通常在获取到CA机构颁发的证书后,不应急于部署至服务器中,而未合并中级机构证书的证书在Firefox或者Chrome中会被提醒网站此链接不受信任,通常各CA都需要在服务器部署证书链时,要将中级证书合并,即能解决“此链接不受信任”等问题。
通常在获取到CA机构颁发的证书后,不应急于部署至服务器中,而未合并中级机构证书的证书在Firefox或者Chrome中会被提醒网站此链接不受信任,通常各CA都需要在服务器部署证书链时,要将中级证书合并,即能解决“此链接不受信任”等问题。
通常一份完整的证书内容包括三部分:用户信息、公钥、CA对证书信息的签名,证书链(Certificate Chain)依次包括CA根证书(通常内置在浏览器、操作系统中)、CA中级证书(可能不止一个)、CA颁发的公钥证书,如果部署的证书只包含了CA颁发的公钥证书,浏览器则认为这是一份不完整的证书。
Comodo证书
Comodo颁发的证书在邮件中能够找到AddTrustExternalCARoot.crt
、COMODORSAAddTrustCA.crt
、COMODORSADomainValidationSecureServerCA.crt
、mydomain.crt
总共4张证书
我们只要将COMODORSAAddTrustCA.crt
、COMODORSADomainValidationSecureServerCA.crt
、mydomain.crt这三个证书进行合并
cat mydomain.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt > mydomain_ssl.crt
SecTigo证书
因Comodo的SSL数字证书业务更名为Sectigo影响,原部分Comodo的证书颁发的证书需要调整合并规则,找到SectigoRSADomainValidationSecureServerCA.crt
、USERTrustRSAAddTrustCA.crt
执行合并命令
cat mydomain.crt SectigoRSADomainValidationSecureServerCA.crt USERTrustRSAAddTrustCA.crt > mydomain_ssl.crt
GeoTrust证书
GeoTrust颁发的证书包含公钥证书、中级证书,邮件中的体现为Web Server CERTIFICATE(公钥证书)、INTERMEDIATE CA(中级证书),将两段代码通过编辑器保存为.crt文件格式,执行命令
cat WebServer.crt INTERMEDIATE.crt > mydomain_ssl.crt
注意合并后的证书顺序是公钥、中级证书,此外使用代码编辑器也可以进行合并
代码编辑器合并
按照顺序,将各段数字证书如下排列,保存为 mydomain_ssl.crt即可完成部署(如果像Comodo多张中级证书,依次填入即可)