本站支持IPv6

菜单导航
产品介绍
解决方案
信息安全服务
下载专区
服务支持
旗下品牌
解决方案
金融篇
电子商务篇
移动篇
企业信息化篇
信息安全基础篇
电子政务篇
电子数据司法实践
旗下品牌
旗下品牌

SSL常见问题

字号:

  1. CFCA

  答:中国金融认证中心

  2. 什么是服务器证书

  答:客户端浏览器和Web服务器之间已建立起一条SSL安全加密通道,用户交易的机密信息在网络传输过程中将不会被查看、窃取和修改。

  3. 全球服务器证书如何保护国际交易的安全?

  答: a全球服务器证书是不可伪造的,其内含的密钥几乎是不可破解的。

  b只有符合中国政府限定资格的合法企业才能获得全球服务器证书。

  c不可能通过欺诈的手段获得全球服务器证书。

  4. 40-位 SSL 安全服务器证书 与 128-位 SSL 全球服务器证书除加密强度不同外,还有什么不同?

  答:这两种服务器证书的最主要差别在于各自所能激活的 SSL 阶段作业的加密强度不一样。SSL对信息的加密强度分为两种,分别为40位及128位;这两者的区别主要在于每次进行加密过程时所产生的"会话密钥"长度不同。加密密钥的长度越长,要破解加密就越困难。128-位 SSL全球服务器证书包含在 Secure Site Pro 与 Commerce Site Pro 服务中,可以激活128 位的 SSL 加密,它是目前全球最坚强的加密等级,Microsoft[TM] 与 Netscape[TM]浏览器的本地及输出版本皆适用。

  128位的 SSL 全球服务器证书与 40-位的 SSL 安全服务器证书还有一个主要的差异点,即各自所支持的服务器平台数目不同。

  5. 什么是代码签名证书

  答:代码签名证书是针对网上发布控件、应用程序、驱动程序等产生的代码安全问题提供的一种安全、可信产品,能满足各种数字签名的应用需要,让内容提供商和软件开发商能数字签名其软件代码、宏代码、设备驱动程序、硬件固化程序、病毒更新码、配置文件等。(给代码做签名)

  6.CFCA全球信任SSL证书支持的操作系统和浏览器

  答:Windows平台浏览器100%支持,包括但不限于:Internet Explorer、Google Chrome、Mozilla Firefox、Opera,以及360、搜狗、遨游、QQ、UC、猎豹、百度等国产浏览器;

  Windows Mobile平台浏览器100%支持;

  Linux平台浏览器100%支持;

  IOS 10.1及以上版本平台浏览器100%支持;

  Mac OS 10.12.1及以上版本平台浏览器100%支持;

  Andriod 6.0及以上版本平台浏览器100%支持。

浏览器

操作系统

Internet

Explorer

Mozilla

Firefox

Google

Chrome
Safari
Windows
Unix/Linux ——
Mac OS ——
iOS —— ——
Andriod —— ——
Windows Mobile ——

  √:表示该浏览器完全支持CFCA全球信任SSL证书;

  ——:表示该浏览器不支持该操作系统。

  7. 什么是企业证书

  答:“企业数字证书”作为企业身份的电子化标识,起到了企业的“网上电子执照”的作用。“企业数字证书”所具有的身份认证和数字签章功能,以其保密性、完整性、真实性和不可否认性,为企业享受电子政务服务和开展电子商务提供了基本的安全和信用保证。

  8. 什么是个人证书

  答:个人数字证书在网络通讯中标识个人的身份,由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险. 为了保证互联网上电子交易及支付的安全性,保密性等,防范交易及支付过程中的欺诈行为,必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都必须拥有合法的身份,并且在网上能够有效无误的被进行验证。数字证书是一种权威性的电子文档。它提供了一种在Internet上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构----CA证书授权(Certificate Authority)中心发行的,人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中,证书认证中心(CA)作为权威的、公正的、可信赖的第三方,其作用是至关重要的。

  9. 验证个人身份的证书

  答:电子身份认证能够利用简单的身份载体,如带有智能芯片的身份卡、个人指纹等,将个人的医疗资料、个人身份证、工作状况、个人信用、个人经历、收入及纳税状况、公积金、养老保险、房产资料等信息集合在一起,通过网络实现政府部门的各项便民服务程序。电子身份认证的核心是数字签名技术,它保证了用户身份的唯一性和合法性,实现“数字签名”所必须建设的公钥基础设施(PKI)是电子政务在技术上和法规上最重要的基础设施之一。公钥基础设施可以实现确认发方的身份,保证发方所发信息的机密性,保证发方所发信息不被篡改,以及发方无法否认已发该信息的事实。数字签名在运行中包含以下的步骤:

  发方的身份由第三方证书管理机构(Certification Authority,简称CA)例如cfca,根据发方提供的私钥来辨认和确认。

  在经过确认后,由证书管理机构发出包含公钥在内的发方身份证书并锁定所发文件。

  收方需要自动向证书管理机构核查下列事项,这份身份证书是否正确,发方的身份证明是否已经失效、过时,发方文件是否被篡改,所发文件是否与发方身份相符等。

  10. 使用服务器证书优势

  答:可信服务器证书的技术优势主要包括以下几点:

  优势一、可信服务器证书符合国际规范,支持当前业界主流的浏览器;

  优势二、可信服务器证书支持2048 bit的非对称加密算法和128 bit SSL加密协议。在安装了高强度加密包的IE中可以正常使用,建立128 bit SSL加密通道;

  优势三、可信服务器证书系统的签名私钥受到高强度保护。除了将系统的服务器安置在高等级防护的数据中心外,还将私钥存储在硬件加密机中,通过权限分割管理的办法管理该签名私钥;

  优势四、为了保证可信网络服务数据中心的安全,cfca机房采取了严格的符合国际标准的措施。机房采用屏蔽措施,配置了高级监控设备,安装了严格的门禁设备,制定了完善的安全制度

  11. 什么是电子签名

  答:电子签名并非是书面签名的数字图像化。它其实是一种电子代码,利用它,收件人便能在网上轻松验证发件人的身份和签名。它还能验证出文件的原文在传输过程中有无变动。 如果有人想通过网络把一份重要文件发送给外地的人,收件人和发件人都需要首先向一个许可证授权机构(CA)申请一份电子许可证。这份加密的证书包括了申请者在网上的公共钥匙即“公共电脑密码”,用于文件验证。

  12. 什么是电子印章

  答:电子印章技术以先进的数字技术模拟传统实物印章,其管理、使用方式符合实物印章的习惯和体验,其加盖的电子文件具有与实物印章加盖的纸张文件相同的外观、相同的有效性和相似的使用方式。可见,电子印章绝不是简单的印章图像加上电子签名,关键在于其使用、管理方式是否符合实物印章的习惯和体验,其加盖的电子文件是否有与纸张文件相同的外观,使用方式与纸张文件有多大程度的相似性。

  13. 什么叫数据电文

  答:也称为电子信息、电子通信、电子数据、电子记录、电子文件等。一般是指通过电子手段形成的各种信息。数据电文一词最早在国际法律文件中出现是在1986年联合国欧洲经济委员会和国际标准化组织共同制定的《行政、商业和运输、电子数据交换规则》。该规则规定,贸易数据电文是指当事人之间为缔结或履行贸易交易而交换的贸易数据。1996年联合国电子商务示范法采用了这一概念,该法规定,"数据电文"是指经由电子手段、光学手段或者类似手段生成、储存或者传递的信息,这些手段包括但不限于电子数据交换、电子邮件、电报、电传或者传真。各国电子签名法或电子商务法也对数据电文作了类似的规定。如美国国际国内商务电子签名法规定,"电子记录"是指由电子手段创制、生成、发送、传输、接收或者储存的合同或其他记录;韩国电子商务基本法规定,"电子信息"是指以使用包括计算机在内的电子数据处理设备的电子或类似手段生成、发送、接收或者储存的信息。

  根据法律规定,合同的书面形式是指合同书、信件和数据电文等可以有形地表现所载内容的形式,其中数据电文是指包含通讯网络在内的网络条件下,当事人之间为了实现一定目的,通过电子邮件和电子数据交换所明确相互权利义务关系的协议,包括手机短信。

  14. 网络安全签章

  答:网站安全签章是一个动态的标志,可以在用户的登录的页面上显示,向登录用户表明该站点使用了服务器证书。

  15. 什么是签名验签服务器

  答:签名验签服务器是面向各类电子数据提供基于数字证书的数字签名服务、并对签名数据验证其签名真实性和有效性的专用服务器。数字签名验证服务器可以广泛应用于网上审批、网上办公、网上银行、网上证券和网上支付等电子政务、电子商务和企业信息化中,为业务系统提供安全保护。

  产品的主要功能:

  身份认证功能:实现基于数字证书的身份认证,支持不同CA的用户证书验证,提供CRL/OCSP 等多种方式的证书有效性验证。

  数据签名功能:实现针对各类电子数据的数字签名功能,支持多种格式的数字签名。

  验证签名功能:实现对签名数据的的验证功能,验证签名真实性和有效性。

  系统备份功能:系统可以备份当前所有配置信息,保证系统瘫痪时的快速恢复。

  日志管理功能:系统可以自行记录日志,也可以将日志以SYSLOG 的方式发送到指定服务器。

  16. ssl网关

  答:CFCA数据安全网关通过数字证书技术和SSL协议,提供客户端浏览器和Web服务器之间的身份认证和安全通信,从而保证了网络交易过程中的交易安全。CFCA数据安全网关可以支持保护多Web服务器,保护类型可以是HTTP或HTTPS。HTTP类型的服务数据安全网关起到转发功能,HTTPS类型的服务可以在客户端浏览器和Web服务器之间建立基于数字证书的最高强度为128位加密安全连接,实现客户端和服务器之间数据传输安全和用户身份的有效认证。

  17. 什么是电子邮件证书

  答:电子邮件签名是指在发送电子邮件时附上自己的数字证书,使得邮件接收者能确认邮件来自发送方,且在传送过程中没有被篡改。数字签名只证实信息的真实性,它并不能抵御第三方窃听的保护措施。对电子邮件加密是指使用某种方式把邮件内容变成不可读的乱码,只有指定的接收者才可以把这些乱码成邮件内容,从而确保不被第三方窃听。

  18. cfca的主要数字证书产品是什么

  答:我们的数字证书种类丰富,企业证书,个人证书,服务器证书,vpn证书,邮件证书等等,根据客户的实际使用需求可以选择不同的证书。

  19. CFCA数字证书主要用户有哪些

  答:cfca电子认证服务广泛应用于金融、招投标、企业供应链、网上公积金、公文流转等领域,我们的客户覆盖各个行业。

  20. 地方ca跟cfca有什么区别?cfca有什么优势?

  答:我们立足于金融行业,辐射其他行业。

  服务体系健全,设施完善,注册机构发证网点最多。

  属于国家级的信息安全配套设施。

  21. 强制型证书和非强制型证书的区别

  答:强制型证书能在任何浏览器(包括仅支持40位或者56位的加密算法的浏览器)上实现128位高强度的加密技术。

  普通型证书在不支持128位加密技术的浏览器上会自动使用浏览器所能支持的最高加密级别,如40位或者56位。而无法达到128位的加密级别。

  因此,最好选择SGC强制型的加密证书,这样能最大程度的保证在所有的浏览器上都可实现128位的SSL加密。

  22. 20.如何实现用户用访问http时自动跳转到https的访问地址?实现网页的自动跳转有两种方式:

  答:增加重定向到https

  在页面中加入自动跳转代码。例如:<—< meta http-equiv=”Refresh” content=”秒数; url=跳转的文件或地址”>—>

  23. 同一张服务器证书是否可以配置在多台服务器上?

  答:不可以。CFCA以及其他国外品牌证书的签署协议中禁止客户在多台服务器上配置同一张证书。

  24. 多台服务器多个域名,该如何选购SSL证书?

  答:一般来讲,一个网站(一个域名)对应一个SSL证书,因为SSL证书是绑定域名的。只有通配型证书和多域型证书才支持多个域名。通配型证书适合于同一台物理服务器下的同一域名下的多个子域,如您在同一台物理服务器上有多个网站:

  www.mydomain.com

  secure.mydomain.com

  pay.mydomain.com

  login.mydomain.com

  申请通配型SSL证书时填写的通用名称(Common Name)为: *.mydomain.com 。

  与通配型证书只支持子域不同的是,多域型SSL证书支持任何域名,不仅限于子域,如:domain.com、domain.cn、 domain.com.cn、domain.net、domain.net.cn、mydomain.com、domain.us、 domaina.com等等。不仅适合于有多个域名需要部署SSL证书的单位,更适合于虚拟主机服务提供商为不同单位的不同域名的网站部署SSL证书。

  请注意:以上两种证书都使用于同一台物理服务器,如果您有多台物理服务器在使用同一个域名(负载均衡方式),则您需要为多台服务器购买多服务器许可证即可。

  25. 23. 部分客户端访问IIS服务器时,证书链中的中级证书过期怎么办?

  答:这种情况通常发生在IIS服务器上。导致该问题的原因是服务器上存在多张可提供信任关系的中级证书,且其中有已过期的中间级证书。如果客户端PC系统中证 书存储区没有新的中级证书而只有已经过期版本的中级证书的话,客户端浏览器不会主动从服务器上下载新的中级证书文件,而只通过已过期的中级证书去验证服务 器证书的有效性。导致客户端报中间级证书已过期错误。

  解决方法:删除服务器上计算机账户中“中级证书颁发机构”里已过期的证书,并更新最新的中级证书文件,强制客户端下载最新的证书链文件,使客户端只能通过一条最新的证书链来验证服务器证书的有效性。

  26. 收到证书批准邮件后,从邮件中提取的证书安装失败,无法安装?

  答:保存下来的服务器证书文件中,文件代码前后可能有空格或其他无效字符。或者没有将证书头和尾部起始代码包含进来。 在Windows环境下,双击尝试打开该证书文件,检查是否能够查看证书信息。

  原始请求被删除或被新的请求覆盖,私钥丢失。需要吊销替换,重新生成证书文件。

  私钥管理权限不足,使用管理员权限登陆,并赋予私钥的管理权限。

  27. 25. IIS下同一站点不允许同时提交多个请求

  答:微软IIS 6.0中每一个站点只允许同时发出一个CSR请求。如果在已有的请求之上重新创建一个新的CSR请求,您的原始请求(和私钥)将被覆盖。在正式提交CSR请求后,请不要对服务器做证书方面的配置,并可通过私钥备份,保存您的私钥文件。

  28. 初始VTN服务器证书时,CSR中的所有信息都是按照要求正确填写的,但提交后系统无法解析,无法签发证书。

  答:客户在填写辨识码时(证书管理密码)使用了特殊字符。

  29. 在Apache 上配置EV SSL 服务器证书,但EV SSL 服务器证书有两张中级证书,在Apache 配置文件中出现两个引用中级证书语句时,启动失败。

  答:Apache 下,需要将两张中级证书打包成一个证书文件。打包方式:用记事本等文本编辑器打开两张中级证书文件,分别复制证书代码,粘贴到一个记事本文档中。并将该文件配置到 Apapche 配置文件中 SSLCertificateChainFile 路径下。

  30. 服务器需要使用的是 Pem 格式的私钥和证书文件,该如何生成私钥和证书请求。

  答:可以安装 Openssl ,使用 Openssl 来生成证书请求。请参考Apahce服务器证书CSR生成指南,在生成私钥文件时,只需要将私钥文件名的后缀定义成 .pem 就可以了。

  31. IIS中,已经提交CSR请求,还未收到证书如何备份私钥。

  答:开始菜单“运行”-“MMC”-“文件”-“添加删除管理单元”,打开控制台,添加计算机账户-本地计算机。在控制台根节点中找到“证书注册申请”,在该目录下,找到您的注册请求文件并导出成一个PFX文件。

  安装证书时,先从控制台导入私钥备份文件到“证书注册申请”,再把服务器证书导入到“个人”中。然后再到 internet 服务管理器中,需要配置证书的网站上,指派现有证书到导入的服务器证书上即可。

  32. 为什么查看某些安全站点时会弹出“本页不但包含安全的内容,也包含不安全的内容。是否显示不安全的内容”?

  答:在编写网站页面文件代码的时候,页面URL和资源文件建议使用相对路径来定义。这样有助于提高页面对证书的兼容性。当客户端无论是用http还是 https来访问该页面都不会报错。如果页面需要强制使用https来访问,则在页面中,需要确保所有的图片、Flash、JS脚本、CSS等文件都使用 https的绝对路径或使用相对路径来定义文件在页面代码中的位置。

  33. ssl会话建立的过程(原理)是什么?

  答:交换开始于客户端发出的一条“client_hello”消息,消息包括:

  客户端支持的SSl版本号

  客户端产生的32字节的随机数

  一个对应的会话ID

  一个支持的密码算法的列表

  一个支持的压缩算法的列表

  服务器发出消息“server_hello”进行响应,内容包括

  服务器从客户端列表中选择的SSL版本号

  服务器产生的32字节的随机数

  会话ID

  从客户端列表中选择的密码算法

  选定的压缩算法(通常不进行压缩)

  客 户端检查服务器的证书和它发出的诸多参数;如果服务器请求客户端证书,那么客户端响应一条证书消息,其中包含了它的X.509证书 服务器以客户端发来的“change_cipher_spec”消息作为相应,向客户端消失它也将使用与客户端相同的参数来加密将来所有的通信内容。因为 服务器已经收到了客户端计算密钥使用的随机数,它也可以计算与客户端相同的密钥;服务器发送交换结束消息来结束握手过程

  34. 服务器证书做双向认证是否需要安装第三方的插件?

  答:常用的webserve 中间件都会有支持客户端认证的功能。配置证书书只需要修改配置文件便可以启用客户认证的功能。不需要安装第三方的插件。

  35. 物理服务器出现故障是对证书使用会有什么影响?

  答:在您申请服务器证书后,请及时备份您的证书及私钥。如果物理服务器出现故障只需要将备份的证书配置到新的服务器上就可以,不会对证书的使用造成影响。

  36. 服务器上装个证书会不会影响到速度和流量?

  ·当然会增加服务器CPU的处理负担,因为要为每一个SSL连接实现加密和解密,但一般不会影响太大。同时建议注意以下几点以减轻服务器的负担:

  ·仅为需要加密的页面使用SSL,如https://www.domaincom/login.asp,不要所有页面都使用https://,特别是访问量最大的首页;

  ·尽量不要在使用了SSL的页面上设计大块的图片文件和其他大文件,尽量使用简洁的文字页面。

  ·如果网站的访问量非常大,则建议另外购买SSL加速卡来专门负责SSL加解密工作,可以完全不增加服务器任何负担。或另外增加服务器。

  37. 网络设备是否可以支持SSL证书?

  答:设备的硬件制造如果让设备支持SSL协议是可以支持证书,一般的技术配置文档由这些设备厂商提供。如cisoco F5 VPN 都有支持证书的产品。

  38. 如果改变了硬件、软件(web server)证书需要重新申请吗?

  答:服务器证书与硬件无关。系统和web server版本如果相同也不会有任何影响。如果改变了服务器软件,证书就要重新申请。服务器证书不可以更换平台使用。

  39. 托管服务器提供商不让配置ssl证书?

  答:托管服务器一般也叫虚拟主机提供商.他们在一台较好的服务器上配置了多个虚拟站点.一般都是提供普通的80 web服务.如果其中的一个站点配置了证书走SSL协议是会对整个服务器会有负载的。

  40. 在一台服务器的多个虚拟主机中,是否可以实现SSL功能?

  答:如果是一个IP多个网站的情况,无法实现SSL功能;如果是一台服务器对应多个网站多个IP(每个网站一个IP),就可以实现SSL功能。每个网站需要配置一张服务器证书。

  41. 如果显示证书已过期(并未到有效期)?

  答:可能情况:

  1)系统时间不对;

  2)中级证书过期。

  42. 服务器证书双击打开时,提示是无效的证书格式,如何处理?

  答:可能是文件中含有其证书链上的其它证书的缘故。可将文件的后缀改成.p7b解决。

  43. 在Web Logic中安装Web Server证书时,出现私钥与证书不匹配的问题,是为什么?

  答:在私钥文件与证书文件都正确的情况下,这可能是由于没有安装中级CA引起的。客户必须将全球服务器证书配置到域名与证书通用名相同的WEB站点上(即证 书通用名与URL必须相符),否则可能会出现Win98下无法建立连接、或低加密强度的浏览器无法建立128bit连接而只能建立40bit或56bit 的SSL连接的问题(可能还有其他不可预知的问题)。

  44. 在IIS中如何导入pfx格式的服务器证书?

  答:如果操作系统是win 2003,在IIS配置目录安全性的选项里有从pfx文件中导入的选项,按照安装向导配置即可。如果是其他操作系统,需要先双击pfx文件,将证书导入到系统中,然后再选择指派现有证书进行配置。

  45. 关于重定向的配置

  ·方法一:在主页中嵌入<—<script language=javascript> if(document.location.protocol == “http:”){ document.location.replace(document.location.href.replace(/^http:/i,”https:”)); } —>

  ·方法二:1. 在IIS下新建一个站点,主机名和要实现SSL功能的网站域名相同,在该站点的“属性”,“主目录”中选择“重定向到URL”并修改成要实现 SSL连接的网站,这个站点的端口用80端口。2. 如果主站点的端口是80,修改成其他端口,并在属性里加载SSL连接,SSL端口为443。重启服务即可。

  46. 用IE4或IE5浏览器浏览某些安全站点时,会出现服务器证书不可信的警告,用Win2000则没有这个问题,为什么? 

  ·这个问题包含两方面内容:  

  ·VeriSign在2001年2月26日后颁发的全球服务器证书都不再支持IE4浏览器,因此IE4浏览器需要升级或安装2028年的新的Class3根证书。  

  ·除微软的IIS外,其他WebServer软件都需要安装中级CA证书(根证书一般是预埋的)。

  47. Apache如何启动SSL?   

  Windows平台下启动apache   

  1. apache -k install 将apache加载为系统服务  

  2. apache -D SSL -k start 注意大小写   

  Unix或linux平台下启动apache   

  1. apachectl start   

  2. apachectl startssl

  48. 全球服务器证书创建连接后,仍显示为40位连接,如何解决?  

  答:请客户在服务器端打一个NT4高强度加密包。

  49. 47. 配置好证书的站点,如何实现其站点下部分网页实现SSL功能,部分网页不用SSL功能?  

  答:主站点不要申请SSL安全通道,在站点下建立两个虚拟目录,一个放入要实现SSL功能的页面,申请安全通道,一个放入不用SSL功能的页面,不申请安全通道。

  50. 48. 配置中间证书后无法启动apache报”Failed to configure CA certificate chain!”错误,为什么?

  ·Mod_ssl模块的问题,重新编译一下apache即可。

  ·SGC SSl=强制加密

  51.Windows XP SP2操作系统使用CFCA EV SSL证书

  CFCA EV SSL证书采用SHA256摘要算法,而Windows XP SP2操作系统并不支持该算法。在Windows XP SP2操作系统中,使用IE浏览器无法访问含有CFCA EV SSL证书的网站(包括使用其他CA机构SHA256摘要算法SSL证书的网站)。可以将操作系统升级到Windows XP SP3及以上版本,即可正常访问。

  此外,火狐(Firefox)、谷歌(Chrome)等浏览器不依赖操作系统,浏览器本身支持SHA256摘要算法。因而可以在Windows XP SP2操作系统上使用这些浏览器访问含有CFCA EV SSL证书的网站。

  52.通过HTTPS访问,页面弹出警告“是否只查看安全传送的网页内容”

  当网页包括经加密传送的HTTPS内容和未经加密传送的HTTP内容时,IE会弹出警告询问用户是否允许接受未经加密的内容。



  可以在“工具”——“Internet选项”——“安全”——“自定义级别”——“显示混合内容”设置为“启用”,即可不再弹出该提示。

  一般来说,当HTTPS页面引用外部HTTP链接时,会提示此内容不安全。可以通过Firefox的Web控制台,或者Chrome的JavaScript控制台查看到具体的报错代码行,并可以参考相关提示修改页面代码。

  53.Chrome、Firefox提示“SSL收到了一个弱临时Diffie-Hellman密钥”


  Chrome、Firefox等最新版本的浏览器,对客户端浏览器和网站服务器之间的密钥算法有较高要求,不允许客户端浏览器和网站服务器之间使用相对较弱的密钥算法。该问题需要调整Web应用服务器的相关配置,限定客户端浏览器和网站服务器之间使用较高强度的密钥。

  常用的Web应用服务器配置密钥算法的方式如下:

  Apache:

  在httpd-ssl.conf配置文件中增加如下内容:

  SSLCipherSuite

  ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

  Nginx:

  在conf/nginx.conf配置文件中增加如下内容:

  SSLCipherSuite

  ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

  Tomcat:

  在conf/server.xml配置文件中增加如下内容:

  <CONNECTOR

  ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_ WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, TLS_DHE_DSS_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_ SHA256,TLS_ECDHE_RSA_WITH_AES_128_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_SHA,TLS_ECDHE_RSA_WITH_AES_256_ SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_SHA384,TLS_ECDHE_RSA_WITH_AES_256_SHA,TLS_ECDHE_ECDSA_WITH_AES_ 256_SHA,TLS_DHE_RSA_WITH_AES_128_SHA256,TLS_DHE_RSA_WITH_AES_128_SHA,TLS_DHE_DSS_WITH_AES_128_SHA256, TLS_DHE_RSA_WITH_AES_256_SHA256,TLS_DHE_DSS_WITH_AES_256_SHA,TLS_DHE_RSA_WITH_AES_256_SHA"/>