来自客户的疑问

vTrus ssl vTrus（天威诚信）是一家中国本土的权威证书颁发机构（CA），其 SSL/TLS 证书符合国际标准（X.509 v3、RFC 5280），并已通过 WebTrust 审计，根证书被主流操作系统和浏览器（Chrome、Firefox、Safari、Edge）广泛信任。vTrus 提供 DV SSL证书、OV SSL证书 和 EV SSL证书 三类验证等级，支持 RSA 和 ECC 签名算法，兼容 TLS 1.2/1.3 协议。 在实际部署中，vTrus 证书常用于对国产化适配要求较高的政务、金融及央企系统，其根证书预置于 Windows...

什么是SSL证书服务器时间戳（TSA）？ SSL证书本身不包含、也不依赖“服务器时间戳（TSA）”这一概念。TSA（Time-Stamping Authority，时间戳权威机构）是数字签名领域独立的技术组件，用于为电子签名或代码签名提供可验证的、不可篡改的时间证明，与SSL/TLS协议中证书的签发、验证和有效期管理无直接关联。 在PKI体系中，SSL证书的有效性由其Not Before和Not After字段明确定义（RFC 5280），浏览器和客户端依据本地系统时钟与证书有效期做比对，而非查询...

如何为IIS7/IIS8安装SSL证书？ 在 IIS 7 和 IIS 8 中安装 SSL 证书需通过「服务器证书」管理界面导入 PFX（含私钥）文件，再绑定到目标网站。该过程不支持直接导入 PEM 格式（需先转换），且要求 PFX 文件密码已知、私钥未被标记为“不可导出”。 操作路径为：IIS 管理器 → 左侧连接树选择服务器节点 → 双击「服务器证书」→ 右侧操作栏点击「导入…」→ 指定 PFX 文件路径与密码 → 完成后，在网站「绑定」中添加 HTTPS 类型绑定（端口 443，选择对应证书）。若...

证书已续费为何网站仍显示旧证书？ 续费操作本身仅更新 CA 侧的证书有效期和签发记录，并不自动替换服务器上正在使用的证书文件。网站仍显示旧证书，本质是服务端未完成「证书热更新」——即新证书未部署、未重载服务或未生效。 常见原因包括：• 新证书（含私钥、证书链）未上传至 Web 服务器（如 Nginx/Apache/OpenResty）配置指定路径；• 服务器配置仍指向旧证书文件（如 ssl_certificate 和 ssl_certificate_key 指令未更新）；• 配置修改后未执行重...

如何使用Nginx反向代理为API接口添加SSL证书 在 Nginx 中为 API 接口启用 SSL/TLS，本质是将 Nginx 配置为 HTTPS 入口网关，后端仍可保持 HTTP（或 HTTPS）通信。核心步骤包括：获取并部署 ssl证书、配置 server 块监听 443 端口、启用 TLS 协议与密钥交换参数、设置 proxy_pass 转发至上游 API 服务。 典型配置示例如下（假设 API 服务运行在 http://127.0.0.1:8080）： server { listen 443 ssl http2; server_name api.example.com; ssl...

国密SSL证书与国际证书是否可以并存？ 可以，并存是当前主流国密改造方案的典型部署模式。技术上，国密SSL证书（基于SM2算法、SM3哈希、SM4加密）与国际标准证书（RSA/ECC + SHA256/AES）互不冲突，二者通过 TLS 协议层的「密码套件协商（Cipher Suite Negotiation）」机制实现客户端分流：支持国密的浏览器（如红莲花、360国密版、奇安信可信浏览器）优先协商 TLCP 或 SM2-SM4-SM3 套件；国际浏览器（Chrome/Firefox/Safari）则回退至 ECDHE-RSA-AES128...

什么是SSL证书吊销？ SSL证书吊销（Certificate Revocation）是指在证书自然过期前，由证书颁发机构（CA）主动宣告该证书不再可信、应被终端（如浏览器、操作系统）拒绝信任的过程。吊销通常发生在私钥泄露、域名失控、组织信息变更或证书误发等安全风险场景下。 吊销本身不删除证书，而是通过公开的吊销状态列表告知依赖方：该证书虽未过期，但已失效。主流验证机制包括 CRL（Certificate Revocation List）和 OCSP（Online Certificate Status...

如何管理多个域名的SSL证书？ 管理多个域名的 SSL 证书，核心是采用支持多域名（SAN，Subject Alternative Name）的证书类型，或通过自动化工具统一调度单域名证书。主流方案包括：使用 SSL证书 的多域名（Multi-Domain / UCC）类型、通配符证书（Wildcard）、或组合部署多个单域名证书并借助 ACME 自动化工具集中轮换。 多域名 SSL 证书（UCC）允许在一张证书中绑定最多 100+ 个不同主域或子域（如 example.com、www.example.com、api.another.com...

多个域名可以使用一个SSL证书吗？ 可以，但需使用支持多域名（SAN, Subject Alternative Name）的 SSL证书。标准单域名证书仅保护一个完全限定域名（FQDN），如 example.com；而多域名 SSL证书 可在一张证书中绑定多个不同主域或子域，例如同时保护 example.com、www.example.com、api.another.com 和 shop.org。 技术上，这些域名以 SAN 扩展字段写入证书的 X.509 结构中，由浏览器和客户端逐项验证。RFC 5280 明确允许一个证书包含多个 DNSName ...

内网SSL证书 内网 SSL 证书是指用于内部网络（如企业局域网、私有云、测试环境）中 HTTPS 服务的数字证书，其核心作用是为 https://192.168.x.x、https://intranet.local、https://server.internal 等非公网可解析域名或 IP 地址提供 TLS 加密与身份标识能力。 标准公共信任的 CA（如 Digicert、Sectigo、Geotrust）普遍拒绝为纯内网域名（如 .local、.lan、.internal）或私有 IP 地址签发证书，因其不符合 RFC 5280 和 CA/B 论坛基线要求（BRs）。因此...

锐安信（sslTrus） 锐安信（sslTrus）是由中国网络安全审查技术与认证中心（CCRC）批准设立的电子认证服务机构，其SSL/TLS证书品牌“sslTrus”于2023年正式进入公开市场，具备国家密码管理局《商用密码产品认证证书》及工信部《电子认证服务许可证》，支持国密SM2算法与RSA双算法证书签发。 sslTrus证书在客户端兼容性方面遵循主流CA实践：RSA证书可被Chrome 80+、Firefox 70+、Safari 14+及Android 10+等广泛信任；SM2国密证书需配合国密SSL协议栈（...

等保三级 等保三级（即《网络安全等级保护基本要求》第三级）是面向重要信息系统设定的安全合规等级，适用于一旦遭到破坏、丧失功能或数据泄露，可能严重危害国家安全、社会秩序、公共利益，或对公民、法人及其他组织合法权益造成特别严重损害的信息系统。典型场景包括：省级以上政务服务平台、大型金融核心业务系统、三级甲等医院HIS系统、大型能源调度平台、关键基础设施运营单位的生产控制系统等。 在SSL/TLS层面，等保三级明确要求：必须采用国密算...

ssl证书常见知识 SSL/TLS 证书是实现 HTTPS 加密通信的核心信任凭证，本质是一组由受信证书颁发机构（CA）签发的公钥数字证书，遵循 X.509 标准（RFC 5280）。其核心作用包括：验证服务器身份、建立加密通道（协商对称密钥）、保障传输数据的机密性与完整性。 证书包含关键字段：主体域名（Subject Alternative Name，SAN）、公钥、签名算法（如 RSA-PSS、ECDSA-SHA256）、有效期（自 2024 年起主流 CA 已将最大有效期限制为 398 天）、颁发者（Issuer）、以及由...

SSL/TLS 验证 SSL/TLS 验证是指客户端（如浏览器、curl、移动 App）在建立 HTTPS 连接时，对服务器提供的 ssl证书 执行的一系列可信性检查，核心包括：证书链完整性、签名有效性、域名匹配（Subject Alternative Name）、有效期、吊销状态（OCSP/CRL）以及颁发机构（CA）是否受信任。 验证过程严格遵循 RFC 5280 和 TLS 1.2/1.3 协议规范。现代浏览器（Chrome、Firefox、Safari）默认只信任操作系统或自身内置的根证书存储（Root Store）中的 CA；若证书由未...

Wildcard Wildcard（通配符）SSL/TLS 证书是一种可保护主域名及其所有一级子域名的数字证书，例如 *.example.com 可同时覆盖 www.example.com、mail.example.com、api.example.com 等，但不覆盖二级子域名（如 dev.www.example.com）或父域（如 example.com 本身）——除非证书明确包含主域名作为额外 SAN（Subject Alternative Name）。 Wildcard 证书基于 X.509 标准，其 Subject 字段中 CN（Common Name）或 SAN 扩展中使用 * 通配符，由 RFC 6125 ...

免费https加密 “免费 HTTPS 加密”通常指使用免费颁发的 免费 SSL证书（如 Let’s Encrypt 提供的证书）来启用 TLS 协议，实现网站与客户端之间的传输层加密。其本质并非“无成本加密算法”，而是证书签发服务免费——加密本身由客户端（浏览器）和服务器共同基于 TLS 协议完成，使用标准的 RSA 或 ECDSA 密钥交换与 AES/GCM 等对称加密算法。 Let’s Encrypt 是目前最广泛采用的免费证书颁发机构（CA），遵循 ACME 协议，支持自动化申请、验证与续订。它...

HSTS HSTS（HTTP Strict Transport Security，RFC 6797）是一种 Web 安全策略机制，通过响应头 Strict-Transport-Security 告知浏览器：在指定时间内，必须仅使用 HTTPS 访问该域名及其子域名，禁止任何形式的 HTTP 回退或明文降级。 启用 HSTS 后，浏览器会在本地缓存该策略（由 max-age 参数控制），即使用户手动输入 http:// 或点击 HTTP 链接，浏览器也会自动将请求重写为 HTTPS，并拒绝加载任何不安全的混合内容。该机制可有效缓解 SSL...

CFCA EV证书 CFCA EV证书是由中国金融认证中心（China Financial Certification Authority，CFCA）签发的扩展验证（Extended Validation，EV）SSL/TLS 证书，符合 RFC 3647 和 CA/Browser Forum 的 EV Guidelines。其核心特征是：在证书申请过程中，CA 必须完成对申请组织的法律实体身份、实际运营地址、域名控制权及授权代表身份的严格人工审核；证书中包含经验证的组织名称（Subject.OU 或 Subject.O），并在主流浏览器地址栏中显示绿色锁形图标...

加密算法 在 SSL/TLS 协议中，加密算法指用于实现密钥交换、身份认证和数据传输加密的一组密码学原语，分为三类：密钥交换算法（如 ECDHE、RSA）、签名算法（如 ECDSA、RSA-PSS）、对称加密算法（如 AES-GCM、ChaCha20-Poly1305）。 现代 TLS 1.2/1.3 部署中，密钥交换与签名已普遍转向基于椭圆曲线的方案（如 secp256r1 + ECDSA 或 X25519 + EdDSA），以兼顾安全性和性能；对称加密则优先采用 AEAD 模式（如 AES-256-GCM 或 ChaCha20-Poly1305），确保机密...