Q1:windows server Tomcat7安装SSL证书提示unknown protocol : d (文件密码及文件名都是确认正确的)
    解决方式:查看文件路径是否正确
    PS:正常情况下文件路径不对会提示keystorefile not found or keystorepass incorrect。

    Q2: Nginx 安装SSL证书提示SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch错误。
    证书与私钥文件不匹配,检查证书或私钥文件是否正确。

    Q3:Apache 安装SSL证书提示 [error] Unable to configure RSA server private key [error] SSL Library Error: 185073780 error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch。
    证书与私钥文件不匹配,检查证书或私钥文件是否正确。

    Q4: 证书与访问域名不匹配:
    image.png
    image.png
    image.png
    image.png
    此错误信息提示站点证书与访问的域名不匹配,请检查服务端安装证书或访问域名是否正确。

    Q5:证书过期:
    image.png
    确认客户端电脑时间是否正确,检查证书是否在有效期内。

    Q6:证书链不完整:
    证书链不完整常见表现手机端访问提示证书不可信,少数情况下电脑端也会提示证书不可信。微信小程序页面空白。
    可通过openssl工具进行自检
    Linux/macOS系统可通过执行指令:
    openssl s_client -connect domain.com:443
    windows系统选装openssl工具执行
    通过返回信息certificate chain字段能够查看到两个或两个以上不同证书信息即为正确安装
    image.png

    Q7:内网SSL证书安装访问提示证书不可信。
    A:内网SSL证书安装后需在客户端安装对应的根证书,安装操作参考https://www.yuque.com/sheca/kfxgzb/wcb4ys

    Q8:Tomcat配置HTTPS跳转出现错误信息:严重: Parse error in application web.xml file at file:/D:/web/Tomcat/conf/web.xml
    java.lang.IllegalArgumentException: element is limited to 1 occurrence
    web.xml文件中只能有一个标签,不能添加多个。根据需求重新调整。

    Q9:网站http外链
    image.png
    把网站http方式调用的外链资源修改为HTTPS或相对路径方式调用即可。

    Q10:HTTPS受POODLE漏洞影响。
    服务端关闭SSLv3协议即可解决。

    Q11:苹果ATS(App Transport Security)要求。
    ATS要求服务器必须支持传输层安全协议TLS1.2及以上版本;
    通讯中的加密套件(Ciphers)配置要求,支持以下列出的正向保密列表:
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
    SSL证书必须须使用SHA256或者更高级的哈希算法签名,包括2048位以上RSA密钥或者256位以上ECC算法都是可以的。

    Q12:CSR是什么?
    CSR是Certificate Signing Request的英文缩写,即证书签名请求文件。
    当申请者申请数字证书时,CSP(加密服务提供者)生成私钥,同时也生成了CSR文件。申请者将CSR文件提交至Certificate Authority (CA)机构后,CA机构使用其根证书私钥签名,从而就生成了证书公钥文件,即颁发给用户的数字证书。

    Q13: Tomcat配置跳转规则后页面图片访问提示404状态码,http也未跳转至HTTPS。
    取消跳转访问正常,通过页面代码实现https跳转。(根据描述推测是跳转与图片资源跳转冲突)

    Q14:Chrome和Firefox访问加密网站时提示“服务器的瞬时Diffie-Hellman 公共密钥过弱”错误。
    常见于Tomcat服务器,需调整sslEnabledProtocols和ciphers参数,为Tomcat指定安全的传输层协议和加密算法套件。如果您还在使用Java 1.6或7.0版本,建议升级到最新的Java 8,以获得最佳安全保护。

    Q15:证书安装后网页排版异常或图片没有显示。
    把网站http方式调用的外链资源修改为HTTPS或相对路径方式调用即可。

    Q16:xp电脑中IE浏览器无法访问站点。
    服务器端开启sslv3协议并启用相对来说不太安全的密码套件如TLS_RSA_WITH_RC4_128_SHA 或IE浏览器启用tlsv1.0协议。

    Q17:    Nginx安装证书重启提示nginx: [emerg] BIO_new_file(“/usr/local/nginx/conf/domain.com.cer”) failed (SSL: error:02001002:system library:fopen:No such file or directory :fopen (‘/usr/local/nginx/conf/domain.com.cer’,’r’) error:2006D080:BIO routines:BIO_new_file:no such file)
    image.png**
    domain.com.cer文件路径或文件名不正确或文件不存在

    Q18:Nginx安装证书提示nginx: [emerg] SSL_CTX_use_PrivateKey_file(“/usr/local/nginx/conf/domain.com.key”) failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:bad end line error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib)
    image.png
    检查私钥文件末尾——-end rsa private key ——-是否缺少“-”。

    Q19:Linux环境Tomcat安装SSL证书后浏览器访问间歇性访问不到。
    检测发现协议正常,支持的加密套件较少。推测是Java异常(版本并不低,不至于只支持较少的加密套件)。可通过升级Java版本解决。

    Q20:Nginx安装证书提示nginx: [emerg] SSL_CTX_use_PrivateKey_file(“/usr/local/nginx/conf/domain.com.key”) failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: ANY PRIVATE KEY error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib)
    image.png
    检查私钥文件编码是否正确或——-begin rsa private key ——-是否缺少“-”

    Q21:IIS无法使用同一端口对不同站点绑定不同证书
    IIS服务器需升级到server2008R2即可对不同站点使用同一端口绑定不同证书(此版本开始支持SNI)。

    Q22:IIS安装证书后站点无法访问,openssl验证正常。
    检查IIS站点中“SSL设置”是否为默认值。
    image.png

    Q23:IIS安装导入pfx格式证书后检测证书链不完整。
    pfx文件转换过程中没有导入中间证书导致安装后证书链不完整。

    Q24:IIS安装导入包含有中间证书的pfx证书后检测证书链不完整。
    在mmc控制台中导入pfx证书后没有删除根证书并把中级证书剪切粘贴到【中级证书颁发机构】-【证书】里面。

    Q25:windows环境Apache安装SSL证书,Apache无法重启无明显报错信息。
    检查证书文件路径将“/”换成“\”。

    Q26:内网环境安装SSL证书检验支持的协议、算法。
    使用openssl工具添加以下参数:
    -cipher val Specify TLSv1.2 and below cipher list to be used
    -ciphersuites val Specify TLSv1.3 ciphersuites to be used
    -tls1 Just use TLSv1
    -tls1_1 Just use TLSv1.1
    -tls1_2 Just use TLSv1.2
    -tls1_3 Just use TLSv1.3

    Q27:SSL证书如何分类。
    根据证书审核类型分为域名验证(Domian Validation,简称DV)SSL证书、企业验证(Organization Validation,简称OV)SSL证书 、增强验证(Extended Validation,简称EV)SSL证书 。
    根据域名数量分为单域名SSL证书、多域名SAN/UCC SSL证书、通配符(Wildcard)SSL证书 。
    具体分类信息详见:https://www.yuque.com/sheca/kfxgzb/facwhr

    Q28:SSL证书有哪些格式?
    PKCS 全称是 Public-Key Cryptography Standards ,是由 RSA 实验室与其它安全系统开发商为促进公钥密码的发展而制订的一系列标准,PKCS 目前共发布过 15 个标准。 常用的有:
    PKCS#7 Cryptographic Message Syntax Standard
    PKCS#10 Certification Request Standard
    PKCS#12 Personal Information Exchange Syntax Standard
    X.509是常见通用的证书格式。所有的证书都符合为Public Key Infrastructure (PKI) 制定的 ITU-T X509 国际标准。
    PKCS#7 常用的后缀是: .P7B .P7C .SPC
    PKCS#12 常用的后缀有: .P12 .PFX
    X.509 DER 编码(ASCII)的后缀是: .DER .CER .CRT
    X.509 PAM 编码(Base64)的后缀是: .PEM .CER .CRT
    .cer/.crt是用于存放证书,它是2进制形式存放的,不含私钥。
    .pem跟crt/cer的区别是它以Ascii来表示。
    pfx/p12用于存放个人证书/私钥,他通常包含保护密码,2进制方式
    p10是证书请求
    p7r是CA对证书请求的回复,只用于导入
    p7b以树状展示证书链(certificate chain),同时也支持单个证书,不含私钥。

    Q29:OpenSSL 漏洞(CVE-2016-2107)修复。
    受影响版本:

    • OpenSSL 1.0.2 < 1.0.2h
    • OpenSSL 1.0.1 < 1.0.1t
    • OpenSSL 1.0.0
    • OpenSSL 0.9.8

    将 openssl 升级到以下版本可修复漏洞:

    • OpenSSL 1.0.2用户需更新到1.0.2h 。
    • OpenSSL 1.0.1用户需更新到1.0.1t 。
    • 使用包管理系统的用户可以直接更新到2016年5月3日 之后的版本。

    OpenSSL官方已停止对 0.9.8和 1.0.0 两个版本的升级维护,请使用这两个版本的用户将其升级至1.0.2h版本。升级前请做好测试。

    Q30:SSL POODLE漏洞修复。
    服务端需禁用SSLv3协议。漏洞检测及修复参见:https://www.yuque.com/sheca/kfxgzb/zyey2w

    Q31:spc格式证书链转为pem格式(cer/crt后缀)文件。
    申请sheca自主品牌证书会收到spc后缀的证书链文件,安装操作过程中需要转换为pem格式文件。请按照参考进行转换,https://www.yuque.com/sheca/kfxgzb/vv8sdk

    Q32:使用XCA生成CSR文件导出提示如下错误信息
    The following error occurred:
    Error opening file: ‘C:/Program Files (x86)/xca*.domain.com.pem’: Invalid argument (11pki_x509req)
    修改导出的文件名,不要包含特殊符号“*”

    Q33:域名控制权验证-邮箱验证
    证书颁发之前,我们需要确认申请单位对申请的域名是否有所有权或使用权。
    以domain.com域名为例通过邮箱验证方式验证域名所有权。

    允许我们通过发送含验证码的电子邮件给下列任何一个邮箱确认域名授权情况。 域名管理员收到我们的邮件后,按照邮件要求操作即可完成域名验证。
    如果您选择此项,请通知我们您选择的电子邮箱。)
    admin@domain.com
    administrator@domain.com
    hostmaster@domain.com
    postmaster@domain.com
    webmaster@domain.com

    Q34:域名控制权验证-文件验证
    证书颁发之前,我们需要确认申请单位对申请的域名是否有所有权或使用权。
    以domain.com域名为例通过文件验证方式验证域名所有权。

    建立 http(s)://domain.com/.well-known/pki-validation/fileauth.txt 的页面,在 fileauth.txt 文档中保存上 “wXpdQ9D90ycfnT1QwaJcj4rKkPxVgaYeYx1tihrqYQY”(该内容由CA指定) 的字样。完成以后通知我们来进行验证。

    Q35:域名控制权验证-DNS验证
    证书颁发之前,我们需要确认申请单位对申请的域名是否有所有权或使用权。
    以domain.com域名为例通过DNS验证方式验证域名所有权。

    在域名 domain.com 的DNS服务器添加记录值为”wXpdQ9D90ycfnT1QwaJcj4rKkPxVgaYeYx1tihrqYQY”(该内容由CA指定) 字样的TXT记录,以备我们查看。完成以后通知我们进行验证。

    Q36:中文域名如何申请SSL证书
    首先需要有一个已注册并可用的中文域名,如“www.中国万网.com”,将这个中文域名转换为punycode编码 ( www.xn—chQ7C153A6s7B.com ),然后使用punycode编码申请SSL服务器证书。


    中文域名的转码可以登陆到http://tools.jb51.net/punycode/ ,输入要转码的中文域名转码为punycode编码。
    Punycode是一个根据RFC 3492标准而制定的编码系统,主要用於把域名从地方语言所采用的Unicode编码转换成为可用於DNS系统的编码。Punycode可以防止IDN欺骗。

    Q37:HTTPS和HTTP区别
    HTTPS和HTTP的区别主要为以下四点:
    一、https协议需要到ca申请证书,一般免费证书很少,需要交费。
    二、http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。
    三、http和https使用的是完全不同的连接方式,用的默认端口也不一样,前者是80,后者是443。
    四、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。

    Q38:EV SSL证书的证书主题中会显示哪些信息
    EV SSL证书的证书主题中会显示已经验证的所有信息,如机构名称、网站域名、营业执照或组织机构代码证号、运营和注册地址等。如图所示:
    image.png

    Q39:SSL证书支持多域名吗
    多域名证书不限域名类型。您只需购买一个多域名SSL证书就可满足多个域名使用。也就是说:一个多域名SSL证书可以同时用于同一台物理服务器上的所有网站域名的SSL安全加密。
    一般来讲,SSL证书是绑定域名的,一个SSL证书对应一个域名,一个Web服务器的SSL加密需要一个独立的端口(缺省SSL端口为443)。目前,在一台物理服务器上(只有1个IP地址),如果要想对多个网站都使用SSL,则只有一个网站可以使用443端口,如:https://www.domain.com,而此服务器上的其他网站就只能使用其他不同的端口(服务端不支持SNI),如:https://www.domain.cn,否则会提示证书域名不符而出现警告窗口。

    Q40:SSL 证书有什么作用
    用户通过HTTP协议访问网站时,浏览器和服务器之间是明文传输,这就意味着用户填写的密码、帐号、交易记录等机密信息都是明文,随时可能被泄露、窃取、篡改,被黑客加以利用。而安装 SSL 证书后,使用 HTTPS协议加密访问网站,可激活客户端浏览器到网站服务器之间的 “SSL 加密通道”(SSL 协议),实现高强度双向加密传输,防止传输数据被泄露或篡改钓鱼欺诈网站泛滥。
    鉴于目前各种间谍软件、窃听软件都无非是想非法获得用户的机密信息,如果服务器部署了SSL证书就可以减少黑客通过嗅探网络数据包的方式截取用户输入的数据,从而达到保护网站用户的合法权益。
    简单来说就是,部署了 SSL 证书产品后,可以实现两个重要功能;一是实现加密传输,二是认证服务器真实身份。
    同时,网站部署全球信任的 SSL 证书后,浏览器内置安全机制,实时查验证书状态,通过浏览器向用户展示网站认证信息,让用户轻松识别网站真实身份,防止钓鱼网站仿冒。

    Q41:升级到 HTTPS 后,网站部分资源不加载或提示不安全记住一个原则:HTTPS 网站的所有外链资源(CSS、JS、图片、音频、字体文件、异步接口、表单 action 地址等等)都需要升级为 HTTPS,就不会遇到这个问题了。

    Q42:SSL证书如何申请
    申请SSL证书主要需要经过以下3个步骤:
    1.制作CSR文件。
    CSR就是Certificate Signing Request证书请求文件。这个文件是由申请人制作,在制作的同时,系统会产生2个秘钥,一个是公钥就是这个CSR文件,另外一个是私钥,存放在服务器上。要制作CSR文件,申请人可以参考https://www.yuque.com/sheca/kfxgzb/htahww

    将CSR提交给CA,CA一般有2种认证方式:
    1.域名认证,参考https://www.yuque.com/sheca/kfxgzb/tmg37u 这种方式认证速度快,但是签发的证书中没有企业的名称;
    2.企业文档认证,需要提供企业的营业执照。一般需要3-5个工作日。 也有需要同时认证以上2种方式的证书,叫OV或EV证书,这种证书可以使IE7以上的浏览器地址栏变成绿色,所以认证也最严格。

    3.证书的安装。
    证书安装参考:https://www.yuque.com/sheca/kfxgzb/vkgsr1

    Q43:如何查看网站的SSL证书
    以HTTPS方式访问网站时在浏览器地址栏中会有小锁标志,点开小锁可以查看到网站的SSL证书品牌、类型、有效期等信息。

    Q44:收费ssl证书与免费ssl证书的区别是什么
    免费SSL证书是自动审核自动签发,审核严格度较低,所以免费证书相对来说安全度较低。且免费证书从申请到颁发后的证书安装都是没有技术支持提供的,需要自己独立完成。所以出于安全性及操作便捷性考虑建议您申请商业收费证书。

    Q45:怎么会有不受信任的SSL证书
    网站提示SSL证书不受信任,可能原因为域名与证书不匹配、证书过期、证书被吊销、缺少中间证书、安装的是自签发证书(非可信CA机构颁发)等。

    Q46:公司的ssl证书快到期了,后面应该怎么购买
    可联系我们销售进行证书的续费,续费后会有新的证书颁发在服务器上更新替换即可正常使用。

    Q47:如何判断网站有没有SSL证书
    浏览器通过https://需要访问网站的域名 方式访问能够访问到内容的话说明该网站是有SSL证书的,支持HTTPS访问。

    Q48:自己生成的SSL证书与购买的SSL证书有什么区别
    自己生成的SSL证书是不受网络环境信任的,不具备服务器身份认证的功能,仅可用于内部测试。购买的SSL证书是由国际CA厂商颁发的在各浏览器,操作系统及SSL库中都是受信的。

    Q49:我的网站适合不适合使用SSL证书
    随着HTTPS的普及没有网站不适合使用SSL证书