各位是否注意到自己的SSL证书链可能不完整

种植业生产人员 · 发表于 2022-1-17 23:37:34

本帖最后由种植业生产人员于 2022-1-17 23:36 编辑

在配置华为云CDN时上传SSL证书提示证书链不齐全
然后Google了下，我的理解是这样

完整的证书公钥应该包含：
根证书>中间证书>域名证书
ROOT>CA>xxx.com

中间证书可能有多层
每层证书格式应该是这样
[ol]

-----BEGIN CERTIFICATE-----

xxxx

-----END CERTIFICATE-----

[/ol]复制代码
所以，一个完整的证书至少有三段这样的代码构成

之所以配置不完整的证书在浏览器中没提示异常，我猜是浏览器缓存了根证书和中间证书。

有描述不对的地方还请各位大佬指正

reizhi · 发表于 2022-1-17 23:39:02

技术文章支持下
老站长应该都懂

hanada · 发表于 2022-1-17 23:39:20

根证书不用服务器发，发了也是白发。。。中间证书要不要发取决于客户端系统是否内置这份中间证书，一般来说都会带上中间证书

HOH · 发表于 2022-1-17 23:41:52

OCSP表示不知中间证书为何物

konololi · 发表于 2022-1-17 23:42:53

完整呀，
我都是用fullchain.pem

nisekoi · 发表于 2022-1-17 23:44:50

以前一直直接用的单证书。浏览器可以认，然后有的小鸡上curl 不认。以为是小鸡的openssl套件太老了。我就直接忽略了。直到openclash 也不认。必须要勾选跳过tls验证才行。才知道证书是要拼接使用的

种植业生产人员 · 发表于 2022-1-17 23:45:06

reizhi 发表于 2022-1-17 23:39

技术文章支持下
老站长应该都懂
哈哈不对的地方还请指正

webadmin · 发表于 2022-1-17 23:39:00

如楼上朋友所述，大部分程序都包含至少含根证书的三段，如acme.sh，实际可以删掉根证书，保证中间证书和及以下层级有就能完美支持所有客户端

种植业生产人员 · 发表于 2022-1-17 23:45:20

hanada 发表于 2022-1-17 23:39

根证书不用服务器发，发了也是白发。。。中间证书要不要发取决于客户端系统是否内置这份中间证书，一般来说 ...
感谢科普

种植业生产人员 · 发表于 2022-1-17 23:46:13

nisekoi 发表于 2022-1-17 23:44

以前一直直接用的单证书。浏览器可以认，然后有的小鸡上curl 不认。以为是小鸡的openssl套件太老了。我就 ...

		自动登录	找回密码
密码			立即注册