SSL证书常见问答

我们整理归类了一些客户咨询经常会问的,比较关心的一些问题,包括SSL证书介绍、如何申请SSL证书,申请流程,安装使用方面的,续费等等,如果您对SSL证书不太了解,希望下面的资料能够为您提供一点帮助,如果您未能从当前页面找到答案,欢迎随时联系我们,我们将为您一一解答

什么是SSL证书?

SSL证书(HTTPS证书)是一种支持从HTTP协议升级HTTPS加密协议的数字证书。通过SSL证书实现客户端浏览器与网站服务器之间建立一条安全加密通道,确保双方之间以加密的方式进行信息交换,保障所传输的数据不被第三方获取或篡改

网站安装证书后有什么变化?

通过浏览器打开安装有SSL证书的网站,浏览器地址栏将直观展示HTTPS安全标识,以及相应的认证信息。在浏览器地址栏可以看到网址是以"HTTPS"开头的,并显示醒目的安全锁(通常是绿色或灰色),点击HTTPS安全锁,可以进一步查看证书的认证信息,EV SSL证书可以直接看到经过认证的企业名称。

申请试用SSL证书       SSL证书购买咨询:0760-87954299
SSL证书实现加密保护

SSL证书常见问答

SSL证书介绍

什么是SSL证书?

用户通过HTTP协议访问网站时,用户与网站之间的数据传输都是明文传输的,犹如在大马路上裸奔,SSL证书起到对访客与网站之间的数据进行加密传输的作用,防止如帐号、密码、信用卡等敏感数据在传输过程中被窃取

基本上有帐号密码输入的网站都需要SSL证书,SSL证书还能防止传输数据被篡改,一旦传输数据被篡改,可能是被插入广告,插入危险代码,也有可能是网站流量劫持,让用户访问到其他网站。

企业型证书和增强型证书还能起到网站身份识别的作用,避免访客访问到假冒钓鱼网站,增强型证书能够在地址栏显示企业名称。使用SSL证书的网站能够增强用户对网站的信任度,用户能够放心的在网站上输入重要信息。

随着chrome 57浏览器的发布,在没有使用SSL证书的网站登录页面,谷歌浏览器在浏览器地址栏把当前页面标识为 "不安全" ,使用SSL证书的登录页面被标识为"安全

什么是DV(域名型)SSL证书

域名型SSL证书,通常称为DV证书(Domain validation),这种证书只需通过域名控制权验证就可以颁发,无需通过长达数个工作日的企业/单位资质审核,通常5-30分钟内即可颁发证书

验证域名控制权的方式包括:EMAIL验证、文件验证、DNS验证 ,查看如何完成域名控制权验证:Sectigo 域名验证指南 DigiCert SSL证书域名验证指南

这种证书特点是快速颁发。但是这种证书仅能起到加密数据传输的作用,不包含网站身份识别。所以适用于个人用户, 或者一些不需要加强用户的网络信任的网站使用。查看 DV OV EV证书的区别

什么是OV(企业)SSL证书
OV (Organization Validation)企业型证书,是指必须通过企业/组织身份审核后才能颁发的SSL证书,这种证书需要的审核程度介于域名型证书和增强型证书之间,只需要通过较为简单的企业/组织资质审核.目前企业/单位用户使用这种证书的比较多,证书详细信息上会显示包含单位名称等信息,能够让用户了解网站的身份信息,相对于域名型证书来说,OV证书具有更高的安全担保金额,更高的安全保障,通常需要1-4个工作日颁发证书。查看 DV OV EV证书的区别
什么是EV(增强型)SSL证书
EV(Extended Validation)证书也称为增强型证书 ,申请这类证书需要通过高级的企业/组织资质审核,这是最高级别的SSL证书类型,除了能够起到加密数据传输作用外,还能很直观的让用户识别网站的身份信息,防止误入假冒网站,它能够让访问当前网站的浏览器地址栏便绿色,并在地址栏显示公司/单位名称,越来越多的用户逐渐使用EV证书,特别是电子商务、金融类的网站,如国内的主要银行网站大多使用EV证书。通常需要2-7个工作日颁发证书。查看 DV OV EV证书的区别
如何让浏览器地址栏变绿,并在地址栏显示单位名称
需要使用EV增强型SSL证书,
我可以申请EV增强型证书吗?
在政府部门正规注册登记的单位均可申请EV证书,
一个SSL证书支持带www和不带www的域名吗? 如www.abc.com 和abc.com
主流的SSL证书品牌证书均支持。如Symantec Geotrust Comodo Globalsign Digicert 的单域名证书,就是说如果您申请证书的域名是www.abc.com 那么这个证书同时也会支持abc.com这个域名。对于多域名证书,如Geotrust 企业型证书多域名版,这个证书默认支持5个域名, 仅主域名支持带www和不带www的域名,如www.abc.com 和abc.com,其他域名仅支持其中的一个,如果www.xyz.com ,如还想支持xyz.com ,这种情况就会占用两个附加域名。
什么是通配符SSL证书
一个通配符证书支持域名abc.com 以及所有abc.com的二级域名,这些域名均可以同时使用同一个证书,如域名abc.com / www.abc.com / login.abc.com 等等。适用于有较多数量的二级域名需要使用证书的情况, 申请通配符证书的域名可以是顶级域名也可以是一个子级域名, 如login.abc.com的通配符证书,支持无限数量login.abc.com的二级域名, 如a.login.abc.com / b.login.abc.com / c.login.abc.com ...
什么是多域名SSL证书
一个多域名证书支持多个域名使用,如一个Geotrust 企业型证书 多域名版 ,默认支持5个域名, 可以是顶级域名 也可以是子域名,如 www.abc.com  , login.abc.com 等,并且可购买支持更多的域名数量,优点是一个证书支持多个域名, 无需为每个网站单独购买一个证书,方便管理,并且价格相对与为每个域名购买一个证书要便宜。
多域名证书和通配符证书有什么区别?
通配符证书能够支持域名如abc.com 以及所有abc.com的二级域名使用,如 login.abc.com shop.abc.com blog.abc.com 等等,
多域名证书支持有限数量的多个域名使用同一个证书,如Geotrust 企业型证书多域名版 默认支持5个域名,可付费增加支持更多的域名,所支持的域名可以是子域名,也可以是顶级域名。
如何才能使用256位加密
我们销售的证书均支持256位加密,但是实际使用中能不能做到256位加密取决与你的服务器设置。
我是个人用户,可以购买企业型/增强型证书吗?
不可以,只有企业、事业单位、政府部门,以及各种正规登记注册的组织团体才可以购买企业型和增强型SSL证书。
我购买了SSL证书,如何获取对应的中级证书?
在证书颁发后,CA会把服务器证书发送到证书联系人的邮箱,有时候里面包含有服务器证书以及对应的中级证书,有时候可能没有包含中级证书,我们可以登录获用户界面获取对应的中级证书,
Geotrust 用户后台 https://products.geotrust.com/orders/orderinformation/authentication.do  
Symantec 用户后台  https://products.websecurity.symantec.com/orders/orderinformation/authentication.do
也可以通过镭铭提供的证书链补齐工具,只要粘贴服务器证书代码, 即可获取对应的中级证书代码,支持多种SSL证书品牌,
镭铭SSL证书链补齐 https://www.sslaaa.com/tools/get_intermediate_cert_code
一个多域名证书最多可以支持多少个域名
这个取决于不同的证书厂商,以及不同的证书类型,Comodo的多域名证书最多可以支持250个域名,Geotrust ,Symantec最多可以支持100个。
什么是多域名通配符SSL证书
一个多域名通配符证书支持多个域名以及每个域名的所有二级域名,相当于将多个通配符证书合并为一个证书,如一个多域名通配符证书可支持 abc.com 和 xyz.com 使用,同时也支持abc.com 以及xyz.com的所有二级域名使用这个证书。

CSR相关问题

什么是CSR?
CSR 是 Certificate Signing Request 的缩写,中文 证书请求文件,这是所有申请SSL证书都必须提供的。通常是在服务器上生成该文件,也可以使用生成工具 https://www.sslaaa.com/tools/csr-generator.php
如何生成CSR
通常可以在要安装SSL证书的服务器上生成,参考生成方法 https://www.sslaaa.com/helplist/create_csr
也可使用CSR生成工具 https://www.sslaaa.com/tools/csr-generator.php
生成CSR的时候可以使用1024加密强度吗?
不可以,建议使用2048.
提交订单的时候提示CSR无效
可能的原因是 CSR代码不齐全, 没有全部复制,完整的CSR代码应该包含开头 -----BEGIN CERTIFICATE REQUEST----- 和结束 -----END CERTIFICATE REQUEST-----这两行代码,也有可能是生成CSR的时候输入内容有误。通配符证书请使用 *.abc.com 这样的格式生成CSR,单域名证书请使用https访问的域名生成CSR,一般是www.abc.com ,多域名证书请使用其中的一个域名生成CSR,剩余域名可在提交订单的时候填写在相应的表单项目内。
如果使用中文输入填写CSR信息,请不要使用全角模式。
密钥有什么用?
用于建立SSL连接在服务器端的数据交换,证书安装到服务器上后内容是公开的,而密钥是需要保密的,除了提供给安装证书的技术人员,请不要把密钥泄露给无关人员,如果密钥丢失会导致SSL证书无法安装使用,这个时候可以重新生成CSR和密钥,重新颁发证书。
注意:密钥是用户自己生成的,并不是CA发给用户。
无法读取CSR内容
CSR代码必须包含开头 -----BEGIN CERTIFICATE REQUEST----- 和结束 -----END CERTIFICATE REQUEST-----这两行代码,还有就是读取CSR时候发现乱码,这个情况一般是在linux服务器上用openssl生成CSR的时候使用了中文输入法,这种情况建议使用英语或者拼音输入,或者使用CSR生成工具 https://www.sslaaa.com/tools/csr-generator.php
我应该如何保存密钥
生成CSR的时候会同时生成密钥,密钥文件应该妥善保存, 不要把密钥交给无关人员,泄露密钥可能会造成安全隐患,也请不要删除密钥,丢失密钥会导致证书无法安装使用。

SSL证书认证

如何快速颁发证书?
如果您急需证书快速颁发, 请联系我们的客服,我们根据您提供的资料可以给您一个预期的颁发时间,以及注意事项,避免一些不必要的时间浪费,我们可以与CA审核部门直接联系沟通,帮您快速拿到证书。
申请域名型证书,我需要提供证件吗?
不需要。域名型证书只需验证申请者对域名具有控制权即可。
申请企业型证书或增强型证书,我需要提供什么证件?
如果CA能够在网上通过政府部门的网站查询到您的详细单位资料,并且能够与您顺利完成电话确认,您并不需要提供任何证件。如果资料不齐全,您可能需要提供证件如 营业执照、登记证件、机构代码证、银行开户许可证的其中一个或几个,也有可能需要提供律师信,具体需要什么,您可以事先咨询我们。我们会为您安排,使流程更简单,快速颁发证书。
哪些可以作为验证域名控制权使用的邮箱?
CA需要确认您对申请证书的域名拥有控制权,可能需要向你的域名管理员邮箱发送一份验证邮件,接收到验证邮件后,只需要简单点击 我批准 即可完成域名控制权的验证。那么哪些邮箱可以用来接收验证邮件呢? 
首选 域名联系人邮箱,就是注册域名时候填写的联系人邮箱, 使用这个邮箱的前提是,域名没有使用隐私保护,别人通过查询域名的WHOSI记录可能看到该邮箱。
还有一些邮箱也是可以用来接收验证邮件的 ,如果您申请证书的域名是 www.abc.com ,那么下列邮箱是可用于接收验证邮件的

    Admin@abc.com
    Administrator@abc.com
    Hostmaster@abc.com
    Postmaster@abc.com
    Webmaster@abc.com

如果错过了CA打给我的电话,该如何处理
请联系我们,我们会与您安排时间让您顺利接到CA的电话。
CA完成订单审核流程需要多长时间?
这个时间取决于所购买的证书类型以及您的配合程度。不管购买任何一种证书,审核必须您积极配合才能尽快颁发证书,
对于域名型证书,您需要接收CA的验证邮件, 按邮件要求完成简单的确认即可。
对于企业型证书 增强型证书,CA审核您的订单,可能需要提供相关的资料,他们还会给您打电话确认信息,如果无法与您取得联系,证书将无法颁发。
通常域名型证书 需要30分钟左右, 部分情况下可能需要1-2个工作日
企业型证书需要1-4个工作日,增强型证书需要2-7个工作日。
域名型证书订单状态显示为 FAILED SECURITY REVIEW ,如何处理
这个情况是Geotrust RapidSSL域名型证书可能碰到的,这并不表示您的域名或者网站有问题被拒绝,这个情况表示该订单不能通过自动审核,CA会人工检查您的订单资料,您通常只需要耐心等待一个工作日就可以了,如果超过一个工作日仍未通过审核,请联系我们, 
为尽量避免这个状态发生,请您生成CSR的时候,不要使用中文字符。可以使用英语的公司名、部门名称和地域信息
我的订单已经完成审核了,但是一直没有收到证书。
完成审核流程后,证书是发送到证书联系人的邮箱,并不是发送验证域名控制权的邮箱。另外请检查邮箱的垃圾文件夹,如果使用的是QQ邮箱,请点击邮箱首页下方的自助查询,查看收件记录,如果确实没有,请联系我们。 
我可以使用域名联系人邮箱来接收邮件完成域名控制权验证吗?
可以,域名型 企业型 增强型证书均可以采用这个方式。
我不小心删除了服务器上的密钥,该如何处理?
首先看一下有没有备份,有的话,把备份的密钥放到服务器使用,如果没有的话,请生成新的CSR和密钥, 把CSR交给我们重新颁发证书。
我要更换服务器或者重装服务器操作系统,如何把证书转移到新服务器或系统上使用?
可以把原来服务器上的证书/密钥做备份,在新服务器上安装使用,如果忘记做备份,可以生成新的CSR ,免费重新颁发证书,新颁发的证书域名、有效期等与原来的证书一致。

SSL证书安装

证书安装后,无法通过https://打开访问
有很多种原因可能会出现这个情况, 有时候也不一定是SSL证书的原因,通常证书安装后,我们可能要重启web服务器使得证书起作用,要确认web服务器是否在监听https使用的端口,确认服务器上是否有防火墙,有的话,要开通相应的https端口,服务器外部有没有防火墙,有的话确认https端口是否也是打开的。
如何下载我购买的SSL证书
CA在完成审核后会把SSL证书发送到证书联系人的邮箱,证书就是包含-----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE-----的这段代码,可以把这段代码复制,用记事本保存后缀为crt格式的文件。
如何把一个SSL证书安装到多台服务器上
首先symantec证书默认仅支持安装在一台服务器上,请注意,同时运行在两台服务器上可能会导致证书失效,
 其他的如Geotrust Globalsign Comodo Digicert的证书均支持一个证书安装在多台服务器上,只需把证书和密钥复制到其他服务器上安装即可。
需要独立IP才能安装SSL证书吗?
不一定,较新版本web服务器如 nginx apache IIS 均支持一个IP安装多个SSL证书,但是一个独立IP对应一个SSL证书会有更好的浏览器兼容性,特别是对于一些比较老的浏览器版本。
网站提示:与此网站的连接不完全安全 因为包含了未加密元素....
在IE浏览器底部会提示“只显示安全内容”,
在谷歌浏览器中锁型标识会显示异常,并提示:与www.您的域名.com的连接采用128/256位加密技术。但是,此页面中包含其他不安全的资源。他人能在传输过程中查看这些资源,攻击者也可以进行修改,从而改变网页的外观
火狐浏览器底部会提示“此网站的连接的安全,因为包含了不安全的因素"
弹出这些不安全因素的提示是由于网站页面上包含混合内容导致的,也就是说,网站页面上包含 http的资源 也包含 https的资源。http资源指的是一些图片、css、js 使用http方式连接,处理办法是把这些文件改成https方式连接或者使用站内相对路径。
证书安装后,无法通过https://打开访问
有很多种原因可能会出现这个情况, 有时候也不一定是SSL证书的原因,通常证书安装后,我们可能要重启web服务器使得证书起作用,要确认web服务器是否在监听https使用的端口,确认服务器上是否有防火墙,有的话,要开通相应的https端口,服务器外部有没有防火墙,有的话确认https端口是否也是打开的。
网站错误提示 此网站出具的安全证书域名与网站网址不一致
原因是服务器证书不包含此网站的域名,一个颁发给www.abc.com的服务器证书,显然不能用在www.xyz.com这个网站上。
为什么提示 此网站的安全证书有问题 或 安全证书不是由受信任的证书颁发机构颁发的
网站已经安装了SSL证书,但是在浏览器中打开出现  此网站的安全证书有问题安全证书不是由受信任的证书颁发机构颁发 的提示,很可能的原因是没有安装中级证书,可以使用SSL证书安装检查工具,如果是因为缺少中级证书的原因, 此工具会有相应的提示,并给出可用的中级证书代码,复制代码安装到服务器上, 就可以解决问题,SSL证书安装检查工具网址 https://www.sslaaa.com/tools/cert-decoder.php
如何检查网站是否正确安装了SSL证书
可以通过SSL证书安装检查工具来检测SSL证书是否正确安装,网址是 https://www.sslaaa.com/tools/ssl-checker.php

SSL证书续费

如何续费SSL证书
在证书到期前的三个月内,可以对证书进行续费,在提交续费订单时候务必选择购买类型为 "续费" ,接着CA会审核订单,颁发新证书,如果旧证书还有两个月才到期,这两个月的有效期会延长到新证书的有效期。 所以提前续费并不会造成证书日期缩短或证书有效期浪费,续费证书时候订单上的域名,单位信息必须和原来就证书上的信息一致。
续费的时候需否需要生成一个新的CSR
建议重新生成CSR,如果生成CSR方面确认有困难,也可以使用原来的CSR,如果使用原来的CSR,那么也得跟着使用原来的密钥,出于安全考虑,最好是生成新的CSR.
续费证书审核的时候是否还需要再次提供证件?
这个取决与你要续费的具体证书信息,CA可能会采用之前提交的部分证件或者数据,对于EV证书续费,如果您在之前的13个月内购买过EV证书,同样的单位信息再次续费或者购买新的EV证书,无需再次提交相关证件,对于OV企业型证书,CA可以采用过去39个月内您提交的资料作为审核材料,如果您在这段时间内单位信息发生了变更,那视情况可能需要再次提交相关证件。
我续费了证书,为什么网站显示使用的还是旧的证书?
一般情况是你还没有开始使用新证书,首先证书续费不是说交了就完事了,需要重新提交CSR,CA重新审核,颁发新证书,操作跟第一次购买流程差不多,只是审核方面可能会更快一点,收到新证书后,要安装到服务器上替换旧的证书,如果已经安装到服务器上了, 那得检查是否正确安装了,安装新证书后,通常还要重启一下web服务器,如重启nginx  apache iis等 。 

其他问题

有哪些支付方式
可以在线支付宝支付,或者对公帐号转账,账户信息请查看  https://www.sslaaa.com/pay.html
多域名证书颁发后还可以增加域名吗?
可以的,如Geotrust 企业型证书多域名版 默认支持5个域名,如果首次颁发证书只使用了三个域名,在有效期内可以免费通过重新颁发证书添加剩下的两个域名,如果要添加域名后证书总域名数是7个,需要支付2个域名的证书费用。如果购买的是单域名证书,无法添加更多的域名。
是否可以签订证书购买合同?
可以的,请联系客服索取合同模版。
购买SSL证书是否可以开发票?
是的,所有SSL证书价格均是含税价,可开具 纸质增值税普通发票 、电子增值税普通发票 或 纸质增值税专用发票。在提交订单的时候 请选择发票类型、开票信息 和 收件信息 。