前言:
因为 CA/B Forum 的 BR 基线要求以及 Microsoft、Mozilla、Apple、Google 各大浏览器操作系统商有密钥生命期要求,根CA不允许超过15年期限,所以各家 CA 厂商有根证书轮替机制,通过自家或外部 旧根CA 交叉,兼顾安全性与兼容性的平衡。
证书层级及工作原理如下:
但 Microsoft Windows 服务器 IIS 存在特殊处理机制(可以理解为BUG),不会安装 PKCS#12 中的证书链,而是从操作系统 根证书 > 中间证书 > 最终证书 的方式来匹配操作系统中的证书链,由此,可能您直接安装PFX后,IIS 服务器返回的证书链会存在兼容性问题。
(您从我司下载的证书实际证书链)
(Windows服务器返回的证书,缺失了 根证书 CA(G1) 对 根证书 CA(G2) 的交叉)
对于这种因微软 Windows 替换证书链导致网站 HTTPS 的兼容报错,可以通过本教程所示的方式来解决。
注:
其它发行版本的 Windows 导入流程基本大同小异,但界面可能略有不同。
1. 请按 Win+R,输入 mmc 并回车或单击 确定,以打开 Microsoft Management Console (简称 mmc):
2. 单击文件,然后选择 添加/删除管理单元(M) 选项:
3. 在 添加或删除管理单元 对话框左侧 可用的管单元(S),选择 证书,点击窗口正中间的 添加(A) 按钮:
4. 选择 计算机帐户(C):
5. 选择计算机中,在这个管理单独将始终管理: 中选择 本地计算机(运行此控制台的计算机)(L),将其添加到控制台:
6. 确保右侧 所选管理单元(E) 下面的节点 控制台根节点 中有出现 证书(本地计算机) 节点:
7. 下面我们可以导入中间证书,右键 中间证书颁发机构 > 所有任务(K) > 导入(I) :
8. 在 证书导入向导 对话框,点击 下一步(N):
9. 点击 浏览(R) 按钮:
在您购买的证书 zip 文件的 IIS(PFX、PKCS12)/ 格式文件夹下面 chain/ 文件夹下选择中间证书 ,然后单击 证书导入向导 对话框中的 下一步(N) > 按钮导入到您的计算机上。
10. 导入向导将提示您将证书放入单个存储中。 将所有的证书放入下列存储(P) 确保选中 中间证书颁发机构。单击 下一步(N) 按钮:
11. 中间证书已成功导入,我们可以点击 确定(O) 或 OK 完成本次导入向导:
12. 若 IIS(PFX、PKCS12)/ 格式文件夹下面 chain/ 文件夹存在其它中间证书,请重复第7步,用类似步骤导入后续证书。
13. 导入完成后,至此,请重启 Windows 服务器和 IIS 服务;若问题仍未解决,请联系客服获得支持。