Gandi SSL 凭证常见问题

我们把许多使用者经常询问、但非技术性的问题都整理在这个页面上。如果您在使用 SSL 凭证时发生问题,您或许可以透过本页面找到问题的解答。如果您没有找到适当的解答,我们的 客户支援团队很乐意随时提供您必要的协助。

什么是 SSL 凭证?

SSL 是”Secure Sockets Layer”的缩写。SSL 凭证是一个安装在网路伺服器上的档案,其可供:

  • 凭证认证机构(Gandi)进行伺服器验证。
  • 确保网站访客与伺服器之间的资料传输之安全性以及验证资料的完整性。

当您决定为伺服器启用 SSL 凭证,您必须回答一系列的问题来证明您网站和公司之身份。您的网路伺服器之后会建立两组加密的数位金钥:一组公钥,一组私钥。

私钥 key ( .key 档) 仅供您自己知道。请务必不要将它提供给任何人。

公钥以 CSR (凭证签署请求,Certificate Signing Request)方式提供,其为一连串的字元所组成,其中包含了您的公钥资讯。此 CSR (.csr 档) 会在 Gandi 凭证生成时建立。公钥不需要保密,公钥的设计是用来公开分享。

Gandi 做为一个认证机构,会进行相关必要的检查,并验证您的凭证与网路浏览器,如此一来网路浏览器才能识别您的凭证,并在提供服务的伺服器(电子邮件、网站…)与电脑的网路浏览器之间建立一个加密的连结。

HTTPS 这些安全措施的协定方式。在网际网路上,您是透过 HTTP 的方式浏览非经安全保护的网站,而以 HTTPS 协定浏览经安全保护的网站,举例来说:

Gandi 非经安全保护的网站网址 : http://www.gandi.net

Gandi 经安全保护的网站网址 : https://www.gandi.net

您必须取得 root 帐号的存取权限才能在伺服器上使用 SSL 凭证。 您无法在没有取得 root 权限的情况下,以 Gandi AI 模式在 Gandi VPS 上安装 SSL 凭证。

为何我的 DNS 验证失败?

在订单处理中的页面中,您可能会看到以下的叙述:

步骤 2: 验证域名(您的域名)之权限,等待验证中

请于域名 DNS 区域档内加入此记录: BFFD4FAD76429FCAAB36521CA1D30EF1.www.example.com. 10800 IN CNAME CF1DCB91B7A36AEA62151041ACEFB10779F79693.comodoca.com.

如果您直接将我们在 Gandi 给您的那一行记录复制贴上,会出现这个错误讯息: OBJECT_DNS_RECORD+CAUSE_BADPARAMETER

要解决上述问题,请确定您已经将您的域名从记录内移除。举例来说,上述的记录应该如下:

BFFD4FAD76429FCAAB36521CA1D30EF1.www 10800 IN CNAME CF1DCB91B7A36AEA62151041ACEFB10779F79693.comodoca.com.

(上面中有 www 是因为范例中使用的凭证域名网址是 www.example.com。 如果凭证只是供 example.com 使用,那前面就不应该有任何东西存在,或如果是为了其他子域名,例如:admin.example.com ,就只会有 admin 。)

什么是凭证认证机构?

凭证认证机构 (简称CA) 是负责派发及分配与域名(及其子域名)进行连结的凭证给所有权人之机构。 凭证认证机构也负责指定凭证的有效日期,并制定已撤销和已过期的凭证列表。

由 Comodo 处理 Gandi 的凭证认证作业。

网路浏览器内有一份受信任的凭证认证机构之列表。每当 SSL 连结建立完成时,网路浏览器会检查伺服器的凭证是否由受信任的凭证认证机构所提供。

超过 99% 的网路浏览器能识别 Gandi CA 。

什么是中继 SSL 凭证?

如果没有中继 SSL 凭证, 凭证在 Firefox 浏览器中可能就无法正常'运作'。

Gandi 从一个 “中继” 的凭证来签发自己的凭证,或继承来自凭证认证机构其根凭证的信任。

此举可降低风险,因为 Gandi 所有的凭证都可以在不用撤销根凭证的情况下进行撤销及重新签发的动作,所以中继凭证也是可以受信任的,这也是为什么几乎所有的商业凭证供应商选择使用中继凭证的原因。

您可以在维基百科 Root_certificate 的文章内获取更多相关的资讯。

您会需要同时下载并安装 Gandi SSL 凭证 与 Gandi 中继凭证(又称操作型授权凭证),如此一来您网站的访客可以自动下载凭证并确认其信任链。如何进行上述步骤的操作说明可在凭证安装的页面上找到。

一个凭证能保护多少个伺服器的安全?

凭证提供安全性的服务,凭证是与域名进行连结,而不是与伺服器所提供的 IP 位址。

如果您的网站是透过多个伺服器进行代管/寄存,您只要申请一个凭证即可。您只需确定这些伺服器上有安装正确的域名凭证(及/或子域名)。

如果您要保障多个子域名的安全性,则您应选择 wildcard, 或‘多重位址’凭证。

否则凭证会出现错误。

我能不能在其他代管服务提供者所提供的主机上使用我的 Gandi SSL 凭证?

可以,您可以将它安装在任何你选择的伺服器上,与凭证进行连结的是域名,而不是任何特定之主机。

然而,为了确保凭证能验证无误,相对应的域名必须解析在安装该凭证的主机 DNS 内。

请注意,在大多数情况下,您要有伺服器的 root (或管理员)存取权限才能安装凭证 。

SSL 凭证的交易担保是什么意思?

为了保障终端客户的交易安全,您可以附加额外的保险防止凭证的安全防护被恶意模仿破解(进阶版以上方案的凭证才提供)。

顾客因凭证遭恶意模仿而被破解所造成的财务损失将由本保险赔偿支付。

在您附加这项服务之后,您就可以将我们凭证的 logo 置于网站,如此一来,您的顾客就知道在这网站上的交易是安全且保障的。

线上交易安全经保险理赔之保障可让您的电子商务以更安全的方式运行,您的顾客也是在更安全的环境下进行交易,进而提升您网站的整体价值。

什么情况下我才需要提供文件来验证确认我的凭证?

不同等级的 SSL 凭证会有不同的证明文件要求:

标准版 SSL 凭证 仅需您提供 Gandi 帐号内相关事宜,不需要其他额外的认证。

进阶版 SSL 凭证:

  • 如果您是个人,您需要提供居住证明及护照副本或附相片的身分证明。
  • 若您是公司或组织,您需要提供您在本国管理登记事项的公家机关经过认证之登记证明誊本。

商用版 SSL 凭证,您需要:

更多详细说明,请参照本页

验证确认需要多久的时间?

大部分的情况,在我们收到您的身分证明之后,验证确认程序会在 24 个工作小时以内完成,然后凭证就会签发下来。
如 Comodo 要求您提供额外的文件,验证确认的时间可能会延长。

我的验证确认未被受理处理。我该怎么办?

如果您已经先将 CSR 档送出,但您没有使用该域名(受 SSL 凭证保护)建立一个admin@ 电子邮件帐号,则您的验证程序将无法受理。

如有上述情况,请建立一个 admin@ 的电子邮件帐号,接着 联系客服支援团队。我们会重新发送电子邮件给您,让您的验证程序继续进行。

Gandi SSL 凭证能否适用于所有的网路浏览器上?

Gandi 的 SSL 凭证适用于大部分的网路浏览器,其版本如下表所示:

浏览器 版本
Microsoft Internet Explorer 5.01+
Mozilla Firefox 1.0+
Opera 7.0+
Apple Safari 1.2+
Google Chrome 1.0+
AOL 5+
Netscape Communicator 4.77+
Camino 1.0+
Konqueror (KDE)
Mozilla 0.6+

绿色栏位是专供商用版方案,只有在以下的网路浏览器才能显示:

浏览器 版本
Microsoft Internet Explorer 7+ (Vista)
Microsoft Internet Explorer 7+ (XP)
Opera 9.5+
Firefox 3+
Apple Safari 3.2+
Google Chrome 1+

我可以将 Gandi SSL Certificate 使用在 BaseKit/SiteMaker Simple Hosting 网站上吗?

请注意: 您必须拥有 root 存取权限才能安装凭证。 BaseKit、 SiteMaker 及 Gandi VPS 在 AI 模式底下不支援 root 存取。只有在 M 方案或更高阶的 Simple Hosting instance 上才能安装 SSL 凭证。

只要您拥有 root 权限或管理员权限就可以在伺服器上安装 Gandi SSL 凭证。您的伺服器不一定要是 Gandi 所代管的。

Gandi VPS 在专家 (Expert) 模式底下支援 root 存取,所以可以安装 Gandi SSL 凭证。

Gandi SSL 凭证是否支援主体别名 (SAN)?

目前尚无法支援,抱歉。

例外: 当域名 “example.com” 生成一个 SSL 凭证时,认证机构会自动为 “www” 子域名新增一个 X.509 域名做为主机别名, 意思就是 “example.com” 所使用的凭证同时可保障 “example.com” 及 ”www.example.com” 的安全性。

其他相关资讯 wildcard.

在验证 SSL 凭证时,应该选择哪个软体呢?

在提交 CSR 档时,需要注明建立 CSR 档时使用之软体:

sslsoftware-en.jpeg

凡所有以OpenSSL建立的 CSR 档,请选择列表上的Apache/ModSSL模组。通常使用 OpenSSL 框架之开放性原始码软体套件都是如此。

担保适用那些部份呢?

进阶版及商用版凭证的详细担保说明,请参照: SSL 合约 (pdf) 以及 Gandi 凭证实作说明 (pdf).

标准版 SSL 凭证不适用交易担保。

最后更改: 2017/09/29 10:01 由 Shu Wei L. (Gandi)