1、如何實現(xiàn)用戶用訪問http時自動跳轉(zhuǎn)到https的訪問地址？ 
答：實現(xiàn)網(wǎng)頁的自動跳轉(zhuǎn)有兩種方式：
1）增加重定向到https 
2）在頁面中加入自動跳轉(zhuǎn)代碼。例如：<---< meta http-equiv="Refresh" content="秒數(shù); url=跳轉(zhuǎn)的文件或地址">--->

2、同一張服務(wù)器證書是否可以配置在多臺服務(wù)器上？ 
答：不可以。Verisign的簽署協(xié)議中禁止客戶在多臺服務(wù)器上配置同一張證書。如果做負載均衡是需要在每臺物理服務(wù)器上都配置證書的.如果因為出現(xiàn)違反VeriSign關(guān)于負載均衡說明所引起的問題.我們是不負責(zé)任的.


3、多臺服務(wù)器多個域名，該如何選購SSL證書?
一般來講，一個網(wǎng)站(一個域名)對應(yīng)一個SSL證書，因為SSL證書是綁定域名的。只有通配型證書和多域型證書才支持多個域名。
通配型證書適合于同一臺物理服務(wù)器下的同一域名下的多個子域，如您在同一臺物理服務(wù)器上有多個網(wǎng)站：
www.mydomain.com 
secure.mydomain.com 
pay.mydomain.com 
login.mydomain.com
申請通配型SSL證書時填寫的通用名稱(Common Name)為： *.mydomain.com 。 
與通配型證書只支持子域不同的是，多域型SSL證書支持任何域名，不僅限于子域，如：domain.com、domain.cn、domain.com.cn、domain.net、domain.net.cn、mydomain.com、domain.us、domaina.com等等。不僅適合于有多個域名需要部署SSL證書的單位，更適合于虛擬主機服務(wù)提供商為不同單位的不同域名的網(wǎng)站部署SSL證書。 
請注意：以上兩種證書都使用于同一臺物理服務(wù)器，如果您有多臺物理服務(wù)器在使用同一個域名(負載均衡方式)，則您需要為多臺服務(wù)器購買多服務(wù)器許可證即可。

4、部分客戶端訪問IIS服務(wù)器時，證書鏈中的中級證書過期怎么辦？ 
這種情況通常發(fā)生在IIS服務(wù)器上。導(dǎo)致該問題的原因是服務(wù)器上存在多張可提供信任關(guān)系的中級證書，且其中有已過期的中間級證書。
如果客戶端PC系統(tǒng)中證書存儲區(qū)沒有新的中級證書而只有已經(jīng)過期版本的中級證書的話，客戶端瀏覽器不會主動從服務(wù)器上下載新的中級證書文件，而只通過已過期的中級證書去驗證服務(wù)器證書的有效性。導(dǎo)致客戶端報中間級證書已過期錯誤。
解決方法：刪除服務(wù)器上計算機賬戶中“中級證書頒發(fā)機構(gòu)”里已過期的證書，并更新最新的中級證書文件，強制客戶端下載最新的證書鏈文件，使客戶端只能通過一條最新的證書鏈來驗證服務(wù)器證書的有效性。

5、收到證書批準(zhǔn)郵件后，從郵件中提取的證書安裝失敗，無法安裝？ 
1.保存下來的服務(wù)器證書文件中，文件代碼前后可能有空格或其他無效字符?；蛘邲]有將證書頭和尾部起始代碼包含進來。在Windows環(huán)境下，雙擊嘗試打開該證書文件，檢查是否能夠查看證書信息。
2.原始請求被刪除或被新的請求覆蓋，私鑰丟失。需要吊銷替換，重新生成證書文件。
3.私鑰管理權(quán)限不足，使用管理員權(quán)限登陸，并賦予私鑰的管理權(quán)限。

6、IIS下同一站點不允許同時提交多個請求 
微軟IIS 6.0中每一個站點只允許同時發(fā)出一個CSR請求。如果在已有的請求之上重新創(chuàng)建一個新的CSR請求，您的原始請求（和私鑰）將被覆蓋。
在正式提交CSR請求后，請不要對服務(wù)器做證書方面的配置，并可通過私鑰備份，保存您的私鑰文件。

7、初始VTN服務(wù)器證書時，CSR中的所有信息都是按照要求正確填寫的，但提交后系統(tǒng)無法解析，無法簽發(fā)證書。 
答：客戶在填寫辨識碼時（證書管理密碼）使用了特殊字符。

8、在Apache 上配置EV SSL 服務(wù)器證書，但EV SSL 服務(wù)器證書有兩張中級證書，在Apache 配置文件中出現(xiàn)兩個引用中級證書語句時，啟動失敗。 
Apache 下，需要將兩張中級證書打包成一個證書文件。打包方式：用記事本等文本編輯器打開兩張中級證書文件，分別復(fù)制證書代碼，粘貼到一個記事本文檔中。并將該文件配置到 Apapche 配置文件中 SSLCertificateChainFile 路徑下。

9、 服務(wù)器需要使用的是 Pem 格式的私鑰和證書文件，該如何生成私鑰和證書請求。 
可以安裝 Openssl ，使用 Openssl 來生成證書請求。請參考Apahce服務(wù)器證書CSR生成指南，在生成私鑰文件時，只需要將私鑰文件名的后綴定義成 .pem 就可以了。
  
10、IIS中，已經(jīng)提交CSR請求，還未收到證書如何備份私鑰。 
開始菜單“運行”-“MMC”-“文件”-“添加刪除管理單元”，打開控制臺，添加計算機賬戶-本地計算機。在控制臺根節(jié)點中找到“證書注冊申請”，在該目錄下，找到您的注冊請求文件并導(dǎo)出成一個PFX文件。
安裝證書時，先從控制臺導(dǎo)入私鑰備份文件到“證書注冊申請”，再把服務(wù)器證書導(dǎo)入到“個人”中。然后再到 internet 服務(wù)管理器中，需要配置證書的網(wǎng)站上，指派現(xiàn)有證書到導(dǎo)入的服務(wù)器證書上即可。

11、為什么查看某些安全站點時會彈出“本頁不但包含安全的內(nèi)容，也包含不安全的內(nèi)容。是否顯示不安全的內(nèi)容”？ 
在編寫網(wǎng)站頁面文件代碼的時候，頁面URL和資源文件建議使用相對路徑來定義。這樣有助于提高頁面對證書的兼容性。當(dāng)客戶端無論是用http還是https來訪問該頁面都不會報錯。如果頁面需要強制使用https來訪問，則在頁面中，需要確保所有的圖片、Flash、JS腳本、CSS等文件都使用https的絕對路徑或使用相對路徑來定義文件在頁面代碼中的位置。

12、ssl會話建立的過程（原理）是什么？  
交換開始于客戶端發(fā)出的一條“client_hello”消息，消息包括
客戶端支持的SSl版本號
客戶端產(chǎn)生的32字節(jié)的隨機數(shù)
一個對應(yīng)的會話ID
一個支持的密碼算法的列表
一個支持的壓縮算法的列表
服務(wù)器發(fā)出消息“server_hello”進行響應(yīng)，內(nèi)容包括
服務(wù)器從客戶端列表中選擇的SSL版本號
服務(wù)器產(chǎn)生的32字節(jié)的隨機數(shù)
會話ID
從客戶端列表中選擇的密碼算法
選定的壓縮算法（通常不進行壓縮）
客戶端檢查服務(wù)器的證書和它發(fā)出的諸多參數(shù)；如果服務(wù)器請求客戶端證書，那么客戶端響應(yīng)一條證書消息，其中包含了它的X.509證書服務(wù)器以客戶端發(fā)來的“change_cipher_spec”消息作為相應(yīng)，向客戶端消失它也將使用與客戶端相同的參數(shù)來加密將來所有的通信內(nèi)容。因為服務(wù)器已經(jīng)收到了客戶端計算密鑰使用的隨機數(shù)，它也可以計算與客戶端相同的密鑰；服務(wù)器發(fā)送交換結(jié)束消息來結(jié)束握手過程

13、服務(wù)器證書做雙向認證是否需要安裝第三方的插件？ 
答:常用的webserve 中間件都會有支持客戶端認證的功能.配置證書書只需要修改配置文件便可以啟用客戶認證的功能.不需要安裝第三方的插件.


14、物理服務(wù)器出現(xiàn)故障是對證書使用會有什么影響？ 
答:在您申請服務(wù)器證書后,請及時備份您的證書(私鑰,公鑰)如果物理服務(wù)器出現(xiàn)故障只需要將備份的證書配置到新的服務(wù)器上就可以了.不會對證書的使用造成影響.


15、服務(wù)器上裝個證書會不會影響到速度和流量？ 
答: 當(dāng)然會增加服務(wù)器CPU的處理負擔(dān)，因為要為每一個SSL連接實現(xiàn)加密和解密，但一般不會影響太大。同時建議注意以下幾點以減輕服務(wù)器的負擔(dān)：
(1) 僅為需要加密的頁面使用SSL，如https://www.domaincom/login.asp，不要把所有頁面都使用https://,特別是訪問量最大的首頁；
(2) 盡量不要在使用了SSL的頁面上設(shè)計大塊的圖片文件和其他大文件，盡量使用簡潔的文字頁面。
如果網(wǎng)站的訪問量非常大，則建議另外購買SSL加速卡來專門負責(zé)SSL加解密工作，可以完全不增加服務(wù)器任何負擔(dān)?；蛄硗庠黾臃?wù)器。

16、網(wǎng)絡(luò)設(shè)備是否可以支持SSL證書？ 
答:設(shè)備的硬件制造如果讓設(shè)備支持SSL協(xié)議是可以支持證書.一般的技術(shù)配置文檔由這些設(shè)備廠商提供.如cisoco F5 VPN 都有支持證書的產(chǎn)品.

17、如果改變了硬件、軟件（web server）證書需要重新申請嗎？ 
答：服務(wù)器證書與硬件無關(guān)。系統(tǒng)和web server版本如果相同也不會有任何影響。如果改變了服務(wù)器軟件，證書就要重新申請。服務(wù)器證書不可以更換平臺使用。

18、托管服務(wù)器提供商不讓配置ssl證書？ 
答：托管服務(wù)器一般也叫虛擬主機提供商．他們在一臺較好的服務(wù)器上配置了多個虛擬站點．一般都是提供普通的８０web服務(wù)．如果其中的一個站點配置了證書走ＳＳＬ協(xié)議是會對整個服務(wù)器會有負載的．

19、 在一臺服務(wù)器的多個虛擬主機中，是否可以實現(xiàn)SSL功能？ 
答：如果是一個IP多個網(wǎng)站的情況，是無法實現(xiàn)SSL功能；如果是一臺服務(wù)器對應(yīng)多個網(wǎng)站多個IP（每個網(wǎng)站一個IP），就可以實現(xiàn)SSL功能。每個網(wǎng)站需要配置一張服務(wù)器證書。
 
20、如果顯示證書已過期（并未到有效期）？ 
答：可能情況：1）系統(tǒng)時間不對；2）中級證書過期。

21、服務(wù)器證書雙擊打開時，提示是無效的證書格式，如何處理？ 
答：可能是文件中含有其證書鏈上的其它證書的緣故?？蓪⑽募暮缶Y改成.p7b解決。

22、在Web Logic中安裝Web Server證書時，出現(xiàn)私鑰與證書不匹配的問題，是為什么？ 
答：在私鑰文件與證書文件都正確的情況下，這可能是由于沒有安裝中級CA引起的?？蛻舯仨殞⑷蚍?wù)器證書配置到域名與證書通用名相同的WEB站點上（即證書通用名與URL必須相符），否則可能會出現(xiàn)Win98下無法建立連接、或低加密強度的瀏覽器無法建立128bit連接而只能建立40bit或56bit的SSL連接的問題（可能還有其他不可預(yù)知的問題）。

23、在IIS中如何導(dǎo)入pfx格式的服務(wù)器證書？ 
答：如果操作系統(tǒng)是win 2003，在IIS配置目錄安全性的選項里有從pfx文件中導(dǎo)入的選項，按照安裝向?qū)渲眉纯?。如果是其他操作系統(tǒng)，需要先雙擊pfx文件，將證書導(dǎo)入到系統(tǒng)中，然后再選擇指派現(xiàn)有證書進行配置。