証明書チェーンは、ルート証明書、中間証明書、および SSL 証明書 (サーバー証明書) で構成されています。中間証明書またはルート証明書が欠落している場合、Web サイトにアクセスすると、ブラウザに接続障害やその他のエラーが表示されることがあります。このトピックの手順に従って、証明書チェーンが完全であるかどうかを確認し、不完全な証明書チェーンを解決します。
手順1:SSL 証明書チェーンの完全性の確認
サーバーで次のコマンドを実行して、証明書チェーンの完全性を確認します。この操作は、Web サイトが公開される前にサーバーで直接実行できます。
<Server_IP>:サーバーの実際の IP アドレスに置き換えます。<Domain_Name>:Web サイトの実際のドメイン名に置き換えます。
openssl s_client -connect <Server_IP>:443 -servername <Domain_Name>コマンド出力の証明書ファイルの形式は通常、次のとおりです:最初の部分はサーバー証明書で、2番目の部分は中間証明書です。出力にサーバー証明書のみが含まれ、中間証明書が欠落している場合、証明書チェーンは不完全です。
---
Certificate chain
0 s:C = CN, ST = Beijing, O = "xxx Technology Co., Ltd", OU = service operation department, CN = www.xxx
i:C = US, O = DigiCert Inc, CN = DigiCert SHA2 Secure Server CA
1 s:C = US, O = DigiCert Inc, CN = DigiCert SHA2 Secure Server CA
i:C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA
---サーバー証明書と中間証明書を同じファイルに結合する場合、-----END CERTIFICATE----- 行と次の -----BEGIN CERTIFICATE----- 行の間に改行が 1 つだけ入るように、証明書を連結してください。
-----BEGIN CERTIFICATE-----
MIIJBzCCB++gAwIBAgIJAJGNv9rVgB8rMA0GCSqGSIb3DQEBCwUAMIGOMQswCQYD
......
6616mkcOi0SU770=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIEODCCA7igAwIBAgIBBzANBgkqhkiG9w0BAQsFADCBgzELMAkGA1UEBhMCVVMx
......
LXY2JtwE65/3YR8V3Idv7kaWKK2hJn0KCacuBKONvPi8BDAB
-----END CERTIFICATE-----手順2:証明書の再ダウンロードと設定
証明書を Web サーバーにデプロイします。詳細については、「サーバーへの証明書のインストール」をご参照ください。
Alibaba Cloud サービスへの証明書のデプロイ:Certificate Management Service コンソールのデプロイ機能を使用して、発行された証明書をワンクリックで特定の Alibaba Cloud リソースに適用します。詳細については、「Alibaba Cloud サービスへの証明書のデプロイ」をご参照ください。