证书解决方案常见问题
网站印章
什么是 Entrust Site Seal?我为什么要使用?
让访客知道您已采取措施确保其信息安全的最佳方法是使用 Entrust Secured Site Seal。只需点击 Entrust Secured Site Seal,访客便可验证您网站的真实性和证书状态。在网站上发布 Entrust Secure Site Seal 可让网站访客知道您致力于网络安全。除非您部署扩展验证,否则客户获得的唯一安全连接标志就是 Web 浏览器底部的小锁。客户可能不知道要找这把锁,但可以通过安全印章来确保。研究表明,使用网站印章时,放弃购物车的情况会减少,订单完成量也会增加。十多年来,Entrust 一直是公认值得信赖的安全品牌,提供分层安全解决方案,帮助提高消费者、企业和政府的信心。现在,您可以为自己的客户利用该品牌了。
我如何获取网站印章?
所有 Entrust 证书将与 Entrust 网站印章一起分发。您的证书申请者(技术联系人)将在您的证书订单完成后收到 Entrust 网站印章。如果您放错位置,Entrust 可以免费重新分发您的 Entrust 网站印章。
我的 Entrust 网站印章可以与我托管的其他网站一起使用吗?
不可以,Entrust 网站印章专为特定证书而开发。不能用于生成 Web 证书的特定网站以外的网站。
我可以安装多个版本的 Entrust 网站网章吗?
可以,Entrust 为您提供几个可修改的参数。您可以在网页上添加代码,以显示基于类似设计的不同网站印章。印章差异包括尺寸和颜色。有关 Entrust 网站印章 HTML 代码,请访问证书检索页面。 如果您不再收到证书检索电子邮件,请联系 Entrust 证书服务,他们将很乐意为您提供相关信息。
有法文版的 Entrust 网站印章吗?
是的。 您可以通过前往数字证书检索页面并选择法语选项来检索法文版 Entrust 网站印章。将为您生成代码,您将能够将代码添加到拥有 Entrust 网站印章的网页中。如果您不再收到证书检索电子邮件,请联系 Entrust 证书服务,他们将很乐意为您提供相关信息。
如何将我的 Entrust 网站印章更改为其他版本或更新版本?
为了将您的 Entrust 网站印章更改为其他版本或更新版本,您需要访问数字证书检索页面。您将看到许多不同的网站印章选项。选择您选择的印章,将为您生成一个版本。您可以在拥有新印章的网页上使用此代码。如果您不再收到证书检索电子邮件,请联系 Entrust 证书服务,他们将很乐意为您提供相关信息。
TLS/SSL 证书
浏览器如何信任 Entrust TLS/SSL 证书?
大多数浏览器自动、透明地信任 Entrust TLS/SSL 证书。 之所以建立此信任,是因为 Entrust 根证书嵌入到大多数主流浏览器和根证书程序中。
Entrust 使用什么大小的密钥?
在服务器上创建的公钥必须至少为 2048 位,具体取决于服务器软件。 此公钥将包含在您的 Entrust 数字证书中。 用于签署 Entrust TLS/SSL 证书的 Entrust 私钥是 2048 位。
我的 Entrust TLS/SSL 证书可以使用哪些浏览器?
我们颁发的 Entrust TLS/SSL 证书可以使用所有主流浏览器。 有关完整列表,请查看以下链接的兼容性页面: 数字证书 - 浏览器兼容性。
我的 Entrust TLS/SSL 证书可以使用哪些服务器?
Entrust 证书遵循行业标准和 RFC 的标准,我们将向服务器供应商 RFC 提供证书要求。 如果安装过程中有特殊要求或问题,请点击此处联系我们的技术支持团队
我需要 Entrust 链证书吗?
是。 所有有效日期超过 2010 年 12 月 31 日的证书都需要链证书。 所有扩展验证证书都需要链证书。 有关更多信息,点击此处。
如何联系 Entrust 证书服务,获取更多帮助?
您可以全天候联系 Entrust 证书服务支持部门*,请点击此处了解详情*,可能会收取费用,取决于合同或颁发。 全天候接听和审查所有来电
文档电子签名证书
Entrust 文档签名证书是什么?
Entrust 文档签名证书使用户能够对 Adobe® 和 Microsoft Office® 文档进行电子签名。 可视化信任指示器验证发布者的身份以及文档未被更改。 用户可以验证需要多个签名的敏感文档。 实时保证不仅是首次验证文档的真实性,而且贯穿整个生命周期。
获取文档签名证书有哪些步骤?
很简单。
第 1 步: 选择适合您的 DSC 证书。
第 2 步: 点击 Buy Now(立即购买)按钮,开始购买流程。 准备好授权、账单和技术联系信息。 您还必须提供域和公司信息。
第 3 步: Entrust 将开始信息验证流程。 我们严格的验证流程可能包括电话和受信任的第三方搜索以验证信息。 验证后,将把您的 USB 安全令牌发送给您,除非您需要 HSM 模块的证书。
第 4 步: 收到安全 USB 令牌后,您必须安装初始化令牌的软件包。 完成后,证书将在令牌上安装。 如果需要更多信息,请联系我们。
作用原理是什么?
有意创建认证文档的作者可以向 Entrust 注册。 验证注册人的身份信息后,他们将获得数字身份证,以便在 Adobe® 和 Microsoft® 产品中使用,将值得信赖的电子签名应用于文档。 打开文档签名证书后,文档顶部会立即显示信任对话框。 可视指示器使收件人能够验证签名的真实性以及每次打开文档签名后是否已更改文档。 根据收件人使用的软件解决方案和版本,对话框可能会有所不同,但一般来说如下所示:
- 本文档已通过使用 Adobe 信任流程的有效可信赖签名进行认证,作者不能否认。 经过认证的文档可能使用户能够填写表格或签名文档。
- 本文档已通过使用 Adobe 信任流程的有效可信赖签名进行签名,作者不能否认。
- 此文档使用不受信任的证书签名,无法验证。
- 签名后,本文档已被修改或篡改。
下载和签名文档签名证书的系统要求是什么?
目前,用于证书的 SafeNet 软件仅与 Windows 操作系统兼容。 初始化后,用户可使用 Internet Explorer 下载证书。
证书下载要求:
- Microsoft Windows 操作系统 - 7、8.1
- Microsoft Windows Server 操作系统 - 2008 和 2012 版本
- Microsoft Internet Explorer 10 和 11
- SafeNet Software - 购买后由 Entrust Datacard 提供
证书签名要求:
- Microsoft Windows 操作系统 - 7、8.1 和 10 版本
- Microsoft Windows Server 操作系统 - 2008 和 2012 版本
- Adobe Reader
- Adobe Acrobat
- Microsoft Office Word 和 Excel
- OpenOffice
- LibreOffice
- SafeNet Software - 购买后由 Entrust Datacard 提供
查看要求:
- Adobe Reader、Acrobat 或其他支持证书签名 PDF 文档的兼容 PDF 软件
- Microsoft Word 和 Excel
认证证书和签名证书有什么区别?
关键区别在于,认证的文档提供额外功能的能力: 支持在不中断验证的情况下对文档进行一些修改,例如表单填写;即使在启用 Acrobat Sandbox 的情况下也会进行验证,如果禁用,也可用于支持 JavaScript。 从完整性和真实性的角度来看,经过认证和签名的证书是相同的。
如果我的 Entrust 文档签名证书到期,已签名的文件会怎样?
在大多数情况下,签名将在证书到期后仍然有效,使文档在初次签名后很长时间内有效。 但是,您正在使用的软件可能被配置为允许签名过期。 在这种情况下,签名仅在配置持续时间内有效。
我和我的机构如何进行审查?
在颁发文档签名证书之前,通过严格的验证流程对注册人进行审查,以确保正确的身份。 Entrust 执行以下验证过程: 个人(无机构): 与机构无关联的个人将在文档签名证书上标注姓名。 Entrust 将验证通过传真或扫描收到的政府颁发的身份。 个人电话号码将通过值得信赖的第三方来源获得。 将使用查到的电话号码向订阅者拨打电话。 验证电子邮件将通过共享密钥确认订阅者的电子邮件地址。
机构内的个人或角色: 在这种情况下,证书适用于与机构相关联的个人。 证书中将标注个人和机构的名称。 Entrust 将使用值得信赖的第三方信息来源对机构的合法存在进行确认。 电话号码将通过第三方来源获得。 致电机构代表 (OR) 联系人,验证机构代表的雇佣情况,并确认订阅者的授权。 致电订阅者,确认请求。 Entrust 将通过共享密钥确认订阅者的电子邮件地址。 代表机构订购证书的机构: 在这种情况下,证书适用于将在证书中标出名称的机构。 证书中不会显示任何个人的姓名;但是,个人将被指定为证书的密钥保管人: Entrust 将使用值得信赖的第三方信息来源对机构的合法存在进行确认。 电话号码将通过第三方来源获得。 致电机构代表 (OR),验证其雇佣情况,并确认密钥保管人的授权。 致电密钥保管人,验证请求。 Entrust 将验证机构的电子邮件域。 Entrust Cloud: 对于 Entrust Cloud 的客户,验证必须包括对将履行本地注册机构 (LRA) 角色的管理员的授权: Entrust 将使用值得信赖的第三方信息来源对机构的合法存在进行确认。 电话号码将通过第三方来源获得。 致电机构代表 (OR),验证其雇佣情况,并确认本地注册机构的授权。 致电机构代表 (OR),验证其雇佣情况,并确认密钥保管人的授权。 Entrust 将验证机构的电子邮件域。
有哪些证书?
Entrust 提供四种不同的文档签名证书:
个人签名证书:
手动: 希望临时签名和认证文档的个人可使用这些证书。 例如,工作流程批准、法律文件、合同和信函。 证书分配给名字和姓氏及其电子邮件地址一起出现在签名中的个人。 此证书以安全令牌出售。
团体签名证书:
手动: 希望临时签名和认证文档的团体可代表团体使用这些证书。 这些以安全令牌提供的证书在签名中显示机构团体名称和电子邮件,而不是个人姓名。 旨在临时使用。 例如,销售部门可能会决定对其提案或 RFP 回复进行签名。
团体签名证书:
自动: 这些文档签名证书显示的签名属性与手动团体签名证书相同。 不同之处在于,这些文档旨在用于自动化流程(通常是 Adobe® Live Cycle),签名和认证文档。 此签名的典型用例是发票、帐户对账单、成绩单请求和确认。
企业签名证书:
自动: 企业签名证书旨在供公司使用,在签名属性中显示公司名称,而不是个人或团体的名称。
我为什么需要特殊硬件?
对文档签名证书提供商的要求是确保私有签名密钥的安全性。 利用电子签名技术,Adobe 产品可以向收件人保证经过认证的 PDF 文档是真实的,这些文档确实来自声明的作者,并且自创作以来,作者签名的部分文档内容未被修改。 因此,私钥生成并在符合 FIPS 标准的加密令牌存储,以确保密钥无法复制,从而保留不可否认性解决方案。 Entrust 包括出售的每个个人和团体证书经 FIPS 验证的加密 USB 令牌。 此密钥由密码保护,可以通过签名应用程序轻松访问。 对于企业电子签名,机构可以将证书下载到 HSM(硬件安全模块),该模块也符合 FIPS 标准。
哪些产品可以与 Entrust 文档签名证书一起使用?
我们支持版本 9 以来的所有版本的 Adobe Acrobat 和 Adobe Reader,以及支持的 Windows 版本上运行的所有 Microsoft Office 产品。 有待 Libre、Open Office 和 Bluebeam 的测试
与其他客户端证书有什么区别?
大多数客户端证书在已部署软件来验证和签名数字文档的机构内部运行良好。 通常情况下,PKI 客户能够应用电子签名,并由机构内部的同事对其进行验证。 在机构外部交换文档时,问题出现了。 许多收件人没有验证签名的技术,也没有配置该技术的技能。
Entrust 文档签名证书之所以不同,是因为解释这些证书的技术内置于无处不在的 Adobe® Reader 中。 在随时可用的应用程序和大多数台式电脑上使用签名的好处是,读者无需配置软件,也无需特殊技能。 此外,Entrust 文档签名证书可与其他办公文档(例如通过 Microsoft Office 产品生成的文档)一起使用。
我能重新颁发 Entrust 文档签名证书吗?
Entrust 文档签名证书可以在购买后 30 天内重新颁发给同一身份。 如果忘记密码、令牌放错位置(替换令牌需支付管理费)、密钥泄露或个人离开组织,证书可能会重新颁发。 如果订阅者离开机构,则应在不重新颁发的情况下吊销密钥。
重新颁发证书不应与回收证书混淆,这是 Entrust Cloud TLS/SSL Enterprise 中基于服务器的 TLS/SSL 证书的一个功能。 使用 TLS/SSL Enterprise 服务,管理员可以吊销证书,然后再次将证书重新颁发到另一台服务器,而不会消耗证书库存。 TLS/SSL Enterprise 的这项功能不适用于 Entrust 文档签名证书。
证书包含哪些信息?
证书信息因证书类型而异:
认证签名和批准签名有什么区别?
经过认证的文档证明了文档的内容,并证明其未以任何方式进行修改。 文档获得认证后,作者可以指定在证书不再有效之前可以对文档进行哪些更改。 这通常采取的形式是:
- 不允许更改
- 仅填写表格字段
- 允许为文档提供备注
- 当某人(不一定是作者)对文档进行签名以同意或批准文档时,将使用批准签名。 在所有情况下,对于批准和认证,文档都会在窗口顶部的蓝色栏中显示证书状态。
Multi-Domain EV TLS/SSL 证书
什么是“扩展验证”?
扩展验证是指证书颁发机构在颁发 TLS/SSL 证书之前使用的严格的行业标准验证方法。 CA/Browser 论坛发布了扩展验证指南。
什么是 EV(扩展验证)Multi-Domain TLS/SSL 证书?
由行业联盟 CA/Browser 论坛创建的扩展验证 (EV) TLS/SSL 证书。 这一新类别的证书是为了应对日益增多的网络钓鱼攻击威胁而设计的,目的是提高消费者对在线交易的信心。 只有在严格验证网站的身份后,才会向网站颁发 EV 证书。 Web 浏览器将通过突出明确的信任指标来反映这种更高级别的身份保证,例如 Internet Explorer 和 Mozilla Firefox 的绿色地址栏,以及最新版本的 Opera 和 Google Chrome 的高级绿色指标。
CA/Browser 论坛是什么?
CA/Browser 论坛是由证书颁发机构服务提供商、网络浏览器制造商和其他行业参与者组成的小组,他们聚集在一起,共同研究如何减少网络钓鱼威胁。 Entrust 曾担任该小组的主席,大力支持其工作。 更多信息,请参见 CA/Browser 论坛网站。
Entrust Multi-Domain EV TLS/SSL 证书会如何提高消费者的信心?
由于许多恶意网络钓鱼事件和在线欺诈事件的出现,消费者担心身份被盗,并希望保证他们输入个人数据的网站可以被信任。 如果消费者认为网站不受信任且他们的个人信息未加密,他们会离开网站并将其交易委托给另一家供应商。 Entrust Multi-Domain EV TLS/SSL 证书将显示突出一致的信任指示器,帮助消费者提高在线交易时的信心。 现在锁位于浏览器窗口的顶部而不是底部,如果网站安装了 Entrust Multi-Domain EV TLS/SSL 证书,地址栏的颜色将显示为绿色,并显示网站的身份和证书颁发机构的名称,让消费者知道他们可以放心购物。
谁可以购买 Entrust EV TLS/SSL 证书?
现在,许多商业实体都有资格获得 EV 证书:
- 私人机构: 非政府法人实体(无论所有权是未上市还是公开交上市),其存在是通过向注册成立的管辖区的法人机构提交文件(或行为)创建的。
- 政府实体: 政府经营的法人实体、机构、部门、部委或国家/地区政府的类似单位或国内的政治分支机构(例如州、省、市、县等)。
- 商业实体: 既不是私人机构也不是政府实体的实体。 包括普通合伙企业、非公司协会和独资企业等。
我该如何购买 Entrust Multi-Domain EV TLS/SSL 证书?
Entrust Multi-Domain EV TLS/SSL 证书将首先通过 Entrust 证书服务网站 https://www.entrust.com/products/digital-certificates/tls-ssl 提供,稍后还将通过我们的增强界面提供,该界面可帮助客户管理更大的证书池。
我可以将现有的 Entrust TLS/SSL 证书升级为新的 Entrust Multi-Domain EV TLS/SSL 证书吗?
是的。 请注意,参加促销活动的客户需要根据新的 EV 指南进行验证,然后才能发放证书。
Entrust Multi-Domain EV TLS/SSL 证书的最长生命周期是多久?
Entrust Multi-Domain EV TLS/SSL 证书的最长生命周期为 1 年(13 个月)。
Entrust Multi-Domain EV TLS/SSL 证书与当前的 Entrust TLS/SSL 证书有何不同?
主要区别在于 Entrust EV TLS/SSL 证书颁发之前会发生什么。 在颁发任何 Entrust TLS/SSL 证书之前,Entrust 会进行检查,以“审查”或验证申请人的身份。
在新的 EV 模式下,对申请 Entrust Multi-Domain EV TLS/SSL 证书的实体(例如公司或网站运营商)的验证将根据 CA/Browser 论坛定义的行业标准指南进行。 这与当前的做法不同,当前做法中,不同证书颁发机构的验证标准截然不同。 尽管大多数证书颁发机构都有严格的验证实践,但并非所有机构都有,这会破坏针对消费者交易的 TLS/SSL 的整体安全性。
使用“扩展验证”颁发的证书将包括对特定于 EV 的证书政策的引用。 每个证书颁发机构都有一个独一无二的政策和政策对象标识符 (OID)。 支持 EV 的浏览器在遇到根据他们所认可的 EV 政策 OID 颁发的证书时,行为会有所不同。
请注意,在技术层面,Entrust Multi-Domain EV TLS/SSL 证书与标准 X.509 证书没有区别,并且与旧版浏览器向后兼容。 Entrust Multi-Domain EV TLS/SSL 证书将包括有关该主题(颁发证书的实体)的更多信息,包括公司注册的管辖权。
我现在持有的 Entrust TLS/SSL 证书足以保护在线交易的安全吗?
从加密的角度来看,是的,您当前的 Entrust TLS/SSL 证书仍将导致加密的 TLS/SSL 会话。 但是,对在线交易的最大威胁本质上并不是加密技术,而是网络钓鱼。 网络钓鱼使消费者无法区分值得信赖的网站和冒名网站。
EV 计划旨在使消费者更容易区分值得信赖的网站和冒名网站。 从可用性的角度来看,随着消费者使用新的浏览器,并开始期待在交易时 Entrust Multi-Domain EV TLS/SSL 证书能够提供的强大的信任指示器,非 EV 证书的有效性将会下降。
我应该切换到 Entrust Multi-Domain EV TLS/SSL 证书吗?
如果您运营电子商务交易网站,或者如果您收集敏感或私人信息,则应考虑切换到 Entrust Multi-Domain EV TLS/SSL 证书。
网络钓鱼攻击是对消费者对互联网信任的真正威胁,Entrust Multi-Domain EV TLS/SSL 证书只有在广泛部署和使用的情况下才能成为解决方案的一部分。
浏览器在访问具有无效证书的网站或网络钓鱼站点时会如何响应?
响应可能会因浏览器类型而有所不同,但通常,红色地址栏可能表示您访问了已知的网络钓鱼站点。 红色警报可阻止立即访问举报的网络钓鱼站点,但如果用户愿意还是可以继续访问网站。 红色地址栏还可能表示证书可能存在问题,或者证书可能不是由值得信赖的证书颁发机构颁发的。
Internet Explorer 向用户发出突出的警告,并建议用户不要访问该页面。 如果用户忽略警告,继续访问,地址栏将变成红色,出现红色警告“安全徽章”。
我是网站运营商。 Entrust Multi-Domain EV TLS/SSL 证书对我有何影响?
对于网站运营商而言,需要考虑的一些更改包括将有关订阅者的更多详细信息添加到证书中,包括:
- 域名
- 机构名称
- 注册成立的管辖区
- 城市或城镇
- 州或省(如有)
- 国家/地区 - 强制性
某些 CSR 生成工具可能使您无法将此信息添加到证书中。 但是,一旦证书订购完成,Entrust 将能够将此信息添加到您的 Entrust Multi-Domain EV TLS/SSL 证书中。 请注意,EV 标准不允许使用通配符证书,会影响您可能需要购买的证书数量。
我可以获得 Entrust Multi-Domain EV TLS/SSL 通配符证书吗?
不可以,EV TLS/SSL 指南不允许获得通配符证书。 在某些情况下,使用 subjectAltName 扩展可以提供与通配符证书相同的好处,这在 EV 指南中是允许的。
在哪些情况下,我的 Entrust Multi-Domain EV TLS/SSL 证书将被吊销?
在发生以下任何一种情况时,Entrust 必须吊销 Entrust Multi-Domain EV TLS/SSL 证书:
- 订阅者请求吊销其 Entrust Multi-Domain EV TLS/SSL 证书。
- 订阅者表示,原始的 Entrust Multi-Domain EV TLS/SSL 证书请求未获授权,也不会追溯授予授权。
- Entrust 会获得合理证据证明订阅者的私钥(对应于 Entrust Multi-Domain EV TLS/SSL 证书的公钥)已被盗用,或者 Entrust Multi-Domain EV TLS/SSL 证书被滥用。
- Entrust 会收到通知或以其他方式知道订阅者违反了订阅者协议规定的任何重大义务。
- Entrust 会收到通知或以其他方式知道法院或仲裁员已经撤销了订阅者使用 Entrust Multi-Domain EV TLS/SSL 证书中列出的域名的权利,或者订阅者未能续订域名。
- Entrust 会收到通知或以其他方式知道 Entrust Multi-Domain EV TLS/SSL 证书中包含的信息发生了重大变化。
- 证书颁发机构自行决定 Entrust Multi-Domain EV TLS/SSL 证书不是根据本指南或证书颁发机构的 EV 政策的条款和条件颁发的。
- 如果 Entrust 确定 Entrust Multi-Domain EV TLS/SSL 证书中显示的任何信息都不准确。
- Entrust 基于任何原因停止运行,也没有安排另一个 EV 证书颁发机构为 EV 证书提供吊销支持。
- Entrust 根据这些指南颁发 Entrust Multi-Domain EV TLS/SSL 证书的权利已过期或被吊销或终止 [除非证书颁发机构安排继续维护 CRL/OCSP 存储库]。
- Entrust 分配给该 Entrust Multi-Domain EV TLS/SSL 证书的私钥已被泄露。
- Entrust 会收到通知或以其他方式知道订阅者已被作为被拒绝方或被禁止的人添加到黑名单中,或者根据证书颁发机构运营管辖区的法律在禁止的目的地运营。
Entrust 的 EV 证书问题报告和响应能力是什么?
报告
如果您因上述任何原因希望吊销 Entrust Multi-Domain EV TLS/SSL 证书,您可以填写我们的在线投诉表与 Entrust 联系。 除了 Entrust Multi-Domain EV TLS/SSL 证书吊销之外,订阅者、依赖方、应用软件供应商和其他第三方也可以填写我们的在线投诉表联系我们,以举报投诉或涉嫌私钥泄漏,EV 证书滥用或其他类型欺诈、泄露、滥用或与 EV 证书相关的不当行为。
调查
Entrust 将在二十四 (24) 小时内开始调查所有证书问题报告,并根据以下标准决定是否有必要吊销或采取其他适当措施:
- 所提出问题的性质;
- 收到的关于特定 EV 证书或网站的证书问题报告的数量;
- 申诉人的身份(例如,执法官员提出的关于某网站从事非法活动的投诉比消费者声称他们从未收到订购的货物的投诉更加重要);以及
- 现行的相关立法。
响应
Entrust 将保持持续的全天候内部响应任何高优先级证书问题报告的能力,并在适当的情况下将此类投诉转交给执法部门和/或吊销作为此类投诉主题的 Entrust Multi-Domain EV TLS/SSL 证书。
电子邮件安全证书
双方是否需要 Entrust 安全电子邮件证书才能通信?
不需要,双方只需要 X.509 证书(公钥或私钥,任何供应商)
加密 — 双方都需要 x.509 s/mime 证书
签名 — 只有签名者需要证书,验证者不需要
如果双方正在加密,如何交换证书?
没有发布证书的中央目录,因此希望加密的用户需要手动交换证书。 这通常通过向收件人发送签名的电子邮件来完成,电子邮件会“获取”或收集加密证书
这些私钥为我们保留了备份,Entrust 会如何保护它们?
这些密钥存储在 Entrust 的安全设施中,受到任何客户无法自行提供的安全级别的保护;这与我们的公共证书业务所提供的保护一样。 与我们的证书颁发机构密钥有相同级别的保护,包括物理安全(房间访问)、逻辑安全(双重访问托管)和存储安全(使用证书颁发机构密钥进行加密和完整性保护)。这并不是任何 Entrust IT 员工都能够获得的。
重新颁发的证书会持续一年吗?
不,重新颁发的有效期与原始证书相同,因为是免费的。 只有续订才能提供新的期限,因此将使用另一个许可证/清单。
我可以使用安全电子邮件证书进行 MS Office 文档签名吗?
是的,您可以。
这个 ID 提供不可否认性吗?
为了提供全自动化的密钥备份,Entrust 会在 Entrust 服务器上生成私钥,并以 P12 格式将其发送给最终用户。 由于签名密钥是双用单密钥对,因此也是在 Entrust 服务器,而不是在客户端计算机上生成的。 这可能会否定不可否认性。 我们建议您与法律团队讨论此问题。
我可以使用我的个人电子邮件帐户获取公司为我购买的证书吗?
不可以。 由于 SMIME Enterprise 证书是 II 类证书,这意味着 Entrust 对机构和电子邮件域进行验证。 管理员批准或拒绝证书请求。 如果您的请求与账户中 Entrust 已验证的电子邮件域不匹配,则无法申请证书。 因此,由于我们无法验证“hotmail”或“gmail”是否是归贵机构所有的域,因此您无法向这些类型的电子邮件地址颁发 SMIME Enterprise 证书。 但是,您可以在 hotmail 帐户下颁发 SMIME Personal 证书,因为我们不验证电子邮件域。
云
什么是 Entrust 证书服务?
Entrust 证书服务提供自助服务工具,可帮助简化 TLS/SSL 证书的采购和管理。 作为集中管理的自助服务系统,该服务通过发出到期通知和支持客户全天候访问颁发证书,减少管理麻烦,并减少证书意外过期的风险。 Entrust 证书服务的好处如下:
- 简化了注册
- 行政管理和委派
- 客户端管理(适用于外包商、网络托管商、ISP)
- 按需服务
- 节省成本
- 审核和报告工具
- 零占用空间的管理员客户端
- 证书类型的选择和灵活性
- 强大的验证流程
- 有关 Entrust 证书服务的其他信息,请访问 此处。
如何获得 Entrust 证书服务的许可证?
Entrust 证书服务有两种许可选项: 订阅和单位。
订阅: 支持在订阅期限内管理特定数量的并发证书。 订阅帐户支持选择特定的证书到期日和重复使用证书许可证,以最大限度地提高使用率。 证书过期或停用后,其许可证会返回清单供将来使用。 订阅到期后,订阅许可证不支持使用证书。
单位: 支持管理特定数量的证书年度许可证(单位)。 单位可用于颁发一至四年的证书。 单位必须在购买后一年内使用,且无论何时部署,都可以在证书有效期内使用。
我该如何购买 Entrust 证书服务?
Entrust 证书服务可通过访问 www.entrust.net 在线购买或通过以下方式联系 Entrust 销售代表:
电话: 1-888-690-2424(北美境内免费电话)
电话: 1-613-270-3411(北美以外地区)
电子邮箱: [电子邮件受保护] 您可以使用采购订单 (PO) 或信用卡(Visa、万事达卡和美国运通卡)购买 Entrust 证书服务。
我该如何注册 Entrust 证书服务?
如果在线购买,则需要通过订单流程提供注册信息。 如果通过采购订单购买,您将通过电子邮件收到有关如何注册服务的说明。 在注册期间,您需要提供以下信息: 公司名称、域信息、管理员、授权联系人、技术联系人和账单联系人。 此信息用于建立帐户和创建用户登录凭证。
我可以为我的客户管理证书吗?
可以,您可以为您的客户申请证书。 在开始之前,如果您还没有客户的公司名称,则需要从 Entrust 购买客户公司名称。 Entrust 将与您的客户联系,以便我们可以验证客户请求中的所有信息。 我们还将征得他们的同意,您有权代表他们管理证书。
我的帐户有到期日吗?
有,对于拥有订阅帐户的客户,根据您的订阅,帐户有一年、两年或三年的有效期,从登录帐户的第一天算起。 登录 Entrust 证书服务时,可以在合同信息页面查看到期日。 对于拥有单位(非订阅)的客户,您的账户将在您上次购买证书单位后一年到期。 您将在到期前约 1 个月零 10 天收到来自 Entrust 证书服务的电子邮件通知。
如何获取服务帐户登录凭证?
注册该服务后,Entrust 将向每位技术联系人提供有关如何建立帐户登录 ID 的说明。一旦确定了 ID,客户应通过 https://cloud.entrust.net登录。
如何续订 Entrust 证书管理服务?
要续订服务,请通过以下方式联系您的 Entrust 销售代表:
电话: 1-888-690-2424(北美境内免费电话)
电话: 1-613-270-3411(北美以外地区)
电子邮箱: [电子邮件受保护]
Entrust 证书服务提供哪些证书类型?
Entrust 证书服务提供多种证书产品类型,以满足您的 TLS/SSL 要求。 这些产品包括: Standard OV TLS/SSL、Advantage OV TLS/SSL、扩展验证 (EV)、统一通信 (UC) 和 Wildcard OV TLS/SSL 证书。 有关证书类型的更多信息,请参阅以下内容:
https://www.entrust.com/products/digital-certificates/tls-ssl
如何在我的环境中安装 TLS/SSL 证书?
有关证书安装说明,请访问我们的支持 Web 服务器页面,然后选择环境中的 Web 服务器。 请注意: Entrust 不提供自定义应用程序的文档或支持。
什么是 Entrust 扩展验证 TLS/SSL 证书?
扩展验证 (EV) TLS/SSL 证书是由行业联盟 CA/Browser 论坛创建的相对较新类别的 TLS/SSL 证书。 为了帮助提高消费者对在线交易的信心,这类证书旨在应对网络钓鱼和中间人攻击日益增多的威胁。 只有在严格验证网站的身份后,才会向网站颁发 EV 证书。 Web 浏览器将通过突出明显的信任指示器来反映这种更高水平的身份保证,例如 Internet Explorer 7、Firefox 3 和 Opera 9.5.EV 证书中使用的地址栏的绿色背景订阅者名称,可在 Entrust 证书服务中获得。
如何联系 Entrust 证书服务,获取更多帮助?
如果您还有其他问题或需要信息,请致电 866-267-9297(北美地区)(1-613-270-2680(北美以外地区))联系 Entrust 证书服务支持团队,服务时间为周一至周五上午 8 点至下午 6 点。 美国东部时间。 您也可以发送电子邮件至 [电子邮件受保护]
发现
此解决方案只能找到 TLS/SSL 证书吗?
Entrust Discovery 将发现暴露于网络服务的证书,如果保护端口上的 IP 地址,我们将能够检测到。 包括 TLS/SSL 证书、设备证书等。
由于 Entrust 证书的管理是免费的,当我将非 Entrust 托管证书切换为 Entrust 证书时,如何获得使用过的许可证的积分?
您必须切换到 Entrust 证书,然后重新运行 Discovery Agent,并确保将结果导入 Manager。 Manager 将检测到是否发生了更换,并将许可证计入当时的许可证数量。
云模型和本地模型之间是否存在功能差异,还是相同的软件?
云模式提供单点登录功能,需要配置的项目较少(电子邮件发件人、许可),但在其他方面是相同的产品。
为什么我必须在(客户)本地安装 Discovery Agent?
为了能够查询内部 IP 地址,查询的来源需要留在本地。 通过本地安装 Discovery Agent,您可以发现面向内部和外部的证书。
Discovery Agent 可在哪些操作系统上运行?
Discovery Agent 可在 Linux Red Hat 5.5+ 和 Windows (XP、7、2003、2008 32 和 64 位)上运行。
我需要备份 Discovery Agent 吗?
不可以。 如果卸载 Discovery Agent 或丢失了正在运行的计算机,则始终可以重新安装 Discovery Agent 并重新运行扫描。 您最可能丢失的是保存的扫描以及已发现但尚未上传到 Manager 的数据。 如果您计划删除 Discovery Agent,请务必先导出到 Manager。
证书注册
在申请 Entrust 服务器证书之前,我该做些什么准备?
为确保 Entrust 能够高效地处理您的 TLS/SSL 或 WAP 服务器证书的申请,请确保具有以下信息:
- 您生成证书签名请求 (CSR)。 有关证书签名请求的更多信息,请参见 CSR 常见问题解答部分。
- 你拥有自己的域名: 如果域名未向贵公司、母公司或子公司注册,则 Entrust 将无法处理您的服务器证书。
- 可通过第三方搜索目录找到的企业的电话号码。
- 联系信息是准确的: 在申请过程中,您需要提供三个联系人:
授权联系人必须是贵机构的高级成员,并且有权代表贵机构请求证书。 Entrust 服务器证书需要信息时,会与此人联系。
技术联系人将在颁发时收到证书,并收到有关证书续订和更新的通知。 技术联系人通常是安装证书的 Web 或 WAP 服务器的日常运营负责人。 如果您的服务器由第三方或 ISP 托管,则应将机构内的员工列为技术联系人。
账单联系人将收到有关购买 Entrust 证书的所有账单信息。
为了更好地满足小型机构(25 位或更少的员工)的需求,Entrust 证书服务将支持技术和授权联系人为同一人。 如果贵机构的员工人数超过 25 人,则需要提供单独的联系点,否则您的申请将无法通过验证流程。
Entrust 证书的 Entrust 验证流程是什么?
要申请 Entrust 服务器证书,您需要提供以下信息:
- 有效的付款信息(有效的 Entrust 采购订单号、有效的信用卡信息或促销代码)
- 授权联系人
- 技术联系人
- 账单联系人
- 证书签名请求 (CSR)
提交申请后,验证以下信息:
- 关于贵机构的信息(官方注册、地址、电话号码等?)
- 贵机构可以使用 CSR 中包含的域名。
- 授权公司聘用的技术联系人
在线同意书
如果技术联系人为分包公司(如 ISP)工作,Entrust 证书服务将向授权联系人转发同意书。 同意书还将确认授权联系人已阅读并同意 CPS 和订阅协议的条款。
这些信息是如何验证的?
为了处理您的证书,Entrust 证书服务将验证:
- 贵公司的信息与可公开访问的信息。
- 域名注册商的域名所有权
- 通过致电授权联系人聘用技术联系人。
为什么 Entrust 需要第三方电话号码来源?
当 Entrust 向任何实体颁发 TLS/SSL 证书时,证书将利用 Entrust 根证书的信任。 根证书嵌入客户端用于通过互联网访问网站的互联网浏览器。 通过颁发证书,Entrust 向访问在站点安装证书的客户证明,他们可以相信,在网站上提交的信息可以安全地传输给证书中确定的合法企业。 此证明意味着 Entrust 在验证以下方面进行了尽职调查:
- 客户所处理的机构是以证书中机构名称标识的名称运营的合法机构
- 经过验证的机构是域的注册所有者
- 收到证书的个人是第 1 步中验证的机构的授权代表
为了正确验证上述机构,Entrust 或其 Verification Agent 必须能够通过有效的第三方电话来源联系机构。 此要求可确保 Entrust 联系相应的机构获取必要的权利证明信息。 还支持 Entrust 确认申请证书的个人是否有权代表机构这样做。 这些步骤有助于保护您的机构免受欺诈性使用 TLS/SSL 或 WAP 证书中名称的影响。
什么是第三方电话号码来源?
第三方电话来源是公开可用的资源,其中可以列出向企业或个人注册的电话号码。 第三方来源的一些示例包括 Directory Assistance(555-1212 或 411)、电话簿(白页或黄页)或在线电话簿。
谁可以成为技术联系人?
技术联系人将在颁发时收到证书,并收到有关证书续订和更新的通知。 技术联系人通常是安装证书的 Web 或 WAP 服务器的日常运营负责人。 如果您的服务器由第三方或 ISP 托管,则应将机构内的某位人员列为技术联系人。 Entrust 将向授权联系人转发同意书。 同意书将确认技术联系人效力于授权机构,还将确认授权联系人已阅读并同意 CPS 和订阅协议的条款。
谁可以成为授权联系人?
授权联系人必须是贵机构的高级成员,并且有权代表贵机构请求证书。 证书颁发后,此人将收到证书副本,如果需要进一步的信息来处理您的请求,与此人联系。
为什么要联系我的授权联系人?
Entrust 或 Dun 和 Bradstreet 将致电授权联系人,验证技术联系人的雇佣情况。
如果我在申请过程中收到“无效的 CSR”消息,我该如何继续?
有关所有与 CSR 相关的问题,请参阅我们的 CSR 常见问题解答部分。
为什么 Entrust 需要验证我的域名?
根据 CA/浏览器论坛要求,Entrust 和所有证书颁发机构必须要求订阅者证明所有权和域控制权,才能颁发证书以保护域或网站。 这样可以确保 Entrust 向授权的域所有者颁发证书。 Entrust 使用两种主要方法验证域名所有权和控制权的证明:
- 电子邮箱: Entrust 将向注册的域所有者发送电子邮件,以确认他们授权订阅者向 Entrust 申请证书。 在某些情况下,由于域隐私限制,此信息可能不可用。
- DNS 身份验证: Entrust 可以为订阅者提供一个随机值,订阅者可以在其域 DNS 记录的特定部分发布该值。 这将向 Entrust 证明订阅者可以控制域 DNS 记录。
我该如何查看我的申请状态?
Entrust 为客户提供在线表格,以查看申请状态。 此表格可在客户订单跟踪页面找到。 您需要输入订单号。 您的订单号是在线申请期间提供的,并在发送给您的申请相关电子邮件的主题行中引用了
获得 Entrust 证书需要多长时间?
我们的标准全球 SLA 为 3-5 个工作日。 如果您在申请中提供的信息不足(如贵机构没有您申请的域名),则处理时间会更长,或申请会被拒绝。
如何知道我的 Entrust 服务器证书申请是被接受还是拒绝了?
验证过程完成后,Entrust 将通知您。 如果您的申请被接受了,您可以通过连接到电子邮件通知(发送给技术和授权联系人)中的 URL 领取 Entrust 服务器证书。
如果我的申请被拒绝了,我该怎么办?
如果 Entrust 证书申请被拒绝了,您可以与 Entrust 证书服务支持团队合作,确定提交新申请的最佳方式。 可能导致申请失败的主要原因是:
- CSR 中的域名未注册到授权机构。
- 证书申请中的地址不是贵公司的有效地址。
- CSR 格式不正确。
- 贵公司申请中的地址无公开注册的电话号码。
- 授权联系人不确认技术联系人的雇佣情况。
什么是 Dun 和 Bradstreet D-U-N-S 编码?
Dun 和 Bradstreet D-U-N-S 编码是由 Dun 和 Bradstreet 分配的非指示性编码,用于识别独特的商业实体、访问 D&B 产品以及链接相关的实体和数据。
如果我没有 D-U-N-S 编码,我的订单会被处理吗?
您不需要拥有 Dun 和 Bradstreet D-U-N-S 编码即可申请 Entrust TLS/SSL 证书。 如果贵机构确实有 D-U-N-S 编码,则有助于加快对机构和订单的验证。
我该如何检索 Entrust TLS/SSL 证书?
订单完成后,Entrust TLS/SSL 证书将通过电子邮件发送给订单技术联系人。 您还可以通过输入订单号来使用“客户订单跟踪”页面,然后在此页面的“证书”部分选择“单击此处检索证书”链接。
如何联系 Entrust,获取更多帮助?
如果您还有其他问题或需要其他信息,请致电 866-267-9297(1-613-270-2680(北美以外地区))联系 Entrust 证书服务支持团队,服务时间为周一至周五上午 9 点至下午 5 点(美国东部时间),或发送电子邮件至 [电子邮件受保护]
TLS/SSL 证书的重新颁发、续订和吊销
我什么时候需要续订 Entrust TLS/SSL 证书?
Entrust 建议您在当前的 Entrust 证书到期前 30 天开始续订流程。
Entrust TLS/SSL 证书到期时会收到通知吗?
Entrust 将在 Entrust TLS/SSL 证书到期日前一个月通知 TLS/SSL 证书订单申请中列出的授权联系人。 Entrust 还将在 Entrust TLS/SSL 证书到期日前两周通知 TLS/SSL 证书订单申请中列出的技术联系人。 到期通知电子邮件将包含有关续订 Entrust TLS/SSL 证书的说明。
续订 Entrust TLS/SSL 证书需要多少钱?
在续订过程中,您将获得基于先前订单的定价,有关续订的问题,请单击此处开始续订流程。如何续订 Entrust TLS/SSL 证书? 您可以访问以下网址续订 Entrust TLS/SSL 证书:https://www.entrust.com/products/digital-certificates/tls-ssl/renewals
如果我已经在使用另一个证书颁发机构的 TLS/SSL 证书,我该如何向 Entrust 续订我的 TLS/SSL 证书?
无论以前的证书是否由不同的证书颁发机构颁发,都无法通过 Entrust 证书服务续订证书。 如有任何疑问,我们的客服团队将随时为您提供帮助,请单击此处获取支持。
续订验证过程会更快吗?
对于续订证书,Entrust 必须执行与购买新证书一样的步骤。 但是,Entrust 可以参考之前验证过的信息以加快续订过程。 完成续订所需的时间还取决于订阅者完成各个步骤所需的时间,例如,接受 Entrust 订阅者协议电子邮件、完成域控制验证证明以及出于授权目的接听任何电话。 在北美,续订验证过程通常需要 3 至 5 个工作日。
Entrust 的 TLS/SSL 证书更换/重新颁发政策是什么?
Entrust 有证书更换/重新颁发政策,规定 Entrust 证书服务可以在原始颁发日期的三十 (30) 天内提供一次性、免费的证书更换。 如果您在初次更换后需要更换证书,或者 TLS/SSL 证书颁发已超过三十 (30) 天,则必须在 buy.entrust.net 购买新证书
请注意: 我们的网站和注册指南强调对证书密钥对的备份。 私钥(用于解密数据的密钥文件)始终保留在服务器上。 Entrust 无权访问此文件。 这是在服务器上以特殊方式生成的密钥文件。 Entrust 颁发的文件是用于加密数据的签名公钥。 根据不同的服务器,密钥对应始终备份到可移动媒体存储中。 没有私钥,公钥将无法正常作用。 如果您有权访问原始服务器、O/S 备份,或者可以恢复包括正常工作的 TLS/SSL 站点的 O/S 图像,则可以按照服务器的“备份 TLS/SSL 证书和私钥”部分进行操作。 如果您有资格免费获得重新颁发,请按照以下步骤操作:
- 请在服务器上创建新的密钥对/CSR。
- 使用 Entrust 证书服务支持记录服务请求。
- 请在描述中包含订单号、域名和重新颁发原因并粘贴到 CSR 中。 您也可以将 CSR 直接通过电子邮件发送至 [电子邮件受保护]。 不得在文件名中使用 .com。
- 您的申请将得到验证,如批准,Entrust 将通过电子邮件重新颁发证书,电子邮件将发送给技术联系人。
可以吊销 Entrust TLS/SSL 证书吗?
可以,可以吊销 Entrust TLS/SSL 证书。 在以下情况下,证书应被吊销:
- 私钥丢失或被盗
- 证书内容不再有效(例如,公司更改了名称)
- 证书被滥用
- 或其他被认为应吊销的情况
如果被重新颁发的证书取代,Entrust 将自动吊销您的 Entrust TLS/SSL 证书。 如果出于任何原因,Entrust 需吊销您的 TLS/SSL 证书,您将收到吊销通知。
如何吊销 Entrust TLS/SSL 证书?
如果您需要吊销 Entrust TLS/SSL 证书,请访问:https://www.entrust.net/customer/revoke_form.cfm。 申请此证书时,您需要提供密码。 如果您忘了密码,请联系 Entrust 证书服务支持 TLS/[电子邮件受保护],获取给我们发传真的信函模板。 如何联系 Entrust,获取更多帮助?
请点击此处,联系我们的技术支持团队。
Multi-Domain EV TLS/SSL 证书吊销信息和报告政策
在哪些情况下,我的 Entrust Multi-Domain EV TLS/SSL 证书将被吊销?
在发生以下任何一种情况时,Entrust 必须吊销 Entrust Multi-Domain EV TLS/SSL 证书:
- 订阅者请求吊销其 Entrust Multi-Domain EV TLS/SSL 证书。
- 订阅者表示,原始的 Entrust Multi-Domain EV TLS/SSL 证书请求未获授权,也不会追溯授予授权。
- Entrust 会获得合理证据证明订阅者的私钥(对应于 Entrust Multi-Domain EV TLS/SSL 证书的公钥)已被盗用,或者 Entrust Multi-Domain EV TLS/SSL 证书被滥用。
- Entrust 会收到通知或以其他方式知道订阅者违反了订阅者协议规定的任何重大义务。Entrust 会收到通知或以其他方式知道法院或仲裁员已经撤销了订阅者使用 Entrust Multi-Domain EV TLS/SSL 证书中列出的域名的权利,或者订阅者未能续订域名。Entrust 会收到通知或以其他方式知道 Entrust Multi-Domain EV TLS/SSL 证书中包含的信息发生了重大变化。
- 证书颁发机构自行决定 Entrust Multi-Domain EV TLS/SSL 证书不是根据本指南或证书颁发机构的 EV 政策的条款和条件颁发的。
- 如果 Entrust 确定 Entrust Multi-Domain EV TLS/SSL 证书中显示的任何信息都不准确。
- Entrust 基于任何原因停止运行,也没有安排另一个 EV 证书颁发机构为 EV 证书提供吊销支持。
- Entrust 根据这些指南颁发 Entrust Multi-Domain EV TLS/SSL 证书的权利已过期或被吊销或终止 [除非证书颁发机构安排继续维护 CRL/OCSP 存储库]。
- Entrust 分配给该 Entrust Multi-Domain EV TLS/SSL 证书的私钥已被泄露。
- Entrust 会收到通知或以其他方式知道订阅者已被作为被拒绝方或被禁止的人添加到黑名单中,或者根据证书颁发机构运营管辖区的法律在禁止的目的地运营。
Entrust 的 EV 证书问题报告和响应能力是什么?
报告
如果您因上述任何原因希望吊销 Entrust Multi-Domain EV TLS/SSL 证书,您可以填写我们的在线投诉表与 Entrust 联系。 除了 Entrust Multi-Domain EV TLS/SSL 证书吊销之外,订阅者、依赖方、应用软件供应商和其他第三方也可以填写我们的在线投诉表联系我们,以举报投诉或涉嫌私钥泄漏,EV 证书滥用或其他类型欺诈、泄露、滥用或与 EV 证书相关的不当行为。
调查
Entrust 将在二十四 (24) 小时内开始调查所有证书问题报告,并根据以下标准决定是否有必要吊销或采取其他适当措施:
所提出问题的性质;
收到的关于特定 EV 证书或网站的证书问题报告的数量;
申诉人的身份(例如,执法官员提出的关于某网站从事非法活动的投诉比消费者声称他们从未收到订购的货物的投诉更加重要);以及
现行的相关立法。
响应
Entrust 将保持持续的全天候内部响应任何高优先级证书问题报告的能力,并在适当的情况下将此类投诉转交给执法部门和/或吊销作为此类投诉主题的 Entrust Multi-Domain EV TLS/SSL 证书。