客户问题

## 申请华测国密DV SSL证书需要哪些手续及流程 申请[华测国密DV SSL证书](https://www.topssl.cn/ssl/cti-dv-ssl-sm2)（即由华测国密CA签发的SM2算法DV SSL证书）需完成域名控制权验证与主体真实性核验两步，但因属DV（Domain Validation）类型，虽然不强制要求企业资质文件，整体流程比OV/EV更轻量。但也需要一些必要的证件。 具体流程如下： 1. **生成SM2密钥对与CSR**：使用支持国密算法的工具（如OpenSSL 3.0+ with GMSSL engine、...

iis导入时的密码在哪获取 在 IIS 中导入 SSL 证书（通常是 .pfx 或 .p12 文件）时所需的密码，是生成该证书文件时由用户**自行设定并保管的导出密码（Export Password）**，并非由 CA 或服务器自动生成，也无法从公钥、证书或私钥中恢复。 该密码仅在以下两个环节由操作者主动设置： 从原服务器导出证书时（如在另一台 Windows 服务器的 IIS → “服务器证书” → 右键证书 → “导出”），系统强制要求输入并确认一个密码，用于加密私钥； 使用 OpenSSL ...

iis的证书密码 IIS 本身不为 SSL/TLS 证书设置独立“密码”；你所指的通常是导入 PFX（.p12）格式证书时要求输入的 私钥密码（Private Key Password），该密码由证书签发时或导出 PFX 时设定，IIS 仅在导入阶段验证，导入成功后即解密并存储私钥（以 Windows 证书存储区加密方式持久化），后续 HTTPS 握手过程完全无需该密码参与。 该密码并非 IIS 管理界面可查看或重置的配置项。若遗忘，无法通过 IIS 或 certmgr.msc 恢复——必须重新获取原始 PFX ...

证书密码 SSL/TLS 证书本身（即公钥证书，X.509 格式）不包含密码——它是一个明文数字文档，由 CA 签名后公开分发，用于验证服务器身份和建立加密信道。 所谓“证书密码”，实际指以下两类密钥材料的访问保护机制： 私钥密码（Passphrase）：私钥文件（如 domain.key）在生成时可被 AES-128/256 加密，需输入密码才能解密使用。该密码仅本地有效，不参与 TLS 握手，也无需上传至服务器或 CA。 PKCS#12 文件密码（.pfx/.p12）：当证书与私钥打包为二进制容器...

申请免费证书 目前主流的免费 SSL/TLS 证书由 Let’s Encrypt 提供，其证书为 DV SSL证书（域名验证型），有效期为 90 天，完全自动化签发与续期，广泛被 Nginx、Apache、Caddy、OpenResty 及各大云平台（如阿里云、腾讯云、华为云）集成支持。 申请方式取决于部署环境： • 若使用命令行服务器（如 Linux），推荐通过 certbot 工具一键申请并自动配置（需具备 root 权限及 HTTP 端口可访问）； • 若使用宝塔、AMH、WDCP 等面板，通常内置「Let’s Encrypt」选项...

vTrus ssl vTrus（天威诚信）是一家中国本土的权威证书颁发机构（CA），其 SSL/TLS 证书符合国际标准（X.509 v3、RFC 5280），并已通过 WebTrust 审计，根证书被主流操作系统和浏览器（Chrome、Firefox、Safari、Edge）广泛信任。vTrus 提供 DV SSL证书、OV SSL证书 和 EV SSL证书 三类验证等级，支持 RSA 和 ECC 签名算法，兼容 TLS 1.2/1.3 协议。 在实际部署中，vTrus 证书常用于对国产化适配要求较高的政务、金融及央企系统，其根证书预置于 Windows...

什么是SSL证书服务器时间戳（TSA）？ SSL证书本身不包含、也不依赖“服务器时间戳（TSA）”这一概念。TSA（Time-Stamping Authority，时间戳权威机构）是数字签名领域独立的技术组件，用于为电子签名或代码签名提供可验证的、不可篡改的时间证明，与SSL/TLS协议中证书的签发、验证和有效期管理无直接关联。 在PKI体系中，SSL证书的有效性由其Not Before和Not After字段明确定义（RFC 5280），浏览器和客户端依据本地系统时钟与证书有效期做比对，而非查询...

如何为IIS7/IIS8安装SSL证书？ 在 IIS 7 和 IIS 8 中安装 SSL 证书需通过「服务器证书」管理界面导入 PFX（含私钥）文件，再绑定到目标网站。该过程不支持直接导入 PEM 格式（需先转换），且要求 PFX 文件密码已知、私钥未被标记为“不可导出”。 操作路径为：IIS 管理器 → 左侧连接树选择服务器节点 → 双击「服务器证书」→ 右侧操作栏点击「导入…」→ 指定 PFX 文件路径与密码 → 完成后，在网站「绑定」中添加 HTTPS 类型绑定（端口 443，选择对应证书）。若...

证书已续费为何网站仍显示旧证书？ 续费操作本身仅更新 CA 侧的证书有效期和签发记录，并不自动替换服务器上正在使用的证书文件。网站仍显示旧证书，本质是服务端未完成「证书热更新」——即新证书未部署、未重载服务或未生效。 常见原因包括：• 新证书（含私钥、证书链）未上传至 Web 服务器（如 Nginx/Apache/OpenResty）配置指定路径；• 服务器配置仍指向旧证书文件（如 ssl_certificate 和 ssl_certificate_key 指令未更新）；• 配置修改后未执行重...

如何使用Nginx反向代理为API接口添加SSL证书 在 Nginx 反向代理场景下为 API 接口启用 SSL/TLS，本质是将 HTTPS 终止（TLS termination）放在 Nginx 层，后端 API 服务仍可使用 HTTP（或内部 TLS），由 Nginx 负责证书加载、加密解密与协议升级。核心步骤包括：获取并部署 SSL证书、配置 server 块启用 HTTPS、设置 proxy_pass 转发至上游 API 服务，并正确透传客户端真实信息。 典型配置示例如下（假设 API 服务监听于 http://127.0.0.1:8080，域...

国密SSL证书与国际证书是否可以并存？ 可以，并存是当前主流国密改造方案的典型部署模式。技术上，国密SSL证书（基于SM2算法、SM3哈希、SM4加密）与国际标准证书（RSA/ECC + SHA256/AES）互不冲突，二者通过 TLS 协议层的「密码套件协商（Cipher Suite Negotiation）」机制实现客户端分流：支持国密的浏览器（如红莲花、360国密版、奇安信可信浏览器）优先协商 TLCP 或 SM2-SM4-SM3 套件；国际浏览器（Chrome/Firefox/Safari）则回退至 ECDHE-RSA-AES128...

什么是SSL证书吊销？ SSL证书吊销（Certificate Revocation）是指在证书自然过期前，由证书颁发机构（CA）主动宣告该证书不再可信、应被终端（如浏览器、操作系统）拒绝信任的过程。吊销通常发生在私钥泄露、域名失控、组织信息变更或证书误发等安全风险场景下。 吊销本身不删除证书，而是通过公开的吊销状态列表告知依赖方：该证书虽未过期，但已失效。主流验证机制包括 CRL（Certificate Revocation List）和 OCSP（Online Certificate Status...

如何管理多个域名的SSL证书？ 管理多个域名的 SSL 证书，核心是采用支持多域名（SAN，Subject Alternative Name）的证书类型，或通过自动化工具统一调度单域名证书。主流方案包括：使用 SSL证书 的多域名（Multi-Domain / UCC）类型、通配符证书（Wildcard）、或组合部署多个单域名证书并借助 ACME 自动化工具集中轮换。 多域名 SSL 证书（UCC）允许在一张证书中绑定最多 100+ 个不同主域或子域（如 example.com、www.example.com、api.another.com...

多个域名可以使用一个SSL证书吗？ 可以，但需使用支持多域名（SAN, Subject Alternative Name）的 SSL证书。标准单域名证书仅保护一个完全限定域名（FQDN），如 example.com；而多域名 SSL证书 可在一张证书中绑定多个不同主域或子域，例如同时保护 example.com、www.example.com、api.another.com 和 shop.org。 技术上，这些域名以 SAN 扩展字段写入证书的 X.509 结构中，由浏览器和客户端逐项验证。RFC 5280 明确允许一个证书包含多个 DNSName ...

内网SSL证书 内网 SSL 证书是指用于内部网络（如企业局域网、私有云、测试环境）中 HTTPS 服务的数字证书，其核心作用是为 https://192.168.x.x、https://intranet.local、https://server.internal 等非公网可解析域名或 IP 地址提供 TLS 加密与身份标识能力。 标准公共信任的 CA（如 Digicert、Sectigo、Geotrust）普遍拒绝为纯内网域名（如 .local、.lan、.internal）或私有 IP 地址签发证书，因其不符合 RFC 5280 和 CA/B 论坛基线要求（BRs）。因此...

锐安信（sslTrus） 锐安信（sslTrus）是由中国网络安全审查技术与认证中心（CCRC）批准设立的电子认证服务机构，其SSL/TLS证书品牌“sslTrus”于2023年正式进入公开市场，具备国家密码管理局《商用密码产品认证证书》及工信部《电子认证服务许可证》，支持国密SM2算法与RSA双算法证书签发。 sslTrus证书在客户端兼容性方面遵循主流CA实践：RSA证书可被Chrome 80+、Firefox 70+、Safari 14+及Android 10+等广泛信任；SM2国密证书需配合国密SSL协议栈（...

等保三级 等保三级（即《网络安全等级保护基本要求》第三级）是面向重要信息系统设定的安全合规等级，适用于一旦遭到破坏、丧失功能或数据泄露，可能严重危害国家安全、社会秩序、公共利益，或对公民、法人及其他组织合法权益造成特别严重损害的信息系统。典型场景包括：省级以上政务服务平台、大型金融核心业务系统、三级甲等医院HIS系统、大型能源调度平台、关键基础设施运营单位的生产控制系统等。 在SSL/TLS层面，等保三级明确要求：必须采用国密算...

ssl证书常见知识 SSL/TLS 证书是实现 HTTPS 加密通信的核心信任凭证，本质是一组由受信证书颁发机构（CA）签发的公钥数字证书，遵循 X.509 标准（RFC 5280）。其核心作用包括：验证服务器身份、建立加密通道（协商对称密钥）、保障传输数据的机密性与完整性。 证书包含关键字段：主体域名（Subject Alternative Name，SAN）、公钥、签名算法（如 RSA-PSS、ECDSA-SHA256）、有效期（自 2024 年起主流 CA 已将最大有效期限制为 398 天）、颁发者（Issuer）、以及由...

SSL/TLS 验证 SSL/TLS 验证是指客户端（如浏览器、curl、移动 App）在建立 HTTPS 连接时，对服务器提供的 ssl证书 执行的一系列可信性检查，核心包括：证书链完整性、签名有效性、域名匹配（Subject Alternative Name）、有效期、吊销状态（OCSP/CRL）以及颁发机构（CA）是否受信任。 验证过程严格遵循 RFC 5280 和 TLS 1.2/1.3 协议规范。现代浏览器（Chrome、Firefox、Safari）默认只信任操作系统或自身内置的根证书存储（Root Store）中的 CA；若证书由未...