WebServer证书安装配置常见问题
1）.在Win2000下iis5中的密钥管理器在什么地方？我如何把证书导成*.key的文件？我现在只能给导成*.pfx的文件。
原因：Win2000下iis5没有密钥管理器，因此不能导出*.key文件
解决办法：首先使用NT的IIS的密钥管理器来生成一个pkcs10证书请求，证书名使用主机名或IP地址，通用名使用参考号，单位匹配证书的o=选项，部门匹配证书的ou=选项。用NT的IIS生成的pkcs#10证书请求去申请证书，然后在NT的IIS上安装，将生成的密钥导出，到win2000上将证书导入。

2）.下载Web-Server证书时关于申请域一栏如何填写？
解答：在Web-Server上生成一个请求，不同的Web-Server有不同的请求方式，通常情况下可在"生成证书申请请求"的菜单中获得。如果Web-Server的种类比较特殊的话，还需查看该Web-Server的有关文档。生成以后可将该请求拷贝到申请域一栏里即可提交。

3）.下载Web-Server证书时报错：-2731，非法请求数据？或者报：-3262,加密解密错误？
原因： 引起上诉错误的的原因是请求生成错误，有两个可能：
a、在web servers上生成证书请求时或者common name(即通用名)一项没有填写参考号；
b、或者"组织单位名称"（OU）和"组织名称"（O）时，输入带空格的字符。
解决办法：按照正确的内容生成证书请求。

4）.如何在Apache上下载Web-server证书？
解答：登录cfca网站下载Web-server证书(E-01系统／ET-01系统)及Apache用户的证书链（E-01系统／ET-01系统）。

5）.weblogic用户使用产生的web服务器证书请求时报错，（具体错误信息没有全部得到，因此不能列举，错误信息可能是提示时区有问题）
原因：weblogic填写证书请求信息时，没有common name项，而CA服务器需要检查common name的内容是用户的参考号。
解决办法：在CA服务器的entmgr.ini中的policy项，添加DisablePrivateKeyProof=1，将不检查web服务器证书请求中common name是否等于参考号。

6）.使用JDK4.1中的keytool安装WebServer证书，正常下载证书，但是在使用keytool导入证书的时候报错：keytool error: java.lang.Exception:Failed to establish chain from reply
原因：用户使用linux系统，安装了多个jdk，但是系统环境变量中的jdk路径，与产生证书请求的jdk路径不相同。
解决办法：修改环境变量的设置，或者使用绝对路径执行keytool。