我有一个中间证书已过期的网站。 我的IT人员说,他已经更新了中间证书,但现在该网站无法访问404错误页面。
要解决问题(因为他离开了一个星期…),我用这个链接来检查SSL证书的状态: https : //knowledge.verisign.com/support/ssl-certificates-support/index?页面=内容及ACTP = CROSSLINK&ID = AR1130
而我得到的错误如下:
错误:证书安装检查程序连接到Web服务器,但无法读取Web服务器的证书。 确保您的浏览器可以与Web服务器build立SSL连接。
证书来自Verisign并且是“SSL Pro”。 要了解问题的背景,我们必须参考以下链接: https : //knowledge.verisign.co.uk/support/ssl-certificates-support/index?page=content&id=SO18873&actp=search&viewlocale=zh_CN&searchid= 1326832230564
这是一个片段:
原因
2011年10月24日,SSL Premium中级CA证书的Secure Site Pro / Managed PKI已过期
parsing度
如果您拥有2010年10月10日之前颁发的安全站点专业版或高级SSL证书,则证书可能链接到2011年10月24日到期的以下中级CA:
有什么想法可能在这里出了错?
您不更新中间(链接)证书,Verisign处理这些证书,因为它们属于他们。 这听起来很像你有一个新的证书,是由你以前的证书不同的中间证书签署。 您的服务器需要这个中间证书来显示客户端的完整链。
更多细节:客户端有一个他们已经信任的证书列表,即根CA. Verisign可能已经在这个列表中。 Verisign出于各种原因不使用根CA证书来直接签署您的服务器证书。 它使用中级证书。 客户不知道这个中间证书。 当客户端连接到您的服务器时,您的服务器提供其服务器证书和中间证书。 客户端查看,看到它相信信任中级的Verisign,中级信任你的服务器证书; 所以一切都很好。
除了您的服务器缺less新的中间证书。 所以客户联系你的服务器,只能看到服务器证书。 由于客户端无法从Verisign根证书到服务器证书find信任链,因此连接失败。 要解决此问题,您需要在服务器上安装中级证书。 这个过程对于那里的主要服务器是不同的:
对于Apache 1.x:您需要编辑httpd.conf。 find指令SSLCertificateChainFile并将其指向由Verisign提供的中级证书。 CA通常提供“Cert Bundle”,“Chain Bundle”,“Chain Certificate”或“Intermediate Certificate”(它们与您的目的完全相同)。
附注:Apache 1.x是真正古老的软件,应该被弃用…. Apache 2.x可用。