新网SSL证书常见问题解答FAQ

1.什么是SSL证书？

SSL证书就是遵守SSL安全套接层协议的服务器数字证书，而SSL安全协议最初是由美国网�.NETscape Communication公司设计开发，全称为安全套接层协议（Secure Sockets Layer）。SSL证书指定了在应用程序协议（如HTTP、Telnet、FTP）和TCP/IP之间提供数据安全性分层的机制。它是在传输通信协议（TCP/IP）上实现的一种安全协议，采用公开密钥技术，它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。由于此协议很好地解决了互联网明文传输的不安全问题，很快得到了业界的支持，并已经成为国际标准。SSL证书由浏览器中受信任的根证书颁发机构在验证服务器身份后颁发，具有网站身份验证和加密传输双重功能。

2.什么是公钥和私钥？

公钥（Public Key）与私钥（Private Key）是通过加密算法得到的一个密钥对（即一个公钥和一个私钥，也就是非对称加密方式）。公钥可对会话进行加密、验证数字签名，只有使用对应的私钥才能解密会话数据，从而保证数据传输的安全性。公钥是密钥对外公开的部分，私钥则是非公开的部分，由用户自行保管。

通过加密算法得到的密钥对可以保证在世界范围内是唯一的。使用密钥对的时候，如果用其中一个密钥加密一段数据，只能使用密钥对中的另一个密钥才能解密数据。例如：用公钥加密的数据必须用对应的私钥才能解密；如果用私钥进行加密也必须使用对应的公钥才能解密，否则将无法成功解密。

3.服务器IP地址更换后原来的SSL证书能否生效，需要怎样解决？

SSL证书都是针对域名绑定的，不受服务器更换IP地址的影响。只要证书绑定的域名不变，就可以重新解析到新的IP地址，原来的SSL证书仍然可以生效，不需要更换新的证书。

4.SSL证书快过期了怎么办？

SSL数字证书过期之后将无法继续使用，您需要在证书到期前及时续费，并重新绑定域名和提交审核。审核通过后，您将获得一张新的数字证书，您需要在您的服务器上安装新的数字证书来替换即将过期的证书。

*证书到期前需预留3-10个工作日进行重新购买，以免证书审核还未完成之前现有证书已经过期。

5.证书申请到下发需要多久？

证书分为：DV，OV，EV三个版本

DV签发时间在1个工作日左右

OV签发时间在3-5个工作日左右

EV签发时间在7个工作日左右

6.证书申请大概流程:

DV证书：用户购买完毕后，在产品盒子后台进行证书信息提交（提交时需保证填写信息正确且无空格），提交完毕后，半小时左右出验证信息（域名验证或文件验证），用户需按要求进行信息验证，验证成功后，一小时左右签发证书。

OV证书&EV证书：

1）用户购买完毕后，在控制后台进行证书信息提交（提交时需保证填写信息正确且无空格）；

2）提交完毕后在填写信息页面下载“信息确认函模板”进行信息填写并加盖公章，将文件生成PDF或者word版本（提交文件需为一张）上传至后台。

3）等待CA机构对确认函信息确认并电话核实。

4）确认无误后，出验证信息（域名验证或文件验证）

5）用户需按要求进行信息验证，验证成功后，签发证书。

7. 主流数字证书都有哪些格式？

一般来说，主流的Web服务软件，通常都基于OpenSSL和JAVA两种基础密码库。

Tomcat、Weblogic、JBoss等Web服务软件，一般使用Java提供的密码库。通过Java Development Kit （JDK）工具包中的Keytool工具，生成Java Keystore（JKS）格式的证书文件。

Apache、Nginx等Web服务软件，一般使用OpenSSL工具提供的密码库，生成PEM、KEY、CRT等格式的证书文件。

IBM的Web服务产品，如Websphere、IBM Http Server（IHS）等，一般使用IBM产品自带的iKeyman工具，生成KDB格式的证书文件。

微软windows Server中的Internet Information Services（IIS）服务，使用Windows自带的证书库生成PFX格式的证书文件。

8.开通证书服务可以购买绑定了IP的证书吗？

公网IP是可以的。但是绑定了IP的证书，不支持应用在IE11以下版本的浏览器中。

9.如何判断证书文件是文本格式还是二进制格式？

您可以使用以下方法简单区分带有后缀扩展名的证书文件：

• *.DER或*.CER文件： 这样的证书文件是二进制格式，只含有证书信息，不包含私钥。

• *.CRT文件： 这样的证书文件可以是二进制格式，也可以是文本格式，一般均为文本格式，功能与 *.DER及*.CER证书文件相同。

• *.PEM文件： 这样的证书文件一般是文本格式，可以存放证书或私钥，或者两者都包含。 *.PEM 文件如果只包含私钥，一般用*.KEY文件代替。

• *.PFX或*.P12文件： 这样的证书文件是二进制格式，同时包含证书和私钥，且一般有密码保护。

您也可以使用记事本直接打开证书文件。如果显示的是规则的数字字母，例如：

—–BEGIN CERTIFICATE—–

MIIE5zCCA8+gAwIBAgIQN+whYc2BgzAogau0dc3PtzANBgkqh......

—–END CERTIFICATE—–

那么，该证书文件是文本格式的。

• 如果存在——BEGIN CERTIFICATE——，则说明这是一个证书文件。

如果存在—–BEGIN RSA PRIVATE KEY—–，则说明这是一个私钥文件。