为了说明我正在尝试做什么:
https://www.google.com使用由Thawte SGC CA颁发的证书(由Verisign CA之一发布)。 看起来Internet Explorer自带预装的发行者证书,但Firefox(我正在使用3.5.1)没有。 尽pipe如此,浏览器并不抱怨网站证书不可信,因为Thawte证书是安装在那里的。 到现在为止还挺好。
我有一个服务器(使用Apache),我想要完成相同的事情。 它也使用来自同一个CA的证书,并且在SSL握手期间(使用httpd.conf SSLCertificateChainFile指令)发送完整的信任链。 但是,如果中间证书以前没有被导入到Firefox的Authorities密钥仓库中,它会抱怨站点证书不被信任。
简而言之,我的问题是:我需要做什么才能使Thawte证书自动安装,以便浏览器在不提示的情况下接受站点证书?
链文件的东西被搞砸了。 Apache将发送链接文件,必须由浏览器已经信任的CA签名,无法添加它。 浏览器将validation链,并且如果链成功validation,则允许由链签署的证书。
Thawte应该有指示和准备好的链文件供您安装在他们的支持页面上。
我相信你需要把CA根证书放在服务器上,和服务器证书一样的地方。