https证书配置完整证书链常见问题

最新推荐文章于 2025-06-17 10:52:14 发布

原创最新推荐文章于 2025-06-17 10:52:14 发布 · 9.1k 阅读

8 ·

CC 4.0 BY-SA版权

文章标签：

#https #证书链 #中间证书

nginx 专栏收录该内容

2 篇文章

订阅专栏

本文深入解析SSL证书链的构成，包括根证书、中间证书及网站证书的作用与配置。阐述了根证书无需配置的原因，中间证书配置的重要性，以及错误配置可能带来的问题。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

1.完整证书链是什么

举例说明，如图，从上到下依次是根证书，中间证书，网站证书；中间证书可能有多级证书，比如有的证书链长度是4，那么中间证书就是两级。

2.配置完整证书链是否配置根证书

答案是不配置，根证书是终端设备预装信任的。

以windows系统为例，chrome使用的是操作系统预装的证书库；windows运行certmgr.msc即可打开证书管理器。

火狐浏览器内置了证书管理器；在地址about:preferences#privacy中的证书栏目可以看到证书管理器。

3.如果server配置了根证书有坏处吗

答案是有坏处，因为会证书的传递会占用带宽，且server传递过来的根证书对client无用。

4.中间证书必须配置吗

client与server进行ssl_handshake时，会验证证书，如果server端没有配置中间证书，在满足以下任意一种情况下client会完成证书检查。

（1）中间证书已被证书管理器信任

（2）client会根据Authority Info Access自动下载中间证书，Authority Info Access如图

如果client上述两个条件都不满足，并且server没有配置中间证书，那ssl_handshake会失败。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

wheatcookie

关注关注

4
点赞
踩
8

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

HTTPS 在 Golang 中的完整指南：证书配置到性能优化

Golang编程笔记的博客

05-06

908

随着互联网安全要求的提升，HTTPS 已成为 Web 服务的标配。Golang（Go）作为高性能后端语言，其标准库对 HTTPS 的支持既强大又灵活，但复杂的 TLS 配置和性能优化策略常让开发者面临挑战。证书申请与配置的全流程（自签名证书、Let’s Encrypt 证书）Golang 中 TLS 配置的核心参数解析（版本、密码套件、证书链）性能优化策略（会话重用、OCSP Stapling、HTTP/2 优化）安全性与兼容性的平衡实践。

https证书集成到java中

轻风木竹

11-23

838

将https证书集成到java项目中，使用忽略证书、导入jdk、使用代码指定jks路径三种方式

参与评论您还未登录，请先登录后发表或查看评论

什么是 HTTPS 的证书信任链？自己给自己发行不行？

hebiwen95的博客

08-06

3782

HTTPS 就是在 TCP 和 HTTP 之间加了一个 SSL 或者叫 TLS 层，实现了加密、身份认证、防篡改的功能。为了增加随机性，每次都要生成密钥来做加解密，传输这个密钥需要用到非对称加密的公私钥机制。公钥加密的内容只有私钥能解开，防止被窃取。私钥只有一个人有，所以加密的内容可以用作身份认证，也就是签名。对内容做 hash，然后私钥签名，就能做到完整性校验，防止被篡改。但是如何保证拿到的公钥一定是对方的，这是个复杂的问题。...

https证书链

yanchendage的博客

01-27

1089

数字证书和数字签名个人总结就是数字签名用来保证数据没有被篡改，数字证书用来验证数据的身份。数字证书 = 元信息+数字签名（元信息hash + 私钥加密） http://www.ruanyifeng.com/blog/2011/08/what_is_a_digital_signature.html 证书的签发(Signing)和认证(Verification)的过程：签发过程： data里是证书的元信息，包含签发人（谁签发的这个证书），有效期，证书持有者的信息（域名），和持有人的公钥。证书元信息通

TLS证书链部署详解：从Let‘s Encrypt到自签证书的完整指南

Clownseven的博客

06-17

702

网站提示证书不可信？可能是TLS证书链配置错误！Hostol详解根证书、中间证书，并提供Let's Encrypt、自签证书的完整部署与监控策略。

Java获取完整SSL证书链信息(包含完整证书链)

热门推荐

张三博客

09-16

2万+

Java通过X509获取完整证书链信息包含受信任的和不受信任的证书，包含完整的证书使用者、签发者、签名算法公钥、证书版本、证书品牌等信息

服务器完整证书链,解决SSL证书链不完整问题

weixin_36430300的博客

07-29

2269

前天主机吧博客的SSL证书到期了，主机吧博客使用的一直都是Let’s Encrypt免费证书，有效期为3个月，到期后都会默认续期，不过主机吧使用了百度的CDN，一但到期后就访问不了，即使源站可以用，应该是Let’s Encrypt免费的证书续期后密钥啥的也变了，导致CDN无法正常用，为了省去每几个月更新证书的麻烦，主机吧买一次性买了两年的Comodo证书。不过主机吧部署后，看到可以访问也没多在意，...

在Apache服务器中配置带有证书链的数字证书

qq_41800085的博客

12-29

517

在Apache服务器中配置带有证书链的数字证书概述本文介绍了当数字证书带有证书链时，在Apache服务器中配置数字证书的方法。详细信息参考以下内容，对带有证书链的数字证书进行配置。确认数字证书带有证书链 使用文本编辑器进入数字证书文件，如果证书文件存在三段BEGIN CERTIFICATE信息，则说明数字证书包含证书链。说明：一般情况下，在Apache服务器中配置通过证书服务申请的数字证书，可参见在Apache服务器上安装SSL证书。分离证书链 在服务器中新建一个mycert_chain.pe

如何启用 HTTPS 并配置免费的 SSL 证书

2409_89014517的博客

03-17

1404

如何启用 HTTPS 并配置免费的 SSL 证书

springboot结合https证书部署成https的应用内容;

07-06

`.p12`（Personal Information Exchange）文件通常包含私钥和证书，而`.jks`（Java KeyStore）是Java的密钥库格式，用于存储私钥、证书链和其他密钥材料。你可以使用`keytool`命令行工具或者 OpenSSL 来导入和管理...

Nginx配置SSL证书实现443端口监听

最新发布

07-07

在网络安全和Web服务器管理中，为Nginx配置SSL证书并使其监听443端口是一项关键技能。443端口是HTTPS服务的标准端口，而SSL协议用于加密互联网通信，确保数据传输安全。本文将介绍如何在Nginx中配置SSL证书以及监听...

iOS 对 HTTPS 证书链的验证

weixin_33978016的博客

10-25

164

HTTPS从最终的数据解析的角度，与HTTP相同。HTTPS将HTTP协议数据包放到SSL/TSL层加密后，在TCP/IP层组成IP数据报去传输，以此保证传输数据的安全；而对于接收端，在SSL/TSL将接收的数据包解密之后，将数据传给HTTP协议层。 SSL/TSL包括四次握手，主要交换三个信息：数字证书；三个随机数；加密通讯协议。其通讯过程如下示意图：数...

ROS OpenSSL X509 证书链构建及自定义验证

Lin__Mu的博客

03-22

3186

在WSL-Ubuntu20.04 基于 ROS、OpenSSL、C++实现X509证书链构建、发送接收及验证。本实验重庆大学国家卓越工程师学院实验。本人经验尚浅，如本文有任何错误或改进之处欢迎各位留言！😉如果觉得不错的话，可以✨一下吗？

nginx证书配置

pht314057的博客

09-22

6665

server { listen 443 ; ssl on; #填写绑定证书的域名 server_name 域名; #证书文件名称 ssl_certificate /etc/nginx/keys/xxx.crt; #私钥文件名称 ssl_certificate_key /etc/nginx/keys/xxx.key; #ssl参数的过期时间 ssl_session_timeout 5m; #选择加密套件 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AE

02-HTTPS证书生成、验签、证书链

River的博客

11-11

1986

在第一节中我们知道了HTTPS为什么需要证书，以及证书的作用。那么这一节对证书的细节展开更加深入的研究。

关于SSL证书之证书链

weixin_44431409的博客

01-14

2117

关于SSL证书之证书链 证书链由两个环节组成—信任锚（CA 证书）环节和已签名证书环节。自我签名的证书仅有一个环节的长度—信任锚环节就是已签名证书本身。 证书链可以有任意环节的长度，所以在三节的链中，信任锚证书CA 环节可以对中间证书签名；中间证书的所有者可以用自己的私钥对另一个证书签名。CertPath API 可以用来遍历证书链以...

证书链简介

Dancen的专栏

10-26

1万+

说明：除非特别指明，本文所述之证书，特指X.509 V3证书。一. 什么是证书链？当客户端发起https请求时，web服务端会返回https证书，客户端将对证书进行验证，验证通过之后客户端和服务端之间才能继续进行通信。严格来说，web服务端所返回的https证书不是一个单一的证书，而是一组有序的证书，称为证书链。证书链由终端证书开始，然后是签署颁发该终端证书的中间CA证书，再然后是签署颁发前一个中间CA证书的另一个中间CA证书…中间CA证书的数量可以是0个到多个，一直链接下去，在证书链的末端，是根证书

SSL/TLS深度解析--在Nginx上openssl配置CA证书链及多域名证书（好文章，配置很全面！！）

HD243608836的博客

07-06

3279

该文章配置很全面但是有些地方有冗余的配置，我只归纳提取了简化了本文的ssl双向认证时CA为证书链的相关配置，链接为：原文如下： ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 生成私钥与自签根证书(这次使用aes256加密,密码是redhat) # 进行简单处理 [root@www ~]# cd /usr/local/openssl/ [root@www openssl]# mkdir root-CA sub-CA [root@www openssl]# cp -r