大多数人都认为SSL证书就是拿回来安装上就可以使用的,虽然确实如此。理论上只要按照教程去安装SSL证书就不会出现什么问题,要是有宝塔面板的话那操作简直更加简单。但是即便如此,我们还需要去了解SSL证书信任过程和什么是信任证书链,尤其是需要进行运维的话,知道了这些在排查故障的时候便能迎刃而解了。下面就说说可能导致SSL证书不信任的情况。
SSL证书不是来自公认的证书颁发机构(CA)
了解过SSL证书的朋友都明白,我们自己就可以给自己颁发数字证书(SSL证书、邮件证书、客户端证书、代码证书等),自己签发的证书不需要一分钱。这种证书其实叫做自签名证书(『自签证书可以保护网站安全吗?为什么非CA机构颁发的SSL证书不受信任?』),这种证书是不受到客户端操作系统信任的。公认的证书颁发机构的CA证书就是默认内置在我们的操作系统或者浏览器当中的,也就是客户端操作系统默认信任的证书。所以,购买可信的证书颁发机构颁发的数字证书很重要。
数字证书信任链配置错误
很少有颁发机构会使用他们的根证书直接签发客户端证书(End User Certificate),一般都选择用自己的二级证书进行颁发客户端证书。
这个时候我们的证书和被受到信任的根证书就存在一个中间证书,这个叫中级证书颁发机构CA。如果操作系统默认只内置了根证书颁发机构,而我们直接安装的是自己的域名证书。这个时候证书链就不完整,就会被标记为受信任。为了解决这个问题,我们需要在服务器配置安装SSL证书的时候也同样要使得我们的证书链完整,才能正常使用。
证书的域名匹配程度不完整
以单域名证书为例,一般申请了一个域名的单域名证书,@和www是可以同时使用的。我们的CSR当中仅定义了52txr.cn这一个顶级域名,并未添加更多域名DNS(可叫证书备用名称)记录。那么当你证书颁发的时候访问www.52txr.cn就不会受到信任,会提示你该证书不是这个域名的。这个时候你应该联系证书颁发机构或证书提供商进行重新签发并包含该域名,默认情况下的单域名证书是同时包含www.52txr.cn和52txr.cn的。
总之,选择一个靠谱的SSL证书品牌很重要。
针对一些个人网站,我之前也写过一些免费的方案:Typecho个人博客SSL证书不够用的N种免费解决方案
免费的更多的像是试用,在有一定的流量或者一定规模的时候,适当付费是个更好的选择。
这里我建议尝试选择一款国产品牌的SSL证书,主要是相对便宜,具有较高的性价比。并且可以免费试用3个月,正式的一年也就一百多块钱,还是很划算的。
https://www.joyssl.com/certificate/select/free.html
根据我的多个主流浏览器的测试,还没有出现不信任的情况!
标签:哪些,证书,颁发,SSL,域名,信任,客户端 From: https://www.cnblogs.com/52txr/p/17234244.html