etc/pki/CA/ touch /etc/pki/CA/index.txt touch /etc/pki/CA/serial echo 01 > /etc/pki/CA/serial 4、CA根证书的生成 4.1 生成CA私钥(.key) openssl genrsa -out ca.key 2048 [root@CA]# openssl genrsa -out ca.key 2048 Generating RSA private key, 2048 bit long modulus .............+++ .....+++ e is 65537 (0x10001) 4.2 生成CA证书请求(.csr) openssl req -new -key ca.key -out ca.csr [root@CA]# openssl req -new -key ca.key -out ca.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value,
SSL证书配置
1.确定配置好java的环境变量 2.生成密钥库 新建一个密钥临时目录/home/genkey,并cd到/home/genkey 参数alias的为密钥标识第2、3、4步的命令中的alias必须完全一致 输入以下命令: keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validity 3650 -keypass changeit -storepass changeit -keystore server.keystore -validity 3600 按照提示输入信息,第一个名字与姓氏必须为localhost,其他可以随意填写。 执行成功后/home/genkey下生成了一个server.keystore文件。 Tomcat: 3.导出证书 keytool -export -trustcacerts -alias tomcat -file server.cer -keystore server.keystore -storepass changeit 执行成功后/home/genkey下生成了一个server.cer文件。
4.导入到java信任库中 keytool -import -trustcacerts -alias tomcat -file server.cer -keystore /opt/Java/jdk1.6.0_35/jre/lib/security/cacerts -storepass changeit /opt/Java/jdk1.6.0_35修改为服务器java安装目录再执行 5.修改tomcat配置 打开tomcat目录下conf/server.xml,修改keystoreFile及keystorePass
SSL证书工具使用说明
天威诚信SSL证书工具使用说明 天威诚信SSL证书工具专业版,集CSR生成、CSR校验、证书格式转换和证书配置检测于一体,在客户端上即可完成CSR 在线自动生成并能快速校验CSR信息,实现不同证书间的格式互转,快速有效的检测出证书的安装状态,操作简单,易于上手,是SSL证书安装使用过程中不可或缺的得力干将。 一,CSR生成 按照工具提示的信息填写您申请证书的真实信息,点击生成CSR文件。下图为填写示例:
*注:目前主流密钥算法为RSA,长度为2048位,签名算法为SHA256。 通过点击保存私钥文件和CSR文件,保存文件到本地。私钥文件您需要在本地备份并妥善保管,CSR申请文件需要提交给商务人员。 二,CSR校验 字符串校验:您可以打开制作的CSR文件,并把字符串复制到空白框中并点击“验证CSR 文件”。
文件校验:通过添加本地CSR文件并进行验证。 二,证书格式转换 1,PEM转JKS 1,首先准备好server.pem证书文件和server.key私钥文件。 2,将证书签发邮件中的包含服务器证书代码的文本复制出来(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘贴到记事本等文本编辑器中。在服务器证书代码文本结尾,回车换行不留空行,并粘贴中级CA证书代码(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”,每串证书代码之间均需要使用回车换行不留空行),修改文件扩展名,保存包含多段证书代码的文本文件为server.pem文件。 3,在源证书文件中录入server.pem,源私钥文件中录入server.key文件。(如果您的.key 私钥文件没有设置密码,源私钥密码处可以为空) 4,在“目标证书别名”选择中这是JKS文件密钥别名,并在“目标证书密码”中设置JKS 文件密码。
制作和使用SSL证书
制作和使用SSL证书 在Linux环境下,一般都安装有OPENSSL。下面的内容就是用OPENSSL快速制作root 证书以及客户端证书的步骤和方法。 1、初始准备工作 1)创建一个我们制作证书的工作目录 # mkdir CA # cd CA # mkdir newcerts private 2)制作一个我们创建证书时需要的配置文件,内容可以参考见 # cd CA # vi 3)创建我们自己的证书库的索引 # echo '01' >serial # touch 2、制作一个root证书 执行下面的命令 # openssl req -new -x509 -extensions v3_ca -keyout private/ \ -out -days 3650 -config ./ 在屏幕上会出现如下的交互内容,按照提示相应的信息。注意,一定要记住PEM,这个在以后生成客户端证书时都需要。 Using configuration from ./ Generating a 1024 bit RSA private key .......++++++ ..........................++++++ writing new private key to 'private/' Enter PEM pass phrase:demo Verifying password - Enter PEM pass phrase:demo ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value,
SSL双向认证证书制作过程流程
SSL双向认证证书制作流程 ——含单向SSL 一、证书制作: 1、生成服务器密钥(库): keytool -genkey -alias server -keyalg RSA -keysize 2048 -validity 3650 -dname "CN=localhost,OU=DTY,O=BMC,L=Beijing,ST=Beijing,C=CN" -keypass 123456 -keystore server.jks -storepass 123456 CN:要签名的[域名]或[IP](说明:此处为要配置SSL服务器IP 或域名) OU:组织单位名称,如:[公司注册简称] O:组织名称,如:[公司英文全称] L:城市或地区名称,如:[Beijing] ST:州或省份名称,如:[Beijing] C:单位的两字母国家代码,如:[CN] 2、验证生成的服务器密钥(库): keytool -list -v -keystore server.jks -storepass 123456
3、为步骤1生成的服务器密钥(库)创建自签名的证书: keytool -selfcert -alias server -keystore server.jks -storepass 123456 4、验证生成的服务器密钥(库): keytool -list -v -keystore server.jks -storepass 123456
5、导出自签名证书: keytool -export -alias server -keystore server.jks -file server.cer -storepass 123456 说明:此证书为后续要导入到浏览器中的受信任的根证书颁发机构。 6、生成客户端密钥(库): 说明:keytool –genkey命令默认生成的是keystore文件,但为了能顺利导入到IE或其他浏览器中,文件格式应为PKCS12。 稍后,此P12文件将导入到IE或其他浏览器中。 keytool -genkey -alias client -keyalg RSA -keysize 2048 -validity 3650 -dname
Apache安装配置SSL证书方法教程
Apache SSL证书安装配置方法教程 1.1 SSl证书安装环境简介 Centos 6.4 操作系统; Apache2.2.*或以上版本; Openssl 1.0.1+; SSL 证书一张(备注:本指南使用https://www.360docs.net/doc/7019265685.html, 域名OV SSL 证书进行操作,通用其它版本证书) 1.2 网络环境要求 请确保站点是一个合法的外网可以访问的域名地址,可以正常通过或http://XXX 进行正常访问。 2.1 生成请求文件csr 首先下载openssl软件,可以去openssl官网下载: https://www.360docs.net/doc/7019265685.html,/source/ 下载后安装到本地计算机。 2.1.1 查看openssl 在终端输入openssl version 查看openssl当前版本。 图 1 2.1.2 生成key私钥文件 使用以下命令来生成私钥:opensslgenrsa -des3 -out https://www.360docs.net/doc/7019265685.html,.key 2048,生成的私钥保存在当期目录。
图 2 2.1.3 生成csr文件 使用以下命令来生成私钥:opensslreq -new -key https://www.360docs.net/doc/7019265685.html,.key -out https://www.360docs.net/doc/7019265685.html,.csr 图 3 Country Name (2 letter code) [GB]: 输入国家地区代码,如中国的CN State or Province Name (full name) [Berkshire]: 地区省份 Locality Name (eg, city) [Newbury]: 城市名称 Organization Name (eg, company) [My Company Ltd]: 公司名称 Organizational Unit Name (eg, section) []: 部门名称
SSL证书验证过程
SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socket layer(SSL)安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装服务器证书就可以激活该功能了)。即通过它可以激活SSL协议,实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露。保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。 SSL证书安全认证的原理: 安全套接字层(SSL) 技术通过加密信息和提供鉴权,保护您的网站安全。一份SSL 证书包括一个公共密钥和一个私用密钥。公共密钥用于加密信息,私用密钥用于解译加密的信息。浏览器指向一个安全域时,SSL 同步确认服务器和客户端,并创建一种加密方式和一个唯一的会话密钥。它们可以启动一个保证消息的隐私性和完整性的安全会话。 SSL证书的功能: a 确认网站真实性(网站身份认证):用户需要登录正确的网站进行在线购物或其它交易活动,但由于互联网的广泛性和开放性,使得互联网上存在着许多假冒、钓鱼网站,用户如何来判断网站的真实性,如何信任自己正在访问的网站,可信网站将帮你确认网站的身份。 b 保证信息传输的机密性:用户在登录网站在线购物或进行各种交易时,需要多次向服务器端传送信息,而这些信息很多是用户的隐私和机密信息,直接涉及经济利益或私密,如何来确保这些信息的安全呢?可信网站将帮您建立一条安全的信息传输加密通道。 其实现原理图如下图1所示: SSL证书的原理在SSL会话产生时,服务器会传送它的证书,用户端浏览器会自动的分析服务器证书,并根据不同版本的浏览器,从而产生40位或128位的会话密钥,用于对交易的信息进行加密。所有的过程都会自动完成,对用户是透明的,因而,服务器证书可分为两种:最低40位和最低128位(这里指的是SSL会话时生成加密密钥的长度,密钥越长越不容易破解)证书。 最低40位的服务器证书在建立会话时,根据浏览器版本不同,可产生40位或128位的SSL会话密钥用来建立用户浏览器与服务器之间的安全通道。而最低128位的服务器证书不受浏览器版本的限制可以产生128位以上的会话密钥,实现高级别的加密强度,无论是IE或Netscape浏览器,即使使用强行攻击的办法破译密码,也需要10年。
常见SSL证书问题集锦
常见SSL证书问题集锦 1. 如何实现用户用访问http时自动跳转到https的访问地址? 实现网页的自动跳转有两种方式: A 增加重定向到https B 在页面中加入自动跳转代码。例如:<—< meta http-equiv=”Refresh” content=”秒数; url=跳转的文件或地址”>—> 2. 同一张服务器证书是否可以配置在多台服务器上? 不可以。Verisign的签署协议中禁止客户在多台服务器上配置同一张证书。 3. 多台服务器多个域名,该如何选购SSL证书? 一般来讲,一个网站(一个域名)对应一个SSL证书,因为SSL证书是绑定域名的。只有通配型证书和多域型证书才支持多个域名。通配型证书适合于同一台物理服务器下的同一域名下的多个子域,如您在同一台物理服务器上有多个网站: https://www.360docs.net/doc/7019265685.html, https://www.360docs.net/doc/7019265685.html, https://www.360docs.net/doc/7019265685.html, https://www.360docs.net/doc/7019265685.html, 申请通配型SSL证书时填写的通用名称(Common Name)为: *https://www.360docs.net/doc/7019265685.html, 。 与通配型证书只支持子域不同的是,多域型SSL证书支持任何域名,不仅限于子域,如:https://www.360docs.net/doc/7019265685.html,、https://www.360docs.net/doc/7019265685.html,、 https://www.360docs.net/doc/7019265685.html,、https://www.360docs.net/doc/7019265685.html,、https://www.360docs.net/doc/7019265685.html,、https://www.360docs.net/doc/7019265685.html,、https://www.360docs.net/doc/7019265685.html,、 https://www.360docs.net/doc/7019265685.html,等等。不仅适合于有多个域名需要部署SSL证书的单位,更适合于虚拟主机服务提供商为不同单位的不同域名的网站部署SSL证书。 请注意:以上两种证书都使用于同一台物理服务器,如果您有多台物理服务器在使用同一个域名(负载均衡方式),则您需要为多台服务器购买多服务器许可证即可。 4. 部分客户端访问IIS服务器时,证书链中的中级证书过期怎么办?
JDK自带工具keytool生成ssl证书
JDK自带工具keytool生成ssl证书 前言: 因为公司项目客户要求使用HTTPS的方式来保证数据的安全,所以木有办法研究了下怎么生成ssl证书来使用https以保证数据安全。 百度了不少资料,看到JAVA的JDK自带生成SSL证书的工具:keytool,外加看了同事的心得体会,自己总结了一下具体的使用方法和使用过程中发现的问题及解决办法。 1:什么是HTTPS? HTTPS其实是有两部分组成:HTTP + SSL / TLS, 也就是在HTTP上又加了一层处理加密信息的模块,并且会进行身份的验证。 问题: Firebug和postman之类的浏览器调试工具,为什么获取到的是明文? 解答: SSL是对传输的数据进行加密,针对的是传输过程的安全。 firebug之类的浏览器调试工具, 因为他们得到的是客户端加密之前/解密之后的数据,因此是明文的。 2:什么是自签名证书? 就是自己生成的证书,并不是官方生成的证书。 除非是很正式的项目,否则使用自己签发的证书即可,因为官方生成证书是要花钱滴。 3:进入正题,使用JDK自带工具KeyTool 生成自签发证书!第一步:为服务器生成证书 打开CMD命令行工具,cd到C盘根目录或者是jdk的bin目录下,如下图所示:
附录1:常用keytool命令
使用keytool命令生成证书: keytool -genkey -alias tomcat(别名) -keypass 123456(别名密码) -keyalg RSA(算法) -keysize 1024(密钥长度) -validity 365(有效期,天单位) -keystore D:/keys/tomcat.keystore(指定生成证书的位置和证书名称) -storepass 123456(获取keystore信息的密码) 方便复制版: keytool -genkey -alias tomcat -keypass 123456 -keyalg RSA -keysize 1024 -validity 365-keystore D:/keys/tomcat.keystore -storepass 123456 图例: 回车执行后如下图: 点击回车即可在D:/keys/文件夹内生成名为:tomcat.keystore的文件。 成功后无提示信息 注意: ①D:/keys/ 目录需要提前手动创建好,否则会生成失败 ②提示输入域名的时候不能输入IP地址 问题①的错误信息如下:
JDK自带工具keytool生成ssl证书
J D K自带工具 k e y t o o l生成s s l证 书 -CAL-FENGHAI.-(YICAI)-Company One1
JDK自带工具keytool生成ssl证书 前言: 因为公司项目客户要求使用HTTPS的方式来保证数据的安全,所以木有办法研究了下怎么生成ssl证书来使用https以保证数据安全。 百度了不少资料,看到JAVA的JDK自带生成SSL证书的工具:keytool,外加看了同事的心得体会,自己总结了一下具体的使用方法和使用过程中发现的问题及解决办法。 1:什么是HTTPS HTTPS其实是有两部分组成:HTTP + SSL / TLS, 也就是在HTTP上又加了一层处理加密信息的模块,并且会进行身份的验证。问题: Firebug和postman之类的浏览器调试工具,为什么获取到的是明文 解答: SSL是对传输的数据进行加密,针对的是传输过程的安全。 firebug之类的浏览器调试工具, 因为他们得到的是客户端加密之前/解密之后的数据,因此是明文的。2:什么是自签名证书 就是自己生成的证书,并不是官方生成的证书。 除非是很正式的项目,否则使用自己签发的证书即可,因为官方生成证书是要花钱滴。 3:进入正题,使用JDK自带工具KeyTool 生成自签发证书!第一步:为服务器生成证书 打开CMD命令行工具,cd到C盘根目录或者是jdk的bin目录下,如下图所示:
附录1:常用keytool命令
使用keytool命令生成证书: keytool -genkey -alias tomcat(别名) -keypass 123456(别名密码) -keyalg RSA(算法) -keysize 1024(密钥长度) -validity 365(有效期,天单位) -keystore D:/keys/(指定生成证书的位置和证书名称) -storepass 123456(获取keystore信息的密码) 方便复制版: keytool -genkey -alias tomcat -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -keystore D:/keys/ -storepass 123456 图例: 回车执行后如下图: 点击回车即可在D:/keys/文件夹内生成名为:的文件。 成功后无提示信息 注意: ①D:/keys/ 目录需要提前手动创建好,否则会生成失败 ②提示输入域名的时候不能输入IP地址 问题①的错误信息如下:
SSL证书安装文档
证书的申请及操作说明书 2013.02.21
一说明 证书购买原因:因为项目需求,要用到SSL证书,所以需要买SSL证书,我们是从北京埃欧信科技有限公司代买的证书。 购买方式:我们是按域名购买的证书,也就是说,证书是绑定域名的。当然也可以按照企业去购买。 需要文件:主要是我们需要先在本地用JAV A的keytool命令生成keystores文件,即后缀为kdb的文件,和csr文件。也就是密钥文件和证书文件,这个密钥文件很重要,它里面有申请证书的信息,譬如需要授权的域名,组织机构信息等。Csr文件更为重要,本人就是在这里吃了大亏,绕了很多弯路,后来发现kdb文件和csr文件不匹配,最后从新提交申请,从新授权了一下才可以的。所以再做keytool命令时候,应该格外仔细和认真。 操作说明:本人申请的是window服务器weblogic容器的SSL证书linux的就不清楚了,因为项目中是windows服务器。我要购买的域名为https://www.360docs.net/doc/7019265685.html,(仅供参考)。 第一步骤: 首先在一台安装有sun JDK的机器上进行如下操作: 1.点【开始】在【运行】中输入cmd进入DOS窗口,进入到jdk的bin目录下 如图 2.然后输入如下命令 (1)keytool-genkey-alias tomcat-keyalg rsa-keystore d:\mydomain.kdb-keysize2048如图: 提示输入密码,(这个密码很重要,要记好这个密码,之后还要用)。 本人输入的密码是:changeit 然后会出现如图所示界面 如图:
说明:首先本人是按照域名购买SSL证书的对吧,那么这里最关键的就是您的名字与姓氏是什么?因为美国的证书机构会根据这个的名字确定域名,您明白吗?就是说这里填的应该是要被授权的域名。 其次,组织单位名称,组织名称,这个就随便啦,简单填写一下,这个不会出现在授权的证书显示的页面上,所以简单些一下就OK,但是建议是英文或者汉语拼音。 之后,城市或区域名称?州或省份名称?这个也不是很重要,但是建议填写城市的英文名称或者中文名字的汉语拼音。 最后,该单位的两字母国家代码?这个因为咱们都是中国人嘛所以填写CN注意CN 要大写哦! 最后问是否确认?输入y按回车即可! (2)在操作完上述操作后,会出现如图所示界面: 如图: 这里是问tomcat的主密码:这个密码也要记住,因为之后配置容器的时候要用到该密码。 我填写的是changeit建议和上面的密码相同。 在操作完上述步骤后,可以到D盘下看看是否生成了我们的密钥文件。 (3)继续,输入如下命令,生成咱们的csr文件吧 keytool-certreq-alias tomcat-keystore d:\mydomain.kdb-file d:\mydomain.csr
SSL证书请求文件(CSR)生成方法Apache
文档出处:https://www.360docs.net/doc/7019265685.html,/ 提供者QQ:2209630389 重要注意事项 An Important Note Before You Start 在生成CSR文件时同时生成您的私钥,如果您丢了私钥或忘了私钥密码,则颁发证书给您后不能安装成功!您必须重新生成私钥和CSR文件,免费重新颁发新的证书。为了避免此情况的发生,请在生成CSR后一定要备份私钥文件和记住私钥密码,最好是在收到证书之前不要再动服务器。 By far the most common problem users have when going through this process is related to private keys. If you lose or cannot access a private key, you cannot use the certificate we issue to you and will need to request a free reissue. To ensure this never happens, we advise that a backup of the private key file is made and that a note is made of the password that is used to protect the export of the private key. “openssl”用于生成私钥和CSR,OpenSSL一般安装在/user/bin下,如果您的系统安装在其他目录,请指定正确的目录路径。 The utility "openssl" that you use to generate the private key and CSR comes with the OpenSSL toolkit and is usually installed under /usr/bin. If you have installed it elsewhere you will need to modify these instructions appropriately. 以下所有命令假设您已经成功安装OpenSSL,将产生2048位的密钥,加密算法 采用3DES,您必须使用您要申请SSL证书的域名来命名密钥文件。 The following sequence of commands will generate a 2048 bit key, encrypt it using the triple-DES cipher, and create a CSR based upon it (they assume that you have openssl in your path - if not then you should prefix the openssl command with the path to the binary). You should use the domain name that you are wishing to have certified as the core of the filenames. You should also make sure you do not overwrite existing keys and CSR's: 1. 生成私钥 Generate the private key 请使用以下命令来生成私钥 Please type the following command at the prompt: openssl genrsa -des3 -out https://www.360docs.net/doc/7019265685.html,.key 2048
openssl生成ssl证书
x509证书链 x509证书一般会用到三类文件,key,csr,crt。 Key 是私用密钥,openssl格式,通常是rsa算法。 csr是证书请求文件,用于申请证书。在制作csr文件的时候,必须使用自己的私钥来签署申请,还可以设定一个密钥。 crt是CA认证后的证书文件(windows下面的csr,其实是crt),签署人用自己的key给你签署的凭证。 1.key的生成 openssl genrsa -des3 -out server.key 2048 这样是生成rsa私钥,des3算法,openssl格式,2048位强度。server.key是密钥文件名。为了生成这样的密钥,需要一个至少四位的密码。可以通过以下方法生成没有密码的key: openssl rsa -in server.key -out server.key server.key就是没有密码的版本了。 2. 生成CA的crt openssl req -new -x509 -key server.key -out ca.crt -days 3650 生成的ca.crt文件是用来签署下面的server.csr文件。 3.csr的生成方法: openssl req -new -key server.key -out server.csr 需要依次输入国家,地区,组织,email。最重要的是,有一个common name,可以写你的名字或者域名。如果为了https申请,这个必须和域名吻合,否则会引发浏览器警报。生成的csr文件交给CA签名后形成服务端自己的证书。 4.crt生成方法 CSR文件必须有CA的签名才可形成证书.可将此文件发送到verisign等地方由它验证,要交一大笔钱,何不自己做CA呢. openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key -CAcreateserial -out server.crt 输入key的密钥后,完成证书生成。-CA选项指明用于被签名的csr证书,-CAkey选项指明用于签名的密钥。-CAserial指明序列号文件,而-CAcreateserial指明文件不存在时自动生成。 最后生成了私用密钥:server.key和自己认证的SSL证书:server.crt
Apache 配置支持HTTPS的SSL证书-生成CA证书
Apache 配置支持HTTPS的SSL证书 在设置Apache + SSL之前, 需要做: 安装Apache, 下载安装Apache时请下载带有ssl版本的Apache安装程序. 并且ssl需要的文件在如下的位置: [Apache安装目录]/modules/ mod_ssl.so [Apache安装目录]/bin/ openssl.exe, libeay32.dll, ssleay32.dll, https://www.360docs.net/doc/7019265685.html,f [Apache安装目录]/conf/ https://www.360docs.net/doc/7019265685.html,f 创建SSL证书(注意,我下载的是PHPStudy里面自带了openssl,但是bin目录下没有https://www.360docs.net/doc/7019265685.html,f,需要将conf下的https://www.360docs.net/doc/7019265685.html,f拷贝一份到bin目录下,但总体原理一样) 一.生成一个带CA(Certificate Authority)授权的证书 打开CMD,进入到Apache安装目录下的bin目录下: 步骤一: 执行命令,生成私钥: openssl genrsa -out tian_server.key 2048 (RSA密钥对的默认长度是1024,取值是2的整数次方,并且密钥长度约长,安全性相对会高点)。 完成密钥server.key生产完毕后进行步骤二操作。 步骤二: 配置https://www.360docs.net/doc/7019265685.html,f 请确保以下数据这里所要求的值
default_md = md5 #默认是default,会触发[default digest message is not supported ] req_extensions = v3_req #默认签名被注释了 [ v3_req ] basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment subjectAltName = @alt_names #此项不存在,需要添加 [ alt_names ] #此项不存在,需要添加,注意DNS.x DNS.1 = https://www.360docs.net/doc/7019265685.html, #自定义 DNS.2 = https://www.360docs.net/doc/7019265685.html, #自定义 DNS.3 = https://www.360docs.net/doc/7019265685.html, #自定义 DNS.4 = https://www.360docs.net/doc/7019265685.html, #自定义 DNS.5 = https://www.360docs.net/doc/7019265685.html, #自定义 DNS.6 = https://www.360docs.net/doc/7019265685.html, #自定义 然后创建目录和文件 demoCA/ newcerts/ private/ index.txt index.txt.attr serial #此文件初始值输入00即可 生成Certificate Signing Request文件,用于向CA机构申请证书: openssl req -new -key tian_server.key -out tian_server.csr -config https://www.360docs.net/doc/7019265685.html,f (如果不加-config https://www.360docs.net/doc/7019265685.html,f参数的话,常会报Unable to load config info from .../ssl/https://www.360docs.net/doc/7019265685.html,f) 之后就会要求输入一系列的参数: Country Name (2 letter code) [AU]:CN ISO 国家代码(只支持两位字符) State or Province Name (full name) [Some-State]:ZJ 所在省份 Locality Name (eg, city) []:HZ 所在城市
SSL证书安装
在默认情况下,IIS使用HTTP协议以明文形式传输数据,没有采取任何加密措施,用户的重要数据很容易被窃取,如何才能保护局域网中的这些重要数据呢?我们可以使用SSL增强IIS服务器的通信安全。 SSL网站不同于一般的Web站点,它使用的是“HTTPS”协议,而不是普通的“HTTP”协议。因此它的URL(统一资源定位器)格式为“https://网站域名”。 一、安装证书条件 要想使用SSL安全机制功能,首先必须为Windows Server 2003或者 windows 2000 server系统安装证书服务。 1、首先请确认您的服务器已经安装配置了Active Directory服务,这样您就可以给域中的用户颁发数字证书。当然AD服务不是安装CA服务的必要条件,如果仅仅做测试使用,您可以不安装AD服务; 2、确保在您的Windows2000server/.NET中开启IIS服务,并且支持ASP,这样您的CA服务可以通过WEB在INTERNET/INTRANET发布;当然一般实际情况是WEB 服务器和CA服务器分别是独立的服务器。 二、安装证书服务 要想使用SSL安全机制功能,首先必须为Windows Server 2003系统安装证书服务。 进入“控制面板”,运行“添加或删除程序”,接着进入“Windows组件向导”对话框,勾选“证书服务”选项 点击“下一步”按钮,接着选择CA类型。这里选择“独立根CA”
点击“下一步”按钮,为自己的CA服务器取个名字,设置证书的有效期限, 最后指定证书数据库和证书数据库日志的位置,就可完成证书服务的安装。
三、配置SSL网站 1.创建请求证书文件 完成了证书服务的安装后,就可以为要使用SSL安全机制的网站创建请求证书文件。点击“控制面板→管理工具”,运行“Internet 信息服务-IIS 管理器”,在管理器窗口中展开“网站”目录,右键点击要使用SSL的网站,选择“属性”选项,在网站属性对话框中切换到“目录安全性”标签页(图1),然后点击“服务器证书”按钮。 在“IIS证书向导”对话框中选择“新建证书”