我试图将我的一个Web站点(运行nginx )从SHA-1 SSL123证书升级到SHA-2。
具有中间CA的 Thawte 网页具有“RSA SHA-2(在SHA-1 Root下)”和“RSA SHA-2(在SHA-2 Root下)”表。
如果我使用“SHA-1 Root”下的CA软件包 ,则会看到该软件包包含两个证书,而我的网站正常工作。 然而,Qualys的SSLtesting正确地要求我在证书链中使用带有SHA-1的SHA-2证书。
但是,“SHA-2 Root”下的表没有捆绑包。 如果我使用他们在那里提供的单一中间证书 ,Firefox和其他工具指出证书链被破坏,浏览器不会加载我的网站。
现在,我正在使用SHA-1 root来build立一个工作站点。 但是,我想切换到SHA-2根目录。
我在哪里得到缺失的中间证书? 或者,如果这不是问题,那么如何为Thawte的SSL123创build一个组合的证书文件,以获得具有完整的SHA-2中间证书链的SHA-2证书?
谢谢!
您自己的证书由一个证书签名。
这意味着您的证书只在这些Thawte连锁店的一端,您需要另一个证书才能在另一个连锁店(由该连锁店的中间证书签名)。
至于根证书的签名是SHA-1,SHA-2还是别的,与链中的其他证书相比,由于validation方已经拥有了他们信任的根证书,所以它们不需要签名检查根。 (参见例如SHA1弃用:您需要了解的内容 。)
检查Thawte SSL123 SHA-2(在SHA1-Root下)链中的证书,certificate其中一个中间证书(“主要中级CA”)也是SHA-1(不仅是根)。 几乎可以肯定的是,这个证书你正在被“诟病”。 您需要让Thawte向您颁发由另一个链中的中间证书签署的新证书以解决此问题。
事实certificate,Thawte的网站对那些没有使用SSL证书的人来说只是一个混淆。
尽pipe在SHA-1 Root下有SSL123 SHA2显示两个证书,但只需要第一个。 第二个证书是 SHA-1根,你不需要把它与你的站点的证书连接起来,以便部署到nginx 。 只要使用第一个证书,你就可以走了。