目錄表
Gandi SSL 憑證常見問題
我們把許多使用者經常詢問、但非技術性的問題都整理在這個頁面上。如果您在使用 SSL 憑證時發生問題,或許可以透過本頁面找到問題的解答。如果沒有找到適當的解答,我們的 客戶支援團隊很樂意隨時提供您必要的協助。
什麼是 SSL 憑證?
SSL 是 “Secure Sockets Layer” 的縮寫。SSL 憑證是一個安裝在網路伺服器上的檔案,其可供:
- 憑證認證機構 (Gandi) 進行伺服器驗證。
- 確保網站訪客與伺服器之間的資料傳輸之安全性以及驗證資料的完整性。
當您決定為伺服器啟用 SSL 憑證,您必須回答一系列的問題來證明您的網站和公司之間的身份關係。您的網路伺服器之後會建立兩組加密的數位金鑰:一組公鑰,一組私鑰。
私鑰 key ( .key 檔) 請謹慎保密。務必不要將它提供給任何人。
公鑰以 CSR (憑證簽署請求,Certificate Signing Request) 方式提供,其為一連串的字元所組成,其中包含了您的公鑰資訊。此 CSR (.csr 檔) 會在 Gandi 憑證生成時建立。公鑰不需要保密,公鑰的設計是用來公開分享。
Gandi 做為認證機構,會進行相關的必要檢查,並驗證您網路瀏覽器的憑證,如此一來,網路瀏覽器才能識別您的憑證,並在提供服務的伺服器 (電子郵件、網站…) 與電腦的網路瀏覽器之間建立一個加密的連結。
我們是採用 HTTPS 這個協定方式提供安全性防護。在網際網路上,您是透過 HTTP 的方式瀏覽非經安全保護的網站,而以 HTTPS 協定瀏覽經安全保護的網站,舉例來說:
Gandi 非經安全保護的網站網址 : http://www.gandi.net
Gandi 經安全保護的網站網址 : https://www.gandi.net
為何我的 DNS 驗證失敗?
在處理中訂單的頁面中,您會看到以下的敘述:
請於域名的 DNS 區域檔內加入此記錄: BFFD4FAD76429FCAAB36521CA1D30EF1.www.example.com. 10800 IN CNAME CF1DCB91B7A36AEA62151041ACEFB10779F79693.comodoca.com.
如果您直接將我們在 Gandi 給您的那一行記錄複製貼上,會出現這個錯誤訊息: OBJECT_DNS_RECORD+CAUSE_BADPARAMETER
要解決上述問題,請確定您已經將域名從記錄內移除。舉例來說,上述的記錄應該如下:
BFFD4FAD76429FCAAB36521CA1D30EF1.www 10800 IN CNAME CF1DCB91B7A36AEA62151041ACEFB10779F79693.comodoca.com.
(上面的例子中有 www 是因為範例中使用的憑證域名網址是 www.example.com。 如果憑證只是供 example.com 使用,那前面就不應該有任何東西存在,或如果是為了其他子域名,例如:admin.example.com ,就只會有 admin 。)
什麼是憑證認證機構?
憑證認證機構 (簡稱 CA) 是負責派發及分配與域名 (及其子域名) 進行連結的憑證給所有權人之機構。 憑證認證機構也負責指定憑證的有效日期,並制定已撤銷和已過期的憑證列表。
由 Comodo 處理 Gandi 的憑證認證作業。
網路瀏覽器內有一份受信任的憑證認證機構列表。每當 SSL 連結建立完成後,網路瀏覽器會檢查伺服器的憑證是否由受信任的憑證認證機構所提供。
超過 99% 的網路瀏覽器能識別 Gandi CA 。
什麼是中繼 SSL 憑證?
如果沒有中繼 SSL 憑證, 憑證在 Firefox 瀏覽器中可能就無法正常'運作'。
Gandi 從一個 “中繼” 的憑證來簽發自己的憑證,或繼承來自憑證認證機構其根憑證的信任。
此舉可降低風險,因為 Gandi 所有的憑證都可以在不用撤銷根憑證的情況下進行撤銷及重新簽發的動作,所以中繼憑證也是可以受信任的,這也是為什麼幾乎所有的商業憑證供應商選擇使用中繼憑證的原因。
您可以在維基百科 Root_certificate 的文章內獲取更多相關的資訊。
您會需要同時下載並安裝 Gandi SSL 憑證 與 Gandi 中繼憑證 (又稱操作型授權憑證),如此一來,您網站的訪客可以自動下載憑證並確認其信任鏈。如何進行上述步驟的操作說明可在憑證安裝的頁面上找到。
一個憑證能保護多少個伺服器的安全?
憑證所提供的安全性服務,是與特定的域名進行連結,而不是與伺服器的 IP 位址。
如果您的網站是透過多個伺服器進行代管/寄存,您只要申請一個憑證即可。您只需確定這些伺服器上要使用憑證的域名 (及/或子域名) 是正確的 。
如果您要保護多個子域名的安全性,請選擇 萬用字元 (wildcard), 或『多重位址』憑證。
否則憑證會出現錯誤。
我能不能在其他代管服務提供者所提供的主機上使用我的 Gandi SSL 憑證?
可以的,由於與憑證進行連結的是域名,所以您可以將憑證安裝在任何的伺服器上,而不是任何特定的主機。
然而,為了確保憑證能驗證無誤,伺服器所使用的域名必須解析在安裝該憑證的主機 DNS 內。
請注意,在大多數情況下,您要有伺服器的根 (root) 帳號 (或管理者) 存取權限才能安裝憑證 。
SSL 憑證的交易擔保是什麼?
如您想保障終端客戶,可以為交易添加額外的保險,只要憑證 (進階版方案以上的憑證才提供) 的安全防護被惡意破解,就可以獲得理賠 。
有了交易擔保,顧客因憑證遭惡意破解所造成的財務損失將由本保險理賠。
在您添加這項服務之後,您就可以將我們憑證機構的 logo 置於您的網站上,如此一來,您的顧客就知道在這網站上的交易是安全且有保障的。
線上交易擁有交易擔保之後,可使得您的電子商務以更安全的方式運行,您的顧客也是在更安全的環境下進行交易,進而提昇您網站的整體價值。
什麼情況下我才需要提供文件來驗證確認我的憑證?
不同等級的 SSL 憑證會有不同的證明文件要求:
標準版 SSL 憑證 僅需您提供 Gandi 帳號內相關事宜,不需要其他額外的認證。
- 如果您是個人,請提供居住證明及護照副本或附相片的身分證明。
- 若您是公司或組織,請提供您在本國負責註冊登記的公家機關所簽發的登記證明謄本。
商用版 SSL 憑證,請提供:
- 三個月之內所簽發的居住證明 (需與 whois 上所登記的姓名及地址相符)
- 附相片的身分證明或有效的護照,
- 一份填寫完整的商用版 SSL 憑證申請書,
- 一份已簽名的商用版 SSL 憑證訂購者同意書
驗證確認需要多久的時間?
大部份的情況,在我們收到您的身分證明之後,驗證確認程序會在 24 個工作小時以內完成,然後憑證就會簽發下來。
如 Comodo 要求您提供額外的文件,驗證確認的時間可能會延長。
我的驗證確認未被受理處理。我該怎麼辦?
如果您已經先將 CSR 檔送出,但您沒有使用該域名 (受 SSL 憑證保護) 建立一個 admin@ 的電子郵件帳號,則您的驗證程序將無法受理。
如有上述情況,請建立一個 admin@ 的電子郵件帳號,接著 聯繫客服支援團隊。我們會重新發送電子郵件給您,讓您的驗證程序就可以繼續進行。
Gandi 的 SSL 憑證能否適用於所有的網路瀏覽器上?
Gandi 的 SSL 憑證適用於大部分的網路瀏覽器,其版本如下表所示:
瀏覽器 | 版本 |
---|---|
Microsoft Internet Explorer | 5.01+ |
Mozilla Firefox | 1.0+ |
Opera | 7.0+ |
Apple Safari | 1.2+ |
Google Chrome | 1.0+ |
AOL | 5+ |
Netscape Communicator | 4.77+ |
Camino | 1.0+ |
Konqueror (KDE) | |
Mozilla | 0.6+ |
綠色欄位是專供商用版方案,只有在以下的網路瀏覽器才能顯示:
瀏覽器 | 版本 |
---|---|
Microsoft Internet Explorer | 7+ (Vista) |
Microsoft Internet Explorer | 7+ (XP) |
Opera | 9.5+ |
Firefox | 3+ |
Apple Safari | 3.2+ |
Google Chrome | 1+ |
我可以將 Gandi SSL 憑證使用在 BaseKit/SiteMaker 的 Simple Hosting 網站上嗎?
請注意: 您必須擁有根 (root) 帳號存取權限才能安裝憑證。 BaseKit、 SiteMaker 及 Gandi VPS 在 AI 模式底下不支援根 (root) 帳號存取。只有在 M 方案或更高階的 Simple Hosting instance 上才能安裝 SSL 憑證。
不論任何的伺服器,只要您擁有根 (root) 帳號或管理員權限就可以安裝 Gandi 的 SSL 憑證。您的伺服器不一定要是 Gandi 所代管的。
Gandi VPS 在專家 (Expert) 模式底下支援根 (root) 帳號存取,所以可以安裝 Gandi 的 SSL 憑證。
Gandi SSL 憑證是否支援主體別名 (SAN)?
可以的,也稱之為'多重域名'憑證,但是僅適用標準版及商用版 (EV) 憑證。 您必須在 CSR 檔裡先定義主域名,接著在訂單進行的流程中,透過我們的介面將別名填入。 https://www.gandi.net/ssl
在驗證 SSL 憑證時,應該選擇哪個軟體呢?
在提交 CSR 檔時,請註明建立 CSR 檔時所使用的軟體:
凡所有以 OpenSSL 建立的 CSR 檔,請選擇列表上的Apache/ModSSL模組。通常使用 OpenSSL 框架之開放性原始碼軟體套件都是如此。
擔保適用那些部份呢?
進階版及商用版憑證的詳細擔保說明,請參照: SSL 合約 (pdf) 以及 Gandi 憑證實作說明 (pdf)。
標準版 SSL 憑證不適用交易擔保。