很多站长在部署SSL的时候,都会遇到提示证书链不完整,原因如下:
浏览器的处理
现代的浏览器都有证书自动下载的功能,但很多浏览器在安装后是使用系统内置的证书库,如果你缺失的那张CA
证书,在系统的内置证书库中不存在的话,用户第一次访问网站时会显示如下情况:(以Chrome
为例)
即使你的证书确实是可信的,但依旧会显示成不可信,只有等到浏览器自动把缺失的那张CA
证书从网上下载下来之后,访问该网站才会显示成可信状态。
硬件设备的处理
大量的硬件设备并不会像浏览器一样下载CA
证书,如果你缺失的CA
证书不再这些硬件设备的内置证书库中,那么使用这些硬件设备访问网站就会一直显示你的域名是不可信状态。
修复
其实修复的办法很简单,就是在部署证书的时候,把那张缺失的CA
证书一并部署。目前一般的证书签发机构在签发证书的时候会把该CA
证书一并打包。但如果确实缺失了这张CA
证书也不要慌,MySSL
能够帮你补全证书链。
使用单独的补全工具
证书补全工具传送门
该工具支持输入域名和上传证书,如果使用输入域名(支持非443端口)的方式,并且您的域名使用双证书策略,修复结果就会如图所示,该工具会对双证书对进行补全(如果双证书都存在缺链的情况)。