通配符SSL证书与增强型SSL证书的主要区别是什么?

证书在浏览器表现形式不同

增强型证书EV SSL在浏览器的表现形式

这里以www.chinassl.net举例说明,访问CHINASSL官方网站时,浏览器地址栏绿色显示,同时显示网站所属企业名称,更直观,假冒或者钓鱼网站无法仿造。

CHINASSL官网

通配符证书Wildcard SSL在浏览器的表现形式

这里以www.baidu.com举例说明(请忽略它的签发机构,百度使用的是VeriSign SSL证书),访问官方网站时,浏览器地址有小锁标志,表示你所访问的网站是通过加密传输的,但是无法直接知晓这家网站是属于哪家公司,需要点击小锁图标–>>更多信息–>>查看证书才可以看到网站公司信息。

通配符证书

通配符证书

通配符证书

支持域名数量的不同

增强型证书EV SSL 域名支持情况

一张增强型证书EV SSL通常仅支持一个主域名(www.domain.com)或者一个子域名(ssl.domain.com),当然EV SSL证书还有多域名版EV SAN SSL证书,增加的SAN域名需要另外付费。

通配符证书Wildcard SSL 域名支持情况

通配符证书Wildcard SSL可以支持一个主域名下的所有2级子域名,如为www.domain.com申请一张通配符证书,那么它的2级域名(ssl.domain.com / chinassl.domain.com / abc.domain.com / mail.domain.com /xxx.domain.com)都可以使用,实现全网HTTPS访问,通配符证书Wildcard SSL肯定是首选证书产品。

SSL证书被吊销后,使用主流浏览器访问HTTPS网站的表现形式

服务器证书被吊销后(Certificate Revocation)-Google chrome浏览器表现形式

服务器证书被吊销后(Certificate Revocation)-Google chrome浏览器表现形式

Google chrome浏览器给出的中文错误信息是:您的连接不是私密连接,附带英文信息:NET::ERR_CERT_REVOKED

仅从中文字面意思根本看不出所访问的HTTPS网站服务器证书被是被吊销的需要有点英文知识才可以理解!

服务器证书被吊销后(Certificate Revocation)-firefox火狐浏览器的表现形式

服务器证书被吊销后(Certificate Revocation)-firefox火狐浏览器的表现形式

firefox火狐浏览器给出了非常清楚的错误信息:连接csr.chinassl.net时发生错误。对等端的证书已被废除。 附带英文信息:sec_error_revoked_certificate

服务器证书被吊销后(Certificate Revocation)-微软EDEG浏览器的表现形式

服务器证书被吊销后(Certificate Revocation)-微软EDEG浏览器的表现形式

微软EDEG浏览器只是给出了中文错误信息:此网站的安全证书存在问题,是证书过期、吊销没有给出明确说明

服务器证书被吊销后(Certificate Revocation)-微软IE11浏览器的表现形式

服务器证书被吊销后(Certificate Revocation)-微软IE11浏览器的表现形式

微软IE浏览器给出了非常明确错误信息:此组织的证书已被吊销

看来还是IE浏览器最了解中国用户啊!

结语:其实服务器证书被吊销Certificate Revocation这种情况很少见,当然如果你的网站如果存在违法行为或用于非法服务,服务器证书被吊销这种风险还是很大的!

CHINASSL原创文章,转载请注明出处https://www.chinassl.net/faq/n623.html

多域名证书SAN/UCC SSL证书有那些种类?

现在常用的SAN证书类型有2种:

1. 多个单域名SAN,单域名可以是顶级域名,也可以是随便几级域名都是可以的。

2. 多个通配符证书的SAN,这种证书就是一张证书包含多个通配符证书。一般一张通配符证书只能适用于所申请域名的下一级子域名及其本身,如果你想3级域名,4级域名,N级域名,或不同顶级域名的2级域名使用同一张SSL证书,哪就需要用到多域名型通配符证书,这种证书市面不多见,我给它命名叫SAN Wildcard SSL

SSL证书在线自助申请-CHINASSL

1.登录中国证书CHINASSL官方网站https://www.chinassl.net,选择您需要的SSL证书产品

中国证书CHINASSL网站

2.下面以comodo Positive SSL 证书为例,演示整个SSL证书够买流程。点击立刻够买

Comodo Positive SSL 证书

3.把您生成好的CSR文件粘贴到CSR文本框里面,输入您的域名管理员邮箱,点击添加到购物车

SSL证书在线够买流程

如果您还没有生成CSR文件,请点击CSR在线生成工具,生成CSR文件

注意:用户注意到在CHINASSL.NET够买证书会跳转到亚狐空间YAHUHOST,这里请不要担心,中国证书CHINASSL.NET是亚狐信息科技有限公司旗下网站,为了方便管理,所以使用了统一的客户管理系统,够买全程使用SSL加密,请放心够买。

4.信息确认无误后,点击结账

SSL证书在线够买流程

5.新客户填写用户资料,选择支付方式,点击完成订购;已有亚狐空间YAHUHOST帐号的用户,输入您的帐号密码后,点击完成订购

SSL证书在线够买流程

6.支付账单,关于支付方式详情见 在线支付 | 转账汇款

SSL证书在线够买流程

7.返回用户中心,点击导航菜单我的服务我的服务选项

SSL证书在线够买流程

8.点击证书后面的查看详情

SSL证书在线够买流程

9.点击进入SSL证书配置向导

SSL证书在线够买流程

10.填写完成所有信息,点击点此继续>>

SSL证书在线够买流程

11.确认系统识别出来的CSR信息与您申请证书的信息一致,并选择系统列出的有效证书审批者邮箱,点击点此继续>>

SSL证书在线够买流程

12.配置完成,看到此页面表明您的证书已经配置完成,稍后你的验证邮箱会收到一封来自证书颁发机构的邮件。

SSL证书在线够买流程

13.登录您的验证邮箱,检查是否收到来自证书颁发机构的邮件,收到后打开邮件,按说明点击邮件里面的链接即可完成验证。

SSL证书在线够买流程

14.复制验证代码,点击验证链接

SSL证书在线够买流程

15.粘贴验证代码,点击NEXT

SSL证书在线够买流程

16.出现Thank you页面表明已经完成验证,点击Close Window关闭该页面

SSL证书在线够买流程

至此证书已经成功够买并完成验证,域名型证书一般很快就可以签发。

查询证书

证书签发后去哪里可以查询到证书呢,这里有2种方式:

第一种

登录到你的够买邮箱(用于亚狐空间YAHUHOST登录用的邮箱)查询证书

SSL证书在线够买流程

第二种

1.登录亚狐空间YAHUHOST用户中心,点击导航菜单我的服务我的服务选项

SSL证书在线够买流程

2.点击证书后面的查看详情

SSL证书在线够买流程

3.把SSL证书与中级证书CA文件复制粘贴到文本编辑器里面,保存成后缀为.crt的文件即可使用了

SSL证书在线够买流程

其它在线工具

OpenSSL 发布补丁修复已发现的 8 个安全漏洞

OpenSSL 发布了新的补丁版本 1.0.1k, 1.0.0p 和 0.9.8zd,这三个版本主要是为了修复刚刚发现的 8 个 OpenSSL 安全漏洞

下载地址:

使用免费软件portecle从https网站上导出SSL证书与中级证书CA指南

Portecle 是一个图形化界面的 JDK 中的命令行工具 keytool ,可生成各种不同类型的密钥库,生成并存储相关的 X.509 证书、生成 CSRs、导入和储存信任的证书并进行维护。

在使用Portecle软件之前首先要确定你的电脑已经安装了Java,因为该软件必须在java下才可以运行,如果没有安装过java,点击下载

下载JAVA

步骤一: 下载Portecle软件,当前最新的版本是1.8,大家可以从下面的网站下载这个软件。https://www.chinassl.net/software/portecle-1.8.rar

步骤二:下载完后,解压缩后,目录结构如下:

 

使用Portecle导出网站SSL证书

步骤三. 双击portecle.jar 文件,如上图,将会弹出下面的界面

 

使用Portecle导出网站SSL证书

 

步骤四. 点击下面的菜单项,弹出“Examine SSL/TLS Connection” 窗体

 

使用Portecle导出网站SSL证书

 

步骤五 在弹出的“Examine SSL/TLS Connection” 窗体中相应的HTTPS网站的域名和端口号,

咱们还是以访问  https://www.chinassl.net为例子,输入如下图

所示意的参数,然后点击OK按钮,将会弹出步骤六中所示意的窗体。

 

使用Portecle导出网站SSL证书

 

步骤六. 在弹出的证书详情的窗体中,我们可以看到下面的界面,具体情况,见下图。

 

使用Portecle导出网站SSL证书

 

步骤七. 步骤六附图中的“PEM Encoding”按钮,将会弹出下面的窗体。

 

使用Portecle导出网站SSL证书

 

步骤八. 点击“Save”按钮,保存证书。

 

使用Portecle导出网站SSL证书

 

步骤九. 点击步骤六页面顶端的右向箭头(——->),重复步骤七到八,把剩下的两个中级证书intermediate-CA也导出来。

至此你的网站的SSL证书和中级证书intermediate-CA证书导出成功了。

原文地址: https://www.chinassl.net/faq/n512.html

常见的数字证书格式与协议简介

数字证书主要的文件类型和协议有: PEM、DER、PFX、JKS、KDB、CER、KEY、CSR、CRT、CRL、OCSP、SCEP等。

PEM

Openssl使用 PEM(Privacy Enhanced Mail)格式来存放各种信息,它是 openssl 默认采用的信息存放方式。Openssl 中的 PEM 文件一般包含如下信息:

  1. 内容类型:表明本文件存放的是什么信息内容,它的形式为“——-BEGIN XXXX ——”,与结尾的“——END XXXX——”对应。
  2. 头信息:表明数据是如果被处理后存放,openssl 中用的最多的是加密信息,比如加密算法以及初始化向量 iv。
  3. 信息体:为 BASE64 编码的数据。可以包括所有私钥(RSA 和 DSA)、公钥(RSA 和 DSA)和 (x509) 证书。它存储用 Base64 编码的 DER 格式数据,用 ascii 报头包围,因此适合系统之间的文本模式传输。

使用PEM格式存储的证书:

—–BEGIN CERTIFICATE—–

 

—–END CERTIFICATE—–

使用PEM格式存储的私钥:

—–BEGIN RSA PRIVATE KEY—–
—–END RSA PRIVATE KEY—–

使用PEM格式存储的证书请求文件:

—–BEGIN CERTIFICATE REQUEST—–
—–END CERTIFICATE REQUEST—–

DER

辨别编码规则 (DER) 可包含所有私钥、公钥和证书。它是大多数浏览器的缺省格式,并按 ASN1 DER 格式存储。它是无报头的 - PEM 是用文本报头包围的 DER。

PFX 或 P12

公钥加密标准 #12 (PKCS#12) 可包含所有私钥、公钥和证书。其以二进制格式存储,也称为 PFX 文件。通常可以将Apache/OpenSSL使用的“KEY文件 + CRT文件”格式合并转换为标准的PFX文件,你可以将PFX文件格式导入到微软IIS 5/6、微软ISA、微软Exchange Server等软件。转换时需要输入PFX文件的加密密码。

JKS

通常可以将Apache/OpenSSL使用的“KEY文件 + CRT文件”格式”转换为标准的Java Key Store(JKS)文件。JKS文件格式被广泛的应用在基于JAVA的WEB服务器、应用服务器、中间件。你可以将JKS文件导入到TOMCAT、 WEBLOGIC 等软件。

KDB

通常可以将Apache/OpenSSL使用的“KEY文件 + CRT文件”格式转换为标准的IBM KDB文件。KDB文件格式被广泛的应用在IBM的WEB服务器、应用服务器、中间件。你可以将KDB文件导入到IBM HTTP Server、IBM Websphere 等软件。

CSR

证书请求文件(Certificate Signing Request)。生成 X509 数字证书前,一般先由用户提交证书申请文件CSR,然后由 CA 来签发证书。大致过程如下(X509 证书申请的格式标准为 pkcs#10 和 rfc2314):

  1. 用户生成自己的公私钥对;
  2. 构造自己的证书申请文件,符合 PKCS#10 标准。该文件主要包括了用户信息、公钥以及一些可选的属性信息,并用自己的私钥给该内容签名;
  3. 用户将证书申请文件CSR提交给 CA;
  4. CA 验证签名,提取用户信息,并加上其他信息(比如颁发者等信息),用 CA 的私钥签发数字证书;
  5. 说明:数字证书(如x.509)是将用户(或其他实体)身份与公钥绑定的信息载体。一个合法的数字证书不仅要符合 X509 格式规范,还必须有 CA 的签名。用户不仅有自己的数字证书,还必须有对应的私钥。X509v3 数字证书主要包含的内容有:证书版本、证书序列号、签名算法、颁发者信息、有效时间、持有者信息、公钥信息、颁发者 ID、持有者 ID 和扩展项。

OCSP

在线证书状态协议(OCSP,Online Certificate Status Protocol,rfc2560)用于实时表明证书状态。OCSP 客户端通过查询 OCSP 服务来确定一个证书的状态,可以提供给使用者一个或多个数字证书的有效性资料,它建立一个可实时响应的机制,让用户可以实时确认每一张证书的有效性,解决由CRL引发的安全问题。。OCSP 可以通过 HTTP协议来实现。rfc2560 定义了 OCSP 客户端和服务端的消息格式。

CER

一般指使用DER格式的证书。

CRT

证书文件。可以是PEM格式。

KEY

般指PEM格式的私钥文件。

CRL

证书吊销列表 (Certification Revocation List) 是一种包含撤销的证书列表的签名数据结构。CRL 是证书撤销状态的公布形式,CRL 就像信用卡的黑名单,用于公布某些数字证书不再有效。CRL 是一种离线的证书状态信息。它以一定的周期进行更新。CRL 可以分为完全 CRL和增量 CRL。在完全 CRL 中包含了所有的被撤销证书信息,增量 CRL 由一系列的 CRL 来表明被撤销的证书信息,它每次发布的 CRL 是对前面发布 CRL 的增量扩充。基本的 CRL 信息有:被撤销证书序列号、撤销时间、撤销原因、签名者以及 CRL 签名等信息。基于 CRL 的验证是一种不严格的证书认证。CRL 能证明在 CRL 中被撤销的证书是无效的。但是,它不能给出不在 CRL 中的证书的状态。如果执行严格的认证,需要采用在线方式进行认证,即 OCSP 认证。一般是由CA签名的一组电子文档,包括了被废除证书的唯一标识(证书序列号),CRL用来列出已经过期或废除的数字证书。它每隔一段时间就会更新,因此必须定期下载该清单,才会取得最新信息。

SCEP

简单证书注册协议。基于文件的证书登记方式需要从您的本地计算机将文本文件复制和粘贴到证书发布中心,和从证书发布中心复制和粘贴到您的本地计算机。 SCEP可以自动处理这个过程但是CRLs仍然需要手工的在本地计算机和CA发布中心之间进行复制和粘贴。

PKCS7

加密消息语法(pkcs7),是各种消息存放的格式标准。这些消息包括:数据、签名数据、数字信封、签名数字信封、摘要数据和加密数据。

PKCS12

pkcs12 (个人数字证书标准)用于存放用户证书、crl、用户私钥以及证书链。pkcs12 中的私钥是加密存放的。

原文地址:https://www.chinassl.net/faq/n509.html

Citrix NetScaler安装SSL证书时出现Not yet valid怎么办?

当在Citrix NetScaler中Install certification时,如果出现Not yet valid的错误提示:
出现这样的提示,一般是因为时区或时间与CA的时间不匹配所致,相差时间控制在3分钟以内,最好是同步。
如果此时的NetScaler的是MDX中硬件中配置,那就用ssh登录NS命令行,shell, 用date 1435下午14:35分钟设置时间或启用NTP同步
如果是在NetScaler VPX中部署,那要检查你的Hypervisor时间是否正确,很多时间是Hypervisor时间不对引起,改好时间后,请将VPX虚拟机重启,一般就可以安装CA并Valid。

安装GeoTrust动态签章

安装GeoTrust动态签章

在所有需要显示GeoTrust动态签章的页面里面,添加以下的代码,就可以显示出GeoTrust的动态网站签章。

  <!-- GeoTrust Siteseal [Start] -->
  <script language="javascript" type="text/javascript" src="//smarticon.geotrust.com/si.js"></script>
  <!--  GeoTrust Siteseal [End] -->

重要注意事项:使用GeoTrust SSL证书服务需遵守GeoTrust用户协议的条款和条件。如果你在自己的网站上安装GeoTrust标志,就表明你已接受此协议。

这是动态签章的截图,正式的签章会显示实时时间,如果是企业型证书或增强型EV SSL证书,还会同时显示企业名称。

CHINASSL提供免费在线CSR生成工具

6608842237655367885

申请SSL证书必备神器,够买企业型SSL证书、域名型SSL证书,通配符证书,EV SSL证书都可以直接使用该CSR生成工具直接生成在线生成SSL证书请求文件CSR,该工具全程使用SSL加密处理数据,放心使用,不会泄露用户任何数据,在线生成CSR文件,首选CHINASSL免费SSL工具!