最新公告
  • 欢迎您光临旗鱼小站,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 如何补全 SSL 证书链?(含申请免费泛域名 SSL 证书方法)

    当下人们对安全性的要求越来越高,对于网站而言加个绿锁(SSL 证书)就显的很重要,特别是有交易往来的网站尤为迫切,但是有时候就会发现,添加了绿锁反而出现了错误,导致网站打不开,在 Android 客户端最为明显:

    那么,明明是权威机构正常签发的证书,在电脑上开也是正常的,为什么会出现错误呢?其实在第二张截图(通过 QQ 浏览器访问)已经提示得很清楚了,证书链不完整!

    一、证书的组成

    我们知道完整的证书内容一般分为 3 级,服务端证书 – 中间证书 – 根证书,即 SSL Certificate, Intermediate CA 和 Root CA,这 3 级构成了一个完整的证书链。

    • SSL Certificates(blog.vircloud.net):用来加密传输数据的公钥的证书,一般就是我们申请到的用于 https 加密的证书。
    • Intermediate CA(COMODO RSA Domain Validation Secure Server CA):用来认证公钥持有者身份的证书,即确认用户 https 使用的上述证书是由 Intermediates 签发的。
    •  Root CA(COMODO SECURE):用来认证 Intermediate CA 是合法证书的证书,通常都已内置在操作系统或浏览器中。

    简单来说,SSL Certificates 证书上面几级证书都是为了保证 SSL Certificates 证书未被篡改,保证是 CA 签发的合法证书,进而保证 SSL Certificates 证书中的公钥未被篡改。

    二、证书的认证

    上面说到,操作系统或浏览器中已经预置了一些受信任的根证书颁发机构和某些中间证书颁发机构,SSL 证书在被验证时最终要验证其根证书是否可信,即是否已被内置,如果网站证书的根证书在浏览器可信任根证书列表里或者中间证书颁发机构在可信其证书列表里,那么网站就是可信的。 以本站为例,简单来说,就是认证证书时会从 blog.vircloud.net 开始,一层层验证 COMODO RSA Domain Validation Secure Server CA、COMODO SECURE,最终 COMODO SECURE 在系统或浏览器中是被信任的,那么就会在地址前显示小绿锁。 由于大多终端证书都不是由根证书签发的,而是由三级或多级结构构成的,浏览器无法通过用户证书直接验证其根证书,浏览器就会报告网站的证书来自未知授权中心,这时中间证书即证书链文件起了作用,证书链文件告诉了浏览器用户证书的上级证书机构即中间证书,浏览器再通过中间证书验证其上级根证书是否为可信。 总结一下,证书的签发和认证可以用下图来概括:

    在用户证书里面我们会找到这样的信息,Authority Info Access(权威信息访问),通过这里面的 URL ,我们可以获得这个证书的颁发者证书,即中间证书,就是说我们在部署 SSL 证书时没有把证书链文件(中间证书)部署进去,浏览器依然可以通过证书上面的 url 信息访问到中间证书,继而验证根证书。

    然而,部分浏览器特别是 Android 手机浏览器,似乎并不支持这种方式获得中间证书,这就造成了即使我们的证书是权威机构签发的并且电脑访问没有问题,到了手机浏览器就提示证书不受信任或未知授权中心,这个时候我们要做的就是补全证书链。

     三、补全证书链

    需要补全证书链,很大原因也是签发机构签发证书时,是单独提供了用户证书,导致用户也只部署了用户证书,若未做兼容性测试,只在电脑上验证,是很难发现证书部署有问题的。 在第二部分我们讲到了证书的组成,由于常见的根证书已经内置了,所以不需要额外操作,我们要做的就是将中间证书添加到用户证书中,同样的根据完整证书结构:

    -----BEGIN CERTIFICATE----- 
    用户证书 
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE----- 
    中间证书 
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    根证书 
    -----END CERTIFICATE-----

    我们在证书机构下载到中间证书后,将其补到用户证书尾巴即可。 当然了,由于中间证书是公开的,所以我们也可以利用现成的工具去补全:

    四、附:申请免费泛域名 SSL 证书

    1、申请地址

    ASSL.SPACE AutoSSL:俄文,自备翻译
    しらSSL:中文,每日限 12 张

    2、申请方法

    申请前请确保已开通域名邮箱,否则无法申请。

    ① 生成证书请求文件 csr 直接利用现成的工具生成或者利用 openssl 命令行生成:

    工具:雷铭 SSL 在线生成 CSR

    命令行:

    # openssl req -out youdomain.csr -new -sha256 -newkey rsa:2048 -nodes -keyout youdomain.key

    ② 填写信息

    根据页面提示填写相关信息,除了邮箱一定要是真实的可接收邮件的,其他的尽量真吧,以 しらSSL 为例:

    ③ 签发证书

    信息填好就可以直接点申请了,中间会提示验证域名,选择合适的邮箱验证即可,然后到邮箱根据收到的邮件核准签发,之后等待十几二十分钟即可收到证书邮件。

    旗鱼小站.我们不生产资源,我们只是大资源的搬运工
    旗鱼小站 » 如何补全 SSL 证书链?(含申请免费泛域名 SSL 证书方法)

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。

    发表评论

    售后服务:

    • 售后服务范围 1、商业模板使用范围内问题免费咨询
      2、源码安装、模板安装(一般 ¥50-300)服务答疑仅限SVIP用户
      3、单价超过200元的模板免费一次安装,需提供服务器信息。
      付费增值服务 1、提供dedecms模板、WordPress主题、discuz模板优化等服务请详询在线客服
      2、承接 WordPress、DedeCMS、Discuz 等系统建站、仿站、开发、定制等服务
      3、服务器环境配置(一般 ¥50-300)
      4、网站中毒处理(需额外付费,500元/次/质保三个月)
      售后服务时间 周一至周日(法定节假日除外) 9:00-23:00
      免责声明 本站所提供的模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: 1262500034@qq.com),我们会及时删除,给您带来的不便,我们深表歉意!

    Hi, 如果你对这款模板有疑问,可以跟我联系哦!

    联系作者
    • 1224会员总数(位)
    • 2079资源总数(个)
    • 12本周发布(个)
    • 0 今日发布(个)
    • 247稳定运行(天)

    提供最优质的资源集合

    免费资源 精品源码