证书链合并

最新推荐文章于 2025-06-13 15:11:11 发布
转载 最新推荐文章于 2025-06-13 15:11:11 发布 · 2.4k 阅读 · 4
文章标签:

#运维

本文介绍如何正确配置SSL证书链以确保浏览器信任服务器证书。包括根证书、中间证书及服务器证书的组合方式,以及如何合并.crt与.cer文件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

  浏览器报错的证书链的问题,我们一般会有三种证书: RootCA.crt(rCA,被信任的根证书)、IntermediateCA.crt(mCA,某些厂商有多个中间证书)、server.crt(sCA,通过CSR签下来的证书),某些厂商的rCA和mCA是需要用户自己下载的。为了让浏览器能够信任我们的证书,我们需要配置一条完整的证书链,证书链由sCA和mCA构成就好,rCA是浏览器内置,不需要服务器给提供。nginx配置证书链的时候,就是指定一个证书文件,这个文件中含有我们整个证书链的所有证书就好,证书合并的时候,正确的合并方法是把 mCA 合并到 sCA 中。当有多个 mCA 文件时,mCA 从下级到上级(根证书为最上级)依次合并到 sCA 中。在这个过程中,rCA 被视为多余的文件。

1
2
3
4
5
6
7
8
9
10
11
12
13
 
# Combined Certificates

-----BEGIN CERTIFICATE-----
...... sCA ......
------END CERTIFICATE------

-----BEGIN CERTIFICATE-----
...... mCA (lower) ......
------END CERTIFICATE------

-----BEGIN CERTIFICATE-----
...... mCA (upper) ......
------END CERTIFICATE------

 

证书链的问题解决后,基本应该就可以正常工作了。

 

.crt服务器证书文件直接通过记事本打开,.cer中级证书也直接通过记事本打开,然后按照如上规则,将两个文件合并(服务器证书内容在最上面,中级证书内容在下面),最后直接使用合并后的文件即可,这样就不会再报中级证书(证书链)的问题了。

注:实际上.crt跟.cer证书文件内容一样,只是扩展名不同而已。

注:服务器证书包含.crt和.key文件

 

openssl将证书(公钥)和私钥合并成pfx格式文件(C语言版)
weixin_43432215的博客
04-12 2152
首先需要将证书和私钥加载到内存中。可以使用函数 PEM_read_bio_X509() 和 PEM_read_bio_PrivateKey() 分别读取证书和私钥的数据,存储到 X509 和 EVP_PKEY 结构体中。其中 cert_data 和 key_data 分别是证书和私钥的 BASE64 编码字符串,cert_data_len 和 key_data_len 分别是字符串的长度。使用函数 PKCS12_create() 创建 PKCS#12 对象,将证书和私钥绑定到该对象上。
openSSL 生成证书 (三级_证书链) linux
AAugust的博客
10-22 4499
生成思路: 1.创建CA私钥 (ROOT根证书) 2.生成CA证书请求 3.CA私钥自签名CA证书并导出根证书.cer 4.创建中间证书 私钥 5.生成中间证书请求 6.CA私钥签名并导出 中间证书.cer 7.创建 用户证书私钥 8.生成用户证书请求 9.中间证书私钥签名并导出 用户证书.p12 (包含公钥证书+用户证书私钥) 最终得到: 根证书.cer , 中间证书...
openssl命令操作证书链实例
09-06
提供实际操作的示例,演示linux下用openssl提供的命令,生成多级证书,并验证各级证书的合法性。
https 证书链不完整问题解析与解决方案
cuiwin的专栏
06-13 1301
服务器证书:直接安装在服务器上的证书中间证书:由CA颁发的中间层级证书根证书:CA的根证书,通常已预装在操作系统或浏览器中// 加载完整证书链 CertificateFactory cf = CertificateFactory . getInstance("X.509");} // 创建信任库并添加证书 KeyStore trustStore = KeyStore . getInstance(KeyStore . getDefaultType());
SSL证书合并
LIARRR的博客
01-30 5122
SSL证书合并操作
证书链校验 与 证书合并
weixin_43986527的博客
01-16 4976
关于HTTPS 证书链的 文章 https://juejin.cn/post/6844903688385855502 https://www.zybuluo.com/blueGhost/note/807076 https://backreference.org/2010/03/06/check-certificate-chain-file/ 比较关键的概念: 我们一般会有三种证书: RootCA.crt(rCA,被信任的根证书)、IntermediateCA.crt(mCA,某些厂商有多个中间证书)、ser
合并转换 Let's Encrypt 申请的证书crt文件
w13511069150的博客
04-03 3404
一、合并文件 使用https://www.sslforfree.com 生成的证书文件包含以下三个文件。 我们使用 Notepad++ 打开 certificate.crt 文件(使用别的文本编辑工具也一样),将ca_bundle.cr 文件内容复制到 certificate.crt文件即可,然后保存(下图为合并效果)。 二、转换证书格式 应该是可以使用openssl工具来转...
openssl 根据证书生成p7b证书链
iChenfy的专栏
12-02 5705
第一步 第二步 总结 我们项目中有时可能因为需要因此要校验持有证书是否是合法证书,因此需要校验当前证书的证书链;但是,可能有时由于其它原因没有证书链,下面介绍说明如何根据证书链的证书生成p7b证书链;首先,假设我们有一级证书 root01.cer、二级证书root02.cer 及需要校验的证书 user.cer第一步:如果制作证书链我们需要将der编码证书转换为pem,我们可以利用openssl指令
ecdsa证书链验证原理和示例值展示
07-19
# 将证书链合并为文件(叶证书 → 中间证书 → 根证书) cat server.crt intermediateCA.crt rootCA.crt > chain.pem # 验证链(假设根证书已添加到信任库,或指定信任的根证书) openssl verify -CAfile rootCA....
HTTPS中证书链不完整的解决方案
xidianwwy的博客
11-16 9871
HTTPS中证书链不完整的解决方案问题关于SSL证书中间证书解决方案获取中间证书添加中间证书Tomcat配置 问题 tomcat8.5配置pfx格式ssl证书后,https可以正常访问,但是(问题与下面这个情况相同): 由于我们的部分业务场景是在微信(WebView)中打开https的web页面,在测试过程中却发现了一个问题,在Chrome中测试完全正常的https页面,在iOS的微信(WebV...
crt证书合并
01-16 5530
两个crt 证书合并成一个,因为nignx服务器需要合并 需要在linux命令行中运行命令. cat /usr/zend/ca_bundle.crt /usr/zend/certificate.crt > /usr/zend/new_name.crt
制作证书链并进行验证
常驻
02-22 937
制作证书链并进行验证
【证书】操作大全--证书生成、格式转化、合并、导出、校验
qq_41152046的博客
10-10 1707
一 1.生成秘钥key,运行 openssl genrsa -out server.key 2048 2.创建服务器证书的申请文件server.csr 3.执行如下命令,生成凭证crt文件 openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt 二 1.pem 转换成 crt openssl x509 -in example.pem -out example.crt 2.crt 转换成 pem ope
ssl证书CA双向认证完整实现步骤(附java客户端代码)(好文章!)
HD243608836的博客
07-13 6599
一、基础概念 注:以下概念除专业名词外,均为个人理解,不具备权威性。 1、什么是系统安全管理 置于公网的系统,通常都需要一定的安全管理,据我个人理解,这里的安全管理主要分三个方面: 一是应用内的权限控制,比如具体应用的用户名、密码等; 二是应用数据传输过程中的安全机制,例如各种报文的加解密方案; 三是数据传输前的通讯安全机制,保证通讯双方都是可靠可信任的,PKI就是其中一个解决方案。 2、什么是PKI PKI是 Public Key Infrastructure的简称,意思是公钥基础设施。 公钥基
CA双向认证
weixin_40292830的博客
07-15 3108
一、双向认证 CA认证有单向认证和双向认证,在我们日常网页浏览中,我们接触到的大多数是单向认证,而在一些银行系统等对安全性要求比较高的系统,会采用双向认证。 单向认证只是客户端(浏览器)认证服务端(例如tomcat等), 双向认证指的是服务端和客户端之间相互都要认证(在浏览器体现为需要安装进证书)。 https的双向认证大概过程(摘自http://blog.chinaunix.net/uid...
啥?双证书?
云水木石
03-21 4644
国密标准对于SSL通信定义得不是很清楚,所能依仗的标准只有《GMT 0024-2014 SSL VPN 技术规范》。在文档中提到,国密TLS需要有签名证...
使用 openssl 生成证书
weixin_34075551的博客
09-17 4706
一、openssl 简介 openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。官网:https://www.openssl.org/source/ 构成部分 密码算法库 密钥和证书封装管理功能 SSL通信API接口 用途 建立 RSA、DH、DSA key 参数 建立...
nginx如何配置证书链
最新发布
07-29
在 Nginx 中配置 SSL 证书链是确保 HTTPS 连接完整性和安全性的重要步骤。当服务器配置了中间证书时,必须将完整的证书链(包括服务器证书、中间证书和根证书)正确加载,以避免客户端在验证证书链时出现错误,如“证书不受信任”或“证书链不完整”。 ### 3.1 配置 SSL 证书链的结构 在配置文件中,需要使用 `ssl_certificate` 指令指定服务器证书和中间证书合并后的文件。通常,该文件是将服务器证书(`.crt` 或 `.pem`)与中间证书(CA 提供的中间链证书)拼接而成的。例如: ```nginx server { listen 443 ssl; server_name example.com; ssl_certificate /etc/nginx/ssl/example.com.fullchain.pem; ssl_certificate_key /etc/nginx/ssl/example.com.key; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; ... } ``` 其中,`example.com.fullchain.pem` 文件的内容由服务器证书和中间证书组成,顺序如下: ``` -----BEGIN CERTIFICATE----- # 服务器证书(Server Certificate) -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- # 中间证书(Intermediate CA Certificate) -----END CERTIFICATE----- ``` 这样配置后,Nginx 会将完整的证书链发送给客户端,确保浏览器可以正确验证整个证书路径[^2]。 ### 3.2 使用 `ssl_trusted_certificate` 指定信任链 如果需要 Nginx 在验证客户端证书时使用特定的 CA 证书,可以使用 `ssl_trusted_certificate` 指令指定信任的根证书或中间证书文件。该文件应包含所有信任的 CA 证书,并以 PEM 格式存储: ```nginx ssl_trusted_certificate /etc/nginx/ssl/trusted-ca.crt; ``` 该配置项在启用客户端证书认证(Mutual TLS)时尤为重要,用于确保客户端证书由受信任的 CA 签发[^2]。 ### 3.3 完整的 SSL 配置示例 以下是一个典型的 Nginx SSL 配置示例,包含完整的证书链、加密套件和协议版本设置: ```nginx server { listen 443 ssl; server_name example.com; ssl_certificate /etc/nginx/ssl/example.com.fullchain.pem; ssl_certificate_key /etc/nginx/ssl/example.com.key; ssl_trusted_certificate /etc/nginx/ssl/trusted-ca.crt; ssl_session_timeout 5m; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ssl_prefer_server_ciphers on; add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; location / { ... } } ``` 此配置确保了证书链的完整性、安全的加密协议和套件,并启用了 HSTS(HTTP Strict Transport Security)以增强安全性。 ### 3.4 证书链验证与调试 在部署前,应使用 `openssl` 命令验证证书链是否完整: ```bash openssl verify -CAfile /etc/nginx/ssl/trusted-ca.crt -untrusted /etc/nginx/ssl/example.com.fullchain.pem /etc/nginx/ssl/example.com.crt ``` 若输出为 `example.com.crt: OK`,则表示证书链验证通过。 此外,可以使用 `openssl s_client` 命令连接服务器并查看返回的证书链: ```bash openssl s_client -connect example.com:443 -showcerts ``` 这有助于确认客户端是否接收到完整的证书链,并识别配置错误或缺失的中间证书。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值