SSL证书错误啥原因

Posted 2023-03-17

错误一：域名验证失败

解决办法：请确认使用了正确的域名验证方法，并正确的完成了验证。

使用邮箱验证：首先确保您使用的是网站管理员邮箱，即任选以下前缀的邮箱：admin@域名，administrator@域名，webmaster@域名，hostmaster@域名，postmaster@域名。请不要使用申请者的个人电子邮箱，否则订单无法提交，也无法成域名验证。

使用DNS验证：请到域名解析中添加指定的内容，确保DNS记录值与订单信息中提供的内容相匹配，并确保这条记录可以公开访问。

使用文件验证：请到域名的根路径上新建指定的路径并放置验证内容，请确认添加的路径和放置的内容与订单信息中提供的内容相匹配，并确保该路径链接可以公开访问。

错误二：私钥丢失

解决办法：重新签发证书。如果您发现私钥丢失，并确定电脑存储器上已找不到的情况下，请在第一时间重签证书，避免私钥丢失带来的数据泄露风险。

如果是在锐成信息平台申请的SSL证书，凡在证书有效期内重签SSL证书均不收取任何费用。

错误三：CSR无效

解决办法：重新生成CSR。重签证书生成CSR时，请确保域名与原CSR中的域名保持一致。一个CSR只匹配一个私钥，请不要重复使用同一个CSR。

CSR中的信息可以使用工具解码出来，您可以使用锐成信息的免费解码工具，即CSR文件在线验证工具来检查CSR中填写的信息是否正确。此外，证书申请的前/后如果有多余的空格和破折号，也会使CSR证书失效。

错误四：通用名称不匹配

解决办法：当提交通配符证书订单时，请确认域名是*.domain.com这种格式，*号不可省略，否则会收到错误提示：无效的域名格式。当申请非通配符证书时，如果填写了*.domain.com这种格式，同样也会收到报错：无效的域名格式;非通配符域名请直接填写为domain.com。

如前所述，* 代表您可以使用此类证书保护的所有子域名。

错误五：公钥和私钥不匹配

解决办法：重新生成CSR文件和私钥，并安全保存。在申请证书时您可能多次生成了私钥和CSR文件，或提供的CSR和私钥并不是同时生成的，这将导致公钥私钥不匹配。这种情况下，需要重新生成CSR文件和私钥，然后提交服务商申请重新签发SSL证书，替换之前的证书方能使用。

参考技术A 原因一：这是因为证书不在浏览器厂商的受信任的列表中。可通过手动添加证书安装到浏览器的“信任列表”就可以了。
方法：浏览器中选项→内容选项卡→证书-→导入即可。
但是上述的方法只适用于自签证书，而且浏览站点的每一台设备都需要这种操作，并且自签证书存在较大的安全风险，因此还是建议使用权威CA机构颁发的ssl证书，如GeoTrust ,Symante、Comodo等。
原因二，网站服务器所使用的ssl证书不是由全球信任的CA机构颁发。
方法：因此推荐选择国际认证的证书，如Symantec、Geotrust、Comodo以及RapidSSL等
原因三，ssl证书没有得到正确安装，需要检查一下是否已经删除了以前存在或者测试的证书，若确认网站的证书是正确无误的话，请重启webserver。
原因四：网站证书已过期或还未生效。
分析：出现这种情况一般是电脑系统日期错误，另一种就是证书以及过了有效期，则需要续费。
方法：可查看该证书信息的有效起止日期，确定证书是否在有效期内，如在的话需查看电脑日期是否正确。否则就是第二种原因，ssl证书不在有效期内，需尽快联系证书颁发厂商，进行续费。 参考技术B 问题1：此网站出具的安全证书不是由受信任的证书颁发机构颁发的。
原因和解决办法：服务器正在使用的SSL证书，没有通过正式的CA颁发。推荐购买GlobalSign SSL,网购信 SSL ,维瑞信 SSL通常是因为没有正确安装了证书，请再检查一下是否删除了原来的测试证书，如果网站使用的证书是正确的，请重新启动网站进程。
问题2：此网站出具的安全证书是为其他网站地址颁发的。
原因和解决办法：一个SSL证书所对应的域名是一个全域名FQDN( Fully Qualified Domain Name )，如果证书中的域名是www.domain.com，则通过其他相近的域名：web.domain.com，app.domain.com，domain.com，系统都会报告和证书中的域名不匹配。
问题3：我访问网站看到的证书不是我安装的那张。
原因和解决办法：请检查，在服务器上相同的IP和相同的端口上，只安装了一张证书，SSL协议之允许一个IP上一个端口返回一张证书。要解决这个问题，可以通过分配不同的端口号，或者不同的IP地址来解决这个问题。
问题4：本页面包含有不安全的内容。
原因和解决办法：如果一个页面需要通过HTTPS访问被访问，则其中所有的元素都必须是HTTPS方式，如果有：图片、JS脚本，FLASH插件是通过HTTP方式去调用的，就会出现这个错误，最常见的，就是调用flash播放插件，将http改成HTTPS即可，刷新后测试SSL问题有没有解决。
问题5：此网站出具的安全证书已过期或还未生效。
原因和解决办法：这个标识网站使用的SSL证书已经过期，请先检查网站证书的有效期，如果网站证书有效期在本日以后，则请检查本地电脑的日期设置，是否正确。如果证书过期了，请尽快联系我们客服，续费！就能处理好SSL错误了。

Visual Studio 证书错误“清单设计器无法导入证书”：是啥原因？

【中文标题】Visual Studio 证书错误“清单设计器无法导入证书”：是啥原因？

【英文标题】：Visual Studio certificate error "the manifest designer could not import the certificate": What is the reason?Visual Studio 证书错误“清单设计器无法导入证书”：是什么原因？

【发布时间】：2022-01-03 22:04:25

【问题描述】：

我目前正在开发一个 WinUI 3 应用程序，但我相信应用程序类型的详细信息对于我的问题并不重要。

应用程序附带一个“包项目”，用于使用 MSIX 发布应用程序：

在包项目的“Package.appxmanifest”文件的编辑器中，有一个“Packaging”选项卡，其中有一个“Choose certificate”按钮，用于选择“.pfx”证书文件。

我是如何获得“.pfx”文件的： 当 Windows 证书存储的应用程序打开时，我的 IT 部门登录了我的机器。在那里，我们在“自己的证书”下添加了一个新的“代码签名”证书，但它不是由我颁发的，而是由 IT 部门颁发的。他们告诉我，当我发布用它签名的应用程序时，客户端机器也应该信任这个证书，因为它是由他们颁发的，所以它有一个有效的信任链。后来我根据我现在尝试使用的证书导出了一个 pfx 文件。

现在，在 Visual Studio 中的“打包”选项卡上选择此 .pfx 文件后，我收到以下错误消息：

很遗憾，“清单设计者无法导入证书”错误消息没有提供问题的确切原因。

我很确定我的证书有一个有效的日期并且也是为“代码签名”而制作的。

我已经发现有其他用户想知道如果出现此消息如何修复证书。但似乎没有人知道如何得知确切的问题。 当我在 Visual Studio 中选择证书并出现此错误时，有什么方法可以使用 Visual Studio 或 Powershell 或其他工具告诉我证书的确切问题是什么？我想要比“导出的 .pfx 证书有问题”更详细的信息，我可以提供给我的 IT 部门。

我知道我可以在打包项目的项目文件中指定此设置，以阻止错误出现：

<EnableSigningChecks>false</EnableSigningChecks>

但我也很想知道确切的问题是什么。谢谢。

其他信息： 为了检查 pfx 证书文件，我还执行了“certutil”命令（带有 -v 选项），如下所示：https://superuser.com/a/580698/543294 在大文本转储文件中，我找到了一个颁发者，我也在受信任的根证书列表中找到证书管理应用程序的权限。

【问题讨论】：

您是否编辑了 Package.appxmanifest 中 <Identity> 元素的 Publisher 属性以匹配证书的 Subject 属性？

在“打包”选项卡上，“出版商”标签旁边有一个文本框。文本框的内容是“E = MYEMAIL”，这个文本框是灰色的/禁用的，所以我猜它不是要更改的，而是根据所选证书填充的。 Package.appxmanifest 文件中 元素的值与 TextBox 中的值相同。但是，正如我的问题中所指出的，我正在寻找让系统告诉我这个问题的方法。

在我的问题的第一个版本中，我没有正确解释我是如何获得 .pfx 文件的，对此我深表歉意。我添加了一个新部分“我如何获得“.pfx”文件”。

【参考方案1】：

您是否编辑了 Package.appxmanifest 中元素的 Publisher 属性以匹配证书的 Subject 属性？

这不应产生上述错误。在最坏的情况下，它可能让您构建包然后由于这种不匹配而无法安装它，或者它可能无法构建包。

我怀疑 IT 为您提供了他们生成的代码签名证书（而不是从经过认证的供应商处购买）。如果您计划仅在公司内部部署您的应用程序，这非常好，因为他们可以将该证书部署到公司的所有其他机器上，因此这些机器信任它。

但是，如果证书确实是由 IT 生成的，并且它们尚未部署到您的计算机上，VS 可能会看到这不是受信任的证书并可能会出现此错误。

您可以通过打开 certmgr 控制台并在 Trusted Root Certification Authorities 配置单元中搜索证书来检查证书是否受信任。

如果不存在，请双击 PFX 文件和 follow the wizard（来自步骤 #4）进行安装。

【讨论】：

我想我没有正确解释我是如何获得证书的，抱歉。发生的事情是他们在 Windows 证书存储的应用程序打开时登录了我的机器。在那里，我们在“自己的证书”下添加了一个新的“代码签名”证书，但它不是由我颁发的，而是由 IT 部门颁发的。后来我根据我现在尝试使用的证书导出了一个 pfx 文件。我现在将更改问题描述。感谢您的宝贵时间。

我执行了“certutil”命令（带有 -v 选项），如下所示：superuser.com/a/580698/543294 在大文本转储文件中，我找到了一个颁发者，我也在受信任的根证书列表中找到当局。你指的是那个？