什么是中间证书?
中间证书,全称为:中间证书颁发机构,Intermediate Certificate Authority,是证书颁发机构(CA)为了自我隔离而颁发的证书。其作用是通过中间证书的私钥来签署最终用户SSL证书,通过中间根对另一个中间根进行签名,然后CA使用它来对证书进行签名。试想一下,如果CA直接从其根源颁发服务器证书,在这一过程中出现任何错误或者要求撤销每个使用root签名的证书,那么这个证书将立即不受信任。使用中间证书来增加安全层,并最小化误发布或安全事件。
首先,我们来看看浏览器是如何信任一个网站的SSL证书的:
使用浏览器访问一个安装了SSL证书的网站时,浏览器会查看该网站的SSL证书,并会使用证书提供的公钥来执行一个快速解密签名过程并追寻链接向上移动,对检测到的证书一一解密,直到最终检测到浏览器信任存储区中的根证书之一,此刻浏览器对SSL证书真实性的验证才算完成。在上述检测过程中,如果浏览器最终不能链接回它存储区的可信任根证书之一,那么它将不信任该SSL证书。
有时你会发现主流浏览器如Firefox或者Chrome对未安装中间证书的网站可能会作出此链接不受信任的提示,或者明明安装了安全证书的网站,用手机访问时还是会出现不安全的提示,其实这都是中间证书链不完整导致的。要解决这一问题,只需将中间证书合并至最终安装的证书里即可。
为什么需要中间根证书?
- 保护根证书。如果直接采用根证书签发证书,一旦发生根证书泄露,将造成极大的安全问题。所以目前根证书都要求离线保存,如果需要用根证书签名,则必须通过人手工方式,直接用根证书在线签发证书是不允许的。
- 区分不同类型的产品。针对DV,OV,EV等不同类型,不同安全级别的证书,CA会采用不同的根证书,一来便于区分,二来一旦出现问题,也便于区别处理,降低影响。中间CA证书一般都是支持在线签发证书的。
- 交叉验证。为了获得更好的兼容性,支持一些很古老的浏览器,有些根证书本身,也会被另外一个很古老的根证书签名,这样根据浏览器的版本,可能会看到三层或者是四层的证书链结构,如果能看到四层的证书链结构,则说明浏览器的版本很老,只能通过最早的根证书来识别。
如何找到中间证书?
1、邮件中包含中间证书:
通常CA在颁发证书时会将中间证书一同发送到您申请时填写的邮箱,比如:
Comodo证书:
- 如果您收到的证书包含下方五个部份,那么中间证书为红框高亮标出的两个;合并方法可查看Comodo证书合并及转换教程了解详情:
- 如果您收到证书只包含下方两个文件,那么CA已经帮您将中间证书进行了合并,后缀为”.ca-bundle”的这个文件即为中间证书包,将其合并至域名的证书文件中即可。
Symantec/Digicert/GeoTurst:Digicert、Symantec和Geotrust证书合并及转换教程 一文中为您详细的介绍了合并方法。
- 请检查收到的证书邮件,如果里面包含了中间证书,保存即可。
- 如果邮件中没有中间证书,那么可到Digicert官网自行下载:https://knowledge.digicert.com/generalinformation/INFO4033.html
2、通过工具下载中间证书:
如果您收到的邮件中不包含中间证书,或者由于时间久远中间证书文件遗失,不要着急,我们还可以通过一些工具来下载中间证书,比如:https://www.racent.com/download-cert-chain
更多SSL证书,请访问必盛互联SSL证书商城: https://www.bisend.cn/ssl-certificate