1、如何實現用戶用訪問http時自動跳轉到https的訪問地址？ 
答：實現網頁的自動跳轉有兩種方式：
1）增加重定向到https 
2）在頁面中加入自動跳轉代碼。例如：<---< meta http-equiv="Refresh" content="秒數; url=跳轉的文件或地址">--->

2、同一張服務器證書是否可以配置在多臺服務器上？ 
答：不可以。Verisign的簽署協議中禁止客戶在多臺服務器上配置同一張證書。如果做負載均衡是需要在每臺物理服務器上都配置證書的.如果因為出現違反VeriSign關于負載均衡說明所引起的問題.我們是不負責任的.


3、多臺服務器多個域名，該如何選購SSL證書?
一般來講，一個網站(一個域名)對應一個SSL證書，因為SSL證書是綁定域名的。只有通配型證書和多域型證書才支持多個域名。
通配型證書適合于同一臺物理服務器下的同一域名下的多個子域，如您在同一臺物理服務器上有多個網站：
www.mydomain.com 
secure.mydomain.com 
pay.mydomain.com 
login.mydomain.com
申請通配型SSL證書時填寫的通用名稱(Common Name)為： *.mydomain.com 。 
與通配型證書只支持子域不同的是，多域型SSL證書支持任何域名，不僅限于子域，如：domain.com、domain.cn、domain.com.cn、domain.net、domain.net.cn、mydomain.com、domain.us、domaina.com等等。不僅適合于有多個域名需要部署SSL證書的單位，更適合于虛擬主機服務提供商為不同單位的不同域名的網站部署SSL證書。 
請注意：以上兩種證書都使用于同一臺物理服務器，如果您有多臺物理服務器在使用同一個域名(負載均衡方式)，則您需要為多臺服務器購買多服務器許可證即可。

4、部分客戶端訪問IIS服務器時，證書鏈中的中級證書過期怎么辦？ 
這種情況通常發生在IIS服務器上。導致該問題的原因是服務器上存在多張可提供信任關系的中級證書，且其中有已過期的中間級證書。
如果客戶端PC系統中證書存儲區沒有新的中級證書而只有已經過期版本的中級證書的話，客戶端瀏覽器不會主動從服務器上下載新的中級證書文件，而只通過已過期的中級證書去驗證服務器證書的有效性。導致客戶端報中間級證書已過期錯誤。
解決方法：刪除服務器上計算機賬戶中“中級證書頒發機構”里已過期的證書，并更新最新的中級證書文件，強制客戶端下載最新的證書鏈文件，使客戶端只能通過一條最新的證書鏈來驗證服務器證書的有效性。

5、收到證書批準郵件后，從郵件中提取的證書安裝失敗，無法安裝？ 
1.保存下來的服務器證書文件中，文件代碼前后可能有空格或其他無效字符?；蛘邲]有將證書頭和尾部起始代碼包含進來。在Windows環境下，雙擊嘗試打開該證書文件，檢查是否能夠查看證書信息。
2.原始請求被刪除或被新的請求覆蓋，私鑰丟失。需要吊銷替換，重新生成證書文件。
3.私鑰管理權限不足，使用管理員權限登陸，并賦予私鑰的管理權限。

6、IIS下同一站點不允許同時提交多個請求 
微軟IIS 6.0中每一個站點只允許同時發出一個CSR請求。如果在已有的請求之上重新創建一個新的CSR請求，您的原始請求（和私鑰）將被覆蓋。
在正式提交CSR請求后，請不要對服務器做證書方面的配置，并可通過私鑰備份，保存您的私鑰文件。

7、初始VTN服務器證書時，CSR中的所有信息都是按照要求正確填寫的，但提交后系統無法解析，無法簽發證書。 
答：客戶在填寫辨識碼時（證書管理密碼）使用了特殊字符。

8、在Apache 上配置EV SSL 服務器證書，但EV SSL 服務器證書有兩張中級證書，在Apache 配置文件中出現兩個引用中級證書語句時，啟動失敗。 
Apache 下，需要將兩張中級證書打包成一個證書文件。打包方式：用記事本等文本編輯器打開兩張中級證書文件，分別復制證書代碼，粘貼到一個記事本文檔中。并將該文件配置到 Apapche 配置文件中 SSLCertificateChainFile 路徑下。

9、 服務器需要使用的是 Pem 格式的私鑰和證書文件，該如何生成私鑰和證書請求。 
可以安裝 Openssl ，使用 Openssl 來生成證書請求。請參考Apahce服務器證書CSR生成指南，在生成私鑰文件時，只需要將私鑰文件名的后綴定義成 .pem 就可以了。
  
10、IIS中，已經提交CSR請求，還未收到證書如何備份私鑰。 
開始菜單“運行”-“MMC”-“文件”-“添加刪除管理單元”，打開控制臺，添加計算機賬戶-本地計算機。在控制臺根節點中找到“證書注冊申請”，在該目錄下，找到您的注冊請求文件并導出成一個PFX文件。
安裝證書時，先從控制臺導入私鑰備份文件到“證書注冊申請”，再把服務器證書導入到“個人”中。然后再到 internet 服務管理器中，需要配置證書的網站上，指派現有證書到導入的服務器證書上即可。

11、為什么查看某些安全站點時會彈出“本頁不但包含安全的內容，也包含不安全的內容。是否顯示不安全的內容”？ 
在編寫網站頁面文件代碼的時候，頁面URL和資源文件建議使用相對路徑來定義。這樣有助于提高頁面對證書的兼容性。當客戶端無論是用http還是https來訪問該頁面都不會報錯。如果頁面需要強制使用https來訪問，則在頁面中，需要確保所有的圖片、Flash、JS腳本、CSS等文件都使用https的絕對路徑或使用相對路徑來定義文件在頁面代碼中的位置。

12、ssl會話建立的過程（原理）是什么？  
交換開始于客戶端發出的一條“client_hello”消息，消息包括
客戶端支持的SSl版本號
客戶端產生的32字節的隨機數
一個對應的會話ID
一個支持的密碼算法的列表
一個支持的壓縮算法的列表
服務器發出消息“server_hello”進行響應，內容包括
服務器從客戶端列表中選擇的SSL版本號
服務器產生的32字節的隨機數
會話ID
從客戶端列表中選擇的密碼算法
選定的壓縮算法（通常不進行壓縮）
客戶端檢查服務器的證書和它發出的諸多參數；如果服務器請求客戶端證書，那么客戶端響應一條證書消息，其中包含了它的X.509證書服務器以客戶端發來的“change_cipher_spec”消息作為相應，向客戶端消失它也將使用與客戶端相同的參數來加密將來所有的通信內容。因為服務器已經收到了客戶端計算密鑰使用的隨機數，它也可以計算與客戶端相同的密鑰；服務器發送交換結束消息來結束握手過程

13、服務器證書做雙向認證是否需要安裝第三方的插件？ 
答:常用的webserve 中間件都會有支持客戶端認證的功能.配置證書書只需要修改配置文件便可以啟用客戶認證的功能.不需要安裝第三方的插件.


14、物理服務器出現故障是對證書使用會有什么影響？ 
答:在您申請服務器證書后,請及時備份您的證書(私鑰,公鑰)如果物理服務器出現故障只需要將備份的證書配置到新的服務器上就可以了.不會對證書的使用造成影響.


15、服務器上裝個證書會不會影響到速度和流量？ 
答: 當然會增加服務器CPU的處理負擔，因為要為每一個SSL連接實現加密和解密，但一般不會影響太大。同時建議注意以下幾點以減輕服務器的負擔：
(1) 僅為需要加密的頁面使用SSL，如https://www.domaincom/login.asp，不要把所有頁面都使用https://,特別是訪問量最大的首頁；
(2) 盡量不要在使用了SSL的頁面上設計大塊的圖片文件和其他大文件，盡量使用簡潔的文字頁面。
如果網站的訪問量非常大，則建議另外購買SSL加速卡來專門負責SSL加解密工作，可以完全不增加服務器任何負擔。或另外增加服務器。

16、網絡設備是否可以支持SSL證書？ 
答:設備的硬件制造如果讓設備支持SSL協議是可以支持證書.一般的技術配置文檔由這些設備廠商提供.如cisoco F5 VPN 都有支持證書的產品.

17、如果改變了硬件、軟件（web server）證書需要重新申請嗎？ 
答：服務器證書與硬件無關。系統和web server版本如果相同也不會有任何影響。如果改變了服務器軟件，證書就要重新申請。服務器證書不可以更換平臺使用。

18、托管服務器提供商不讓配置ssl證書？ 
答：托管服務器一般也叫虛擬主機提供商．他們在一臺較好的服務器上配置了多個虛擬站點．一般都是提供普通的８０web服務．如果其中的一個站點配置了證書走ＳＳＬ協議是會對整個服務器會有負載的．

19、 在一臺服務器的多個虛擬主機中，是否可以實現SSL功能？ 
答：如果是一個IP多個網站的情況，是無法實現SSL功能；如果是一臺服務器對應多個網站多個IP（每個網站一個IP），就可以實現SSL功能。每個網站需要配置一張服務器證書。
 
20、如果顯示證書已過期（并未到有效期）？ 
答：可能情況：1）系統時間不對；2）中級證書過期。

21、服務器證書雙擊打開時，提示是無效的證書格式，如何處理？ 
答：可能是文件中含有其證書鏈上的其它證書的緣故?？蓪⑽募暮缶Y改成.p7b解決。

22、在Web Logic中安裝Web Server證書時，出現私鑰與證書不匹配的問題，是為什么？ 
答：在私鑰文件與證書文件都正確的情況下，這可能是由于沒有安裝中級CA引起的。客戶必須將全球服務器證書配置到域名與證書通用名相同的WEB站點上（即證書通用名與URL必須相符），否則可能會出現Win98下無法建立連接、或低加密強度的瀏覽器無法建立128bit連接而只能建立40bit或56bit的SSL連接的問題（可能還有其他不可預知的問題）。

23、在IIS中如何導入pfx格式的服務器證書？ 
答：如果操作系統是win 2003，在IIS配置目錄安全性的選項里有從pfx文件中導入的選項，按照安裝向導配置即可。如果是其他操作系統，需要先雙擊pfx文件，將證書導入到系統中，然后再選擇指派現有證書進行配置。