通常在获取到CA机构颁发的证书后,不应急于部署至服务器中,而未经合并证书的证书在Firefox或者Chrome中会被提醒网站此链接不受信任,那么解决这个问题很简单,只需要将中级证书合并即可。
通常一份完整的证书内容包括三部分:用户信息、公钥、CA对证书信息的签名,证书链(Certificate Chain)依次包括CA根证书(通常内置在浏览器、操作系统中)、CA中级证书(可能不止一个)、CA颁发的公钥证书,如果部署的证书只包含了CA颁发的公钥证书,浏览器则认为这是一份不完整的证书。
Comodo颁发的证书在邮件中能够找到AddTrustExternalCARoot.crt
、COMODORSAAddTrustCA.crt
、COMODORSADomainValidationSecureServerCA.crt
、mydomain.crt
总共4张证书
我们只要将COMODORSAAddTrustCA.crt
、COMODORSADomainValidationSecureServerCA.crt
、mydomain.crt这三个证书进行合并
cat mydomain.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt > mydomain_ssl.crt
GeoTrust颁发的证书包含公钥证书、中级证书,邮件中的体现为Web Server CERTIFICATE(公钥证书)、INTERMEDIATE CA(中级证书),将两段代码通过编辑器保存为.crt文件格式,执行命令
cat WebServer.crt INTERMEDIATE.crt > mydomain_ssl.crt
注意合并后的证书顺序是公钥、中级证书,此外使用代码编辑器也可以进行合并
按照顺序,将各段数字证书如下排列,保存为 mydomain_ssl.crt即可完成部署(如果像Comodo多张中级证书,依次填入即可)