2.普通证书使用方面的问题

　　1）、如何获得他人的证书？

　　2）、卸载IE或重新安装操作系统时，已安装的证书会丢失吗？

　　3）、用户访问安全网站（https），弹出“选择证书”窗口，但是没有证书可以选择

　　4）、用户访问安全网站（https），弹出对话框:“安全证书上的名称无效，或者与站点名称不匹配”

　　5）、用户访问安全网站（https），弹出对话框:“该安全证书由您没有选定信任的公司颁发”

　　6）、用户访问安全网站（https），弹出对话框:“安全证书已到期或还未生效”

　　7）、用户访问https网站期间清除SSL缓存会产生什么后果？

　　8）、普通证书能自动换发吗？

　　9）、调用证书工具包做业务时，提示“对象不支持属性或方法”

　　10）、证书补发和证书换发的区别？

　　11）、下载证书后发现该证书状态为未生效或已过期

　　12）、根证书链导入不到“受信任的根证书列表”中

　　13）、普通证书文件导入的时候不能导入成为个人证书，导入的是他人证书

　　14）、如何备份证书？

　　15）、出现“该页无法显示”页面

　　1）、如何获得别人的证书？↑TOP

　　解答：可以通过个人普通证书的下载页面http://www.cfca.com.cn/tongyi，在＂证书查询＂选项中查询得到需要下载的证书，然后就可以下载该证书。查找方式见《普通证书技术支持手册》第四章。

　　2）、卸载IE或重新安装操作系统时，已安装的证书会丢失吗？↑TOP

　　解答：是的，已安装的浏览器证书会丢失。建议卸载前将需要保存的证书在浏览器中导出备份，在重新安装完浏览器后再行导入恢复。备份恢复方法见《普通证书技术支持手册》。

　　3）、访问Https://的网站弹出“选择证书”窗口，但是没有证书可以选择,如下图：↑TOP

　　原因：

　　1、客户端没有证书。

　　2、没有安装证书链。

　　3、用户安装了安全代理软件，如股民用户安装了核新的安全代理软件。

　　解决办法：

　　1、确认客户端证书是有效和完整的。　　

　　1）是否已经插入USBKey，并正确了安装USBKey的管理工具。　　

　　2）在IE中检查证书是否存在（见《普通证书支持手册》中查看证书部分内容）。

　　2、检查证书链。

　　虽然通过IE查看证书信息完整，证书链安装正常，但实际证书链安装不正常，需要通过Win2000还需要使用自带的“证书管理单元”安装证书链。

　　使用自带的“证书管理单元”安装证书链。　　

　　1)请先在CFCA网站获得对应系统的证书链。　　

　　2)“证书管理单元”的启用一般需要运行mmc进行配置后才能使用。打开“证书管理单元”，可以分别选择“受信任的根证书颁发机构/证书”或“中级证书颁发机构/证书”点右键选择“所有任务/导入…”指向对应的证书进行安装。证书管理单元的使用方法见《普通证书技术支持手册》

　　3、对原因3，需要退出相关软件。

　　4）、用户登录安装过服务器证书的站点出现如下对话框“安全证书上的名称无效”：↑TOP

　　对于IE6如下图：

　　对于IE7如下图：

　　原因：对于IE6弹出的警告图，惊叹号在第三行，说明浏览器输入的URL与服务器证书的名称不符。

　　对于IE7显示的图，也提示了相应的警告“此网站出具的安全证书是为其他网站地址颁发的”，只是与IE6表现形式不同。出现这个警告框的原因可能是：

　　a、服务器证书以域名申请，而用户URL输入IP；

　　b、或者服务器证书以IP申请，而用户URL输入域名导致的。

　　解决办法：建议用户在URL中输入相应的域名或者IP应该就不会有该警告了。当然，该警告并不影响继续使用。

　　5）、用户登录安装过服务器证书的站点出现如下对话框：↑TOP

　　对于IE6如下图:

　　对于IE7如下图：

　　原因：对于IE6弹出的警告图，惊叹号除了在第三行有以外(原因已经在前面说明过)，在第一行也有。第一行的惊叹号说明服务器证书是由不受信任的证书颁发机构办法的。

　　对于IE7显示的图，也提示了相同的警告，提示此安全证书不是由受信任的证书颁发机构颁发的。

　　解决办法：用户需要安装颁发此服务器证书的CA的证书链。当然，该警告并不影响继续使用。

　　6）、用户登录安装过服务器证书的站点出现如下对话框：↑TOP

　　对于IE6出现如下图：

　　对于IE7出现如下图：

　　原因：对于IE6弹出的警告图，惊叹号除了在第三行有以外（出现原因前面已经解释过了），在第二行也有。第二行的惊叹号说明本机时间不在服务器证书有效期的范围内。

　　对于IE7显示的图，也提示了相同的警告，提示此服务器安全证书已经过期或还未生效。

　　解决办法：可能本机时间不对，调整本机时间到正常时间，使之在服务器证书有效期的范围内即可。当然，该警告并不影响继续使用。

　　7）、用户访问https网站期间清除SSL缓存会产生什么后果？↑TOP

　　解答：用户在访问https网站期间在IE里面清除SSL缓存后（如下图），则再在此https网站进行页面切换的时候，需要用户重新选择登录此网站的证书。

　　8）、普通证书能自动换发吗？↑TOP

　　解答：普通证书不支持自动换发。证书换发首先需要到发证机构获取新的下载凭证，然后像证书下载一样到CFCA的证书下载中心(http://www.cfca.com.cn/ tongyi)完成新证书的下载。

　　9）、调用证书工具包做业务时，提示“对象不支持属性或方法”↑TOP

　　解答：

　　原因1：IE禁止下载已签名的安全控件。

　　解决办法：确认IE允许下载已签名的ActiveX控件，如下图所示：

　　原因2：ActiveX控件被拦截。

　　解决办法：检查网页是否有控件安装提示，一般在地址栏下方，如果有，则右键点击安装控件。

　　原因3：证书工具包安装没有执行。

　　解决办法：请重新执行证书工具包安装软件。

　　10）、证书补发和证书换发的区别？↑TOP

　　解答：

　　证书补发：表示证书还在有效期内，证书丢失或者损坏时，需要重新拿到和原来证书通用名一样的证书，就可以申请这种操作。这种操作证书有效期的截止时间不变。

　　证书换发：表示证书快过期或者已经过期，需要延期证书时，申请该操作。这种操作证书有效期的截至时间会向后推迟一个有效期时间段。

　　11）、下载证书后发现该证书状态为未生效或已过期↑TOP

　　解答：证书签发时间是以ca的时间为准，如果用户的客户端时间与正常时间差别较大，可能会出现未生效状态。

　　12）、根证书链导入不到“受信任的根证书列表”中↑TOP

　　解答：vista系统中默认安装证书链是安装不进去的，一定要指定证书链的存储区域。详细操作见《普通证书技术支持手册》证书链安装的章节。

　　13）、普通证书文件导入的时候不能导入成为个人证书，导入的是他人证书。↑TOP

　　解答：该证书从浏览器里面导出的时候没有导出私钥，因此证书文件只是一个.cer的公钥证书文件。再用该文件导入当然导不到个人里面去。需要在导出证书的时候选择“导出私钥”选项才能在用证书文件导入的时候导到个人里面去。

　　14)、如何备份证书？↑TOP

　　解答：可以通过证书导出的方式备份证书。具体见《普通证书技术支持手册》。protected storage服务未启动。

　　15)、出现“该页无法显示”页面。↑TOP

　　原因1：没有安装证书链文件。

　　解决方法：安装CFCA证书链，安装方法见《普通证书技术支持手册》。

　　原因2：Key的驱动程序没有安装正确，或者Key没有插入USB接口，或者Key与USB接口接触不良。

　　解决方法：要正常的使用系统，要求能够使用Key的用户工具或者智能卡管理工具正常的查看到Key中的证书。如果不能，说明Key不能正常使用。因此，必须确认Key正确的插入USB接口，并且接触良好，保证Key的用户工具或者智能卡管理工具能够正常的查看到Key中的证书。如果以上措施不起作用，可能Key的驱动程序没安装或者安装的版本不正确，请联系Key的厂商进行处理。

　　原因3：key中的证书没有正确的安装到IE浏览器中。

　　解决方法：经常发生在使用握奇Key的情况下，使用Key的用户工具或者智能卡管理工具将证书安装或者注册到IE浏览器中。如果“安装”选项不可用，可以先选用“卸载”，然后再“安装”。直到在IE的“工具”->“Internet选项”->“内容”->“证书”->“个人”页中能够查看到这张证书为止。建议在以上操作前，先的“工具”->“Internet选项”->“内容”->“证书”->“个人”页中能够查看到这张证书是否存在，如果存在，可以先手工删除。

　　原因4：网络问题（网络不通、端口没开放或者域名解析DNS错误）。这种情况下，一般“客户身份验证”的证书选择对话框不会出现。

　　解决方法：用户检查网络情况。

　　原因5：证书已经过期或者损坏、输入的USB Key的PIN码错误。

　　解决方法：如果过期，向证书发放机构申请证书换发；如果损坏或者口令遗忘，向证书发放机构申请证书补发。获得参考号和授权码，重新下载证书。

　　原因6：USB Key由于多次输错PIN码，导致锁卡。

　　解决方法：从USB Key厂商获得解锁工具，对USB Key解锁。

　　原因7：可能是系统的ssl服务器的系统时间晚于CA系统的时间。因此刚下载证书的用户登录时，SSL服务器认为用户的证书还未生效。

　　解决方法：稍后或者到第二天再登陆。