mac ssl

常见问题

Q:

如何进行SSL证书获取？

SSL证书需要申请，具体申请步骤如下:

第一步是生成并提交CSR(签署证书请求)文件

CSR文件通常可以在线生成（或在服务器上生成），系统生成两个密钥，公钥CSR和密钥KEY。在选择SSL证书申请后，提交订单，并将生成的CSR文件提交给证书所在的CA发行机构。

第二步是验证CA机构

CA机构提交SSL证书申请有两种验证方式：

第一个是域名认证。系统会自动将验证邮件发送到域名管理员的邮箱(该邮箱是通过WHOIS信息查询的域名联系人邮箱)。管理员收到电子邮件后，点击我确认，完成电子邮件验证。所有型号的SSL证书都必须进行域名认证。

二是企业相关信息认证。对于申请SSL证书或EVSL证书的企业，除域名认证外，还必须手动核实企业的相关信息和信息，以确保企业的真实性。

第三步，CA机构颁发证书

由于SSL证书申请的型号不同，验证的材料和方法也不同，所以颁发时间也不同。

申请DVSSL证书最早10分钟左右即可颁发。申请OVSSL证书或EVSSL证书的，一般3-7个工作日即可颁发。

最后，将收到的SSL证书正确安装在服务器上

SSL证书需要申请，具体申请步骤如下:

第一步是生成并提交CSR(签署证书请求)文件

CSR文件通常可以在线生成（或在服务器上生成），系统生成两个密钥，公钥CSR和密钥KEY。在选择SSL证书申请后，提交订单，并将生成的CSR文件提交给证书所在的CA发行机构。

第二步是验证CA机构

CA机构提交SSL证书申请有两种验证方式：

第一个是域名认证。系统会自动将验证邮件发送到域名管理员的邮箱(该邮箱是通过WHOIS信息查询的域名联系人邮箱)。管理员收到电子邮件后，点击我确认，完成电子邮件验证。所有型号的SSL证书都必须进行域名认证。

二是企业相关信息认证。对于申请SSL证书或EVSL证书的企业，除域名认证外，还必须手动核实企业的相关信息和信息，以确保企业的真实性。

第三步，CA机构颁发证书

由于SSL证书申请的型号不同，验证的材料和方法也不同，所以颁发时间也不同。

申请DVSSL证书最早10分钟左右即可颁发。申请OVSSL证书或EVSSL证书的，一般3-7个工作日即可颁发。

最后，将收到的SSL证书正确安装在服务器上

Q:

如何进场SSL证书格式转换？

不同的Web服务器支持不同的证书格式。您需要将签发的证书转换为适用于当前Web服务器的格式，以便正常安装SSL证书。本文介绍了如何转换证书格式。

您可以参考以下方法实现证书格式之间的转换：

将JKS格式证书转换为PFX格式

您可以使用JDK自带的Keytool工具，将JKS格式证书文件转换为PFX格式。例如，您可以执行以下命令，并将其转换为PFX格式。cert_name.jks证书文件转换为cert_name.pfx证书文件。

keytool-importkeystore-srckeystoreD:\.jks-destkeystoreD:\.pfx

-srcstoretypeJKS-deststoretypePKCS12

(本文证书名称为cert_name例如：证书文件名称为例cert_name.pem，证书密钥文件名称为cert_name.key。在实际使用过程中，您需要cert_name更换为您的证书名称。)

（Keytool该工具是JDK中自带的密钥管理工具，可以制作出来Keystore（jks）您可以从官方地址下载JDK工具包获取格式证书文件。JDK\jre\bin\security\目录下。）

将PFX格式证书转换为JKS格式

您可以使用JDK自带的Keytool工具，将PFX格式证书文件转换为JKS格式。例如，您可以执行以下命令，并将其转换为JKS格式。cert_name.pfx证书文件转换为cert_name.jks证书文件。

keytool-importkeystore-srckeystoreD:\.pfx-destkeystoreD:\.jks

-srcstoretypePKCS12-deststoretypeJKS

将PEM，KEY或CRT格式证书转换为PFX格式证书

您可以使用OpenSSL工具，将KEY格式密钥文件，PEM或CRT格式公钥文件转换为PFX格式证书文件。例如，将您的KEY格式密钥文件转换为PFX格式证书文件。cert_name.keyPEM格式公钥文件cert_name.pem复制到OpenSSL工具安装目录，使用OpenSSL工具执行以下命令，将证书转换为OpenSSL工具安装目录cert_name.jks证书文件。

opensslpkcs12-export-out.pfx-inkey.key-in.pem

将PFX格式证书转换为PFX格式证书PEM，KEY或CRT格式

您可以使用OpenSSL工具将PFX格式证书文件转换为KEY格式密钥文件，PEM或CRT格式公钥文件。例如，您的PFX格式证书文件cert_name.pfx复制到OpenSSL安装目录，使用OpenSSL工具执行以下命令，将证书转换为OpenSSL安装目录cert_name.pem证书文件和KEY格式密钥文件cert_name.key。

执行opensslpkcs12-in.pfx-nokeys-out.pem。

执行opensslpkcs12-in.pfx-nocerts-out.key-nodes。

将CER格式证书转化为PEM格式

您可以使用OpenSSL工具将CER格式证书文件转换为PEM格式证书。例如，将您的CER格式证书文件cert_name.cer复制到OpenSSL安装目录，使用OpenSSL工具执行以下命令，将证书转换为OpenSSL安装目录cert_name.pem证书文件。

opensslx509-in.cer-out.pem-outformPEM

将PEM格式证书转化为CER格式

您可以使用OpenSSL工具将PEM格式证书文件转换为CER格式证书文件。例如，将您的PEM格式证书文件cert_name.pem复制到OpenSSL安装目录，使用OpenSSL工具执行以下命令，将证书转换为OpenSSL安装目录cert_name.cer证书文件。

opensslx509-in.pem-out.cer-outformDER

Q:

申请SSL证书时关于域名都有什么注意事项？

本文主要用于介绍申请SSL证书时有关域名的注意事项。

（1）使用哪个域名申请

以demo.ihuyi.com网站为例，您在维护网站安全时通常会出现以下两种情况：

1、用户登录页面为http://demo.ihuyi.com/login.asp，此时，您需要申请SSL数字证书，以确保用户输入的用户名、密码的安全。

2、用户登录信息管理页面http:/demo.ihuyi.com/oa/manage.asp，您需要使用SSL数字证书，以确保内部管理系统的信息安全。

在上述两种情况下，需要使用demo.ihuyi.com申请SSL数字证书作为域名，从而实现相关页面的安全保护。

（2）如何优化网站安全

如果您的网站访问量较大，建议为使用SSL数字证书的网站页面配置独立的Web服务器，即HTTPServer。同时，使用独立域名申请SSL证书，例如，learn.ihuyi.com或guide.ihuyi.com。

（3）填写域名的一致性

在访问https://demo.ihuyi.com网站时，网站域名必须与申请SSL数字证书的域名一致，否则浏览器可能会出现“安全证书上的名称无效或与网站名称不匹配”的提示。