证书链更新

㈠ 建行U盾的证书到期如何更新

1、打开中国建设银行，点击左侧“个人网上银行登录”。

㈡ 部分客户端访问IIS服务器时，证书链中的中级证书过期怎么办

这种情况通常发生在IIS服务器上。导致该问题的原因是服务器上存在多张可回提供信任关系答的中级证书，且其中有已过期的中间级证书。
如果客户端PC系统中证书存储区没有新的中级证书而只有已经过期版本的中级证书的话，客户端浏览器不会主动从服务器上下载新的中级证书文件，而只通过已过期的中级证书去验证服务器证书的有效性。导致客户端报中间级证书已过期错误。
解决方法：删除服务器上计算机账户中“中级证书颁发机构”里已过期的证书，并更新最新的中级证书文件，强制客户端下载最新的证书链文件，使客户端只能通过一条最新的证书链来验证服

㈢ 工行u盾证书如何更新

U盾证书有效期为5年，到期免费更新后可继续使用，无需重新办理。您可通过以下方式更新U盾证内书：
1.自助更容新：请您登录工行网上银行，选择“我的网银-安全-安全管理-U盾-证书下载/更新”功能，在证书到期前90天或到期后1800天内更新。若为通用U盾，还可登录工行手机银行，选择“我的-安全中心-更多-安全介质管理-U盾证书更新”功能，在证书到期前90天或到期后30天内更新。
2.柜面更新：请您本人携带有效身份证件、开通网银的银行卡及U盾到全国任意营业网点进行证书更新。

（作答时间：2019年6月12日，如遇业务变化，请以实际为准。）

㈣ SSL证书过期后如何更新续期

一般由受信任的CA机构颁发的SSL证书都是有有效期的，基本不超过2年。如果网站ssl证书即将过回期答或者已经过期，就要立即更新，避免引起不必要的损失。
第一，继续续期
可以继续找原来的CA机构重新签发一张相同的ssl证书。这里的流程就比较简单，由于你在第一次申请ssl证书的时候，相关CA机构已经对你的网站域名或企业信息审核过，所以，只需根据你上一张证书的信息，重新签发一张有效的ssl证书即可，基本当天就能完成。
第二，更换证书

一、网络搜索沃通申请SSL证书续费。
二、按申请流程验证域名、组织者信息。
三、验证信息通过后，拿到SSL证书替换之前过期的SSL证书，重启网站服务器。
友情提醒一下，不论换什么类型的ssl证书，建议选择由权威的CA机构颁发的证书比较有保障，如Symantec、GeoTrust、Comodo、DiGicert以及WoSign SSL证书等国内外大品牌都是值得信赖的。

㈤ 如何更新移动证书

您好，证书到期前3个月至到期后270天内，您可以操作证书更新，更新成功后证书有效期自更新之日起重新计算。 ①如果系统在登录专业版时自动提示更新证书，点击"确定"即可，等一小时后重新登录使用。 ②也可登录专业版，点击右上方"专业版管理"-"证书管理"-"证书更新"（7.0版专业版，点击右上角“设置-证书管理-证书更新”），选择更新后退出专业版，大约1个小时左右可重新登录专业版。 ③若更新成功，系统会自动提示已成功下载更新的证书。【专业版更新期间请不要重启电脑、断开网络（可以退出专业版程序），建议也不要着急拔掉ukey】

如果还有其他问题，建议您可以咨询“在线客服”https://forum.cmbchina.com/cmu/icslogin.aspx?from=B&logincmu=0。感谢您的关注与支持！

㈥ windows7 在哪设置更新根证书

Microsoft 在 Microsoft Windows 的不同版本中推出了新的根更新机制。这些机制都逐渐开始致力分发较少的根证书，而是使分配根证书是必需的而分发通过 Windows 根证书程序尽可能平稳顺畅。若要了解根更新机制中的区别，将 Windows 版本分为两个类别是最方便的方式：

支持自动根的操作系统版本更新的单独的根证书

依赖于较早的、 可选的根元素的操作系统版本更新的包 (包含所有当前分布式的根证书的包)

在 Windows 客户端 Sku，Windows Vista 或更高版本完全支持自动根更新机制。建议早于 Windows Vista 版本的 Windows 下载可选根目录更新包，其中包含所有当前分布式的根证书。

Windows Vista 和 Windows 7

Windows Vista 或更高版本上的根证书分发通过自动根更新机制。即，它们是通过根证书分发。当用户进入一个安全网站 (例如，通过使用 HTTPS SSL)，读取安全电子邮件 (S/MIME)，或下载 ActiveX 控件，它是签名 (代码签名)，然后遇到一个新的根证书时，则 Windows 证书链验证软件检查 Microsoft 更新根证书。如果软件找到根证书，则软件下载当前证书信任列表 (CTL)。CTL 包含程序中的所有受信任的根证书的列表，并验证存在列出了根证书。然后，它将指定的根证书下载到系统并在 Windows 受信任根证书颁发机构存储中安装证书。如果找不到根证书，证书链未完成，并且系统会返回一个错误。

对用户来说，成功的根更新是无缝的。用户不会看到任何安全性对话框或警告。下载将自动进行。此外，为 Windows Vista 或更高版本中，客户端 Sku 支持每周预取从 Microsoft 更新，以检查有更新的根证书属性 (例如，扩展的验证 (EV)、 代码签名，或服务器身份验证属性，即会添加到根证书的证书属性)。

Windows XP

Windows XP 不完全支持自动根更新机制。已经存在于用户的系统上的根证书时，它不会更新不论是否可在 Microsoft 更新根证书的副本已更改。Windows XP 也不支持的每周预提取证书属性从 Microsoft 更新功能，并在 Windows XP 上安装新的根证书属性的唯一方法是通过安装的根更新软件包。

建议在运行 Windows XP 的用户下载和安装根更新包，更新他们的根证书。根证书作为可选根更新包 – 包含每个根证书分发 Windows 根证书程序的可执行文件传递对于 Windows XP，通过 Microsoft 更新。Windows XP 用户可以选择每次更新，并将其由 Microsoft 更新的下载程序包。或者，也可以选择在更新时自动下载的根更新程序包。每年，大约三至四次或每季度更新可选根更新软件包。

Windows Server 2003 和 Windows Server 2008 中，Windows Server 2008 R2

Windows Server 2008 和更高版本，而不是 Windows Server 2003，则会启用自动根更新机制。Windows Server 2003 仅部分支持自动根更新机制。(这是不同于在 Windows XP 上的支持。和根更新程序包适用于 Windows XP Sku 仅用于客户端，因为它不是针对 Windows 服务器 Sku。但是，根更新包可能会下载并安装 Windows 服务器 Sku，受以下限制的约束。

如果您在 Windows 服务器 Sku 上安装根更新软件包，您可能会超过在 TLX 或 SSL 握手中想客户端报告根列表时 Schannel 可以处理的根证书数量的限制，因为在根更新软件包中分发的根证书的数量可能超过该限制。根证书更新时，受信任的 Ca 列表显著增大，并可能变得太长。列表然后被截断，并且可能导致问题的授权。这种行为也可能导致 Schannel 事件 ID 36885。在 Windows Server 2003 中，不能大于 0x3000 的发行者列表。

如果您需要在网站上的客户端证书，或者如果您在 Windows Server 2003 中使用 IAS，客户端无法建立连接。

注意您只有在 Windows 服务器上启用 SSL 客户端身份验证，将应用这些限制。

在断开连接的环境的根更新软件包安装

建议在断开连接环境中 (例如，位置自动根更新机制无法工作，因为连接到 Microsoft 更新不可用) 运行 Windows 的客户端或服务器 Sku 的系统应该安装根更新软件包。根更新程序包将安装 Windows Vista 和 Windows 7 在断开连接的环境中的一种解决办法。但是，我们不建议已通过网络连接到 Microsoft 更新的系统安装的根更新软件包，因为自动根更新机制将适用于它们。

您可以使用组策略将根证书分发到一组服务器在断开连接的环境中。

Windows Vista Crypt32.dll 资源文件中包括一组受信任第三方根证书，这些证书可以用作回退，与 Windows 更新的连接不可用时。触发自动根更新后，它会尝试从网络上下载的受信任第三方根证书。在离线的环境中，网络检索失败，和 CAPI 检查 Crypt32.dll 中的根证书的资源。如果根目录，则使用和安装在根存储区中。Windows 7 的类似行为。

如果禁用自动根更新，则不检索根尝试。因此，不会安装根目录。请注意，Crypt32.dll 中的资源包括那些已存在于根程序操作系统发行版之前的一次的证书。在以后添加任何根证书中不存在该资源，和此类证书都可以仅通过根更新包。

㈦ 证书怎么更新

1、打开IE选工具/Internet选项/安全/自定义级别，在设置中选“没有证书或只有一内个证书时不提示”，选容“启用”按确定。

2、打开IE选工具/Internet选项/高级/在设置中去掉“对无证站点证书发出警告”和“检查发行商的证书吊销”和“检查服务器证书吊销”前的勾，按应用确定重启试试，具体哪一个管用，你实践看看。

3、或换火狐或Opera、谷歌等浏览器试试，这些都是不用IE做内核的，如果是IE有问题，还原一下系统或重装IE。

㈧ 有ssl证书和ssl证书链可以更新服务器上apache的ssl吗

不可以，还需要私钥。

解释原因：

1. SSL证书组成包括：CA根证书（证书链）、证书（域名证书）、私钥（密钥）组成。

2. CA根证书（证书链）、证书（域名证书），这是颁发机构给您。

3. 私钥（密钥），是自己提交CSR请求生成的，当然也有的也是颁发机构提供。

解决办法：补充私钥后然在补齐服务器的SSL证书。