SSL证书常见问题（第三集）

转载自 ssl证书技术支持中心

1. 在Apache 上配置EV SSL 服务器证书，但EV SSL 服务器证书有两张中级证书，在Apache 配置文件中出现两个引用中级证书语句时，启动失败。 Apache 下，需要将两张中级证书打包成一个证书文件。打包方式：用记事本等文本编辑器打开两张中级证书文件，分别复制证书代码，粘贴到一个记事本文档中。并将该文件配置到 Apapche 配置文件中 SSLCertificateChainFile 路径下。

2. 配置中间证书后无法启动apache报”Failed to configure CA certificate chain!”错误，为什么？ Mod_ssl模块的问题，重新编译一下apache即可。

3. 关于重定向的配置 方法一：在主页中嵌入 <—<script language=javascript> if(document.location.protocol == “http:”){ document.location.replace(document.location.href.replace(/^http:/i,”https:”)); } —>

方法二：1. 在IIS下新建一个站点，主机名和要实现SSL功能的网站域名相同，在该站点的“属性”，“主目录”中选择“重定向到URL”并修改成要实现 SSL连接的网站，这个站点的端口用80端口。2. 如果主站点的端口是80，修改成其他端口，并在属性里加载SSL连接，SSL端口为443。重启服务即可。

4. 在Web Logic中安装Web Server证书时，出现私钥与证书不匹配的问题，是为什么？ 在私钥文件与证书文件都正确的情况下，这可能是由于没有安装中级CA引起的。客户必须将全球服务器证书配置到域名与证书通用名相同的WEB站点上 （即证 书通用名与URL必须相符），否则可能会出现Win98下无法建立连接、或低加密强度的浏览器无法建立128bit连接而只能建立40bit或56bit 的SSL连接的问题（可能还有其他不可预知的问题）。

5. 如果改变了硬件、软件（web server）证书需要重新申请吗？ 服务器证书与硬件无关。系统和web server版本如果相同也不会有任何影响。如果改变了服务器软件，证书就要重新申请。服务器证书不可以更换平台使用。

6. 服务器证书做双向认证是否需要安装第三方的插件？ 常用的webserve 中间件都会有支持客户端认证的功能。配置证书书只需要修改配置文件便可以启用客户认证的功能。不需要安装第三方的插件。

7. 服务器需要使用的是 Pem 格式的私钥和证书文件，该如何生成私钥和证书请求。 可以安装 Openssl ，使用 Openssl 来生成证书请求。请参考Apahce服务器证书CSR生成指南，在生成私钥文件时，只需要将私钥文件名的后缀定义成 .pem 就可以了。

8. 用IE4或IE5浏览器浏览某些安全站点时，会出现服务器证书不可信的警告，用Win2000则没有这个问题，为什么？ 这个问题包含两方面内容：

1. VeriSign在2001年2月26日后颁发的全球服务器证书都不再支持IE4浏览器，因此IE4浏览器需要升级或安装2028年的新的Class3根证书。

2. 除微软的IIS外，其他WebServer软件都需要安装中级CA证书（根证书一般是预埋的）。

9. 如果显示证书已过期（并未到有效期）？ 可能情况：1）系统时间不对；2）中级证书过期。

更多服务器证书信息访问   http://www.etsec.com.cn