证书链由根证书、中间证书和SSL证书(服务器证书)组成。如果缺少中间证书或根证书,当您访问业务网站时,浏览器可能会提示建立连接失败或其他错误。您可以按照本文的操作指引来检查证书链是否完整,并处理不完整的证书链。
步骤一:检查SSL证书链完整性
在服务器上执行以下命令,检查证书链的完整性。该操作可以直接在服务器上执行,无需等待网站接入完成。
<Server_IP>:替换为服务器的实际IP地址。<Domain_Name>:替换为网站的实际域名。
openssl s_client -connect <Server_IP>:443 -servername <Domain_Name>命令输出中的证书文件格式通常如下所示:第 0 条为域名证书,第 1 条为中间证书。如果输出中仅包含域名证书而缺少中间证书,则说明证书链不完整。
---
Certificate chain
0 s:C = CN, ST = Beijing, O = "xxx Technology Co., Ltd", OU = service operation department, CN = www.xxx.com
i:C = US, O = DigiCert Inc, CN = DigiCert SHA2 Secure Server CA
1 s:C = US, O = DigiCert Inc, CN = DigiCert SHA2 Secure Server CA
i:C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA
---如果域名证书和中间证书存放在同一文件中,请确保两者之间不包含任何空格或回车字符。
-----BEGIN CERTIFICATE-----
MIIJBzCCB++gAwIBAgIJAJGNv9rVgB8rMA0GCSqGSIb3DQEBCwUAMIGOMQswCQYD
......
6616mkcOi0SU770=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIEODCCA7igAwIBAgIBBzANBgkqhkiG9w0BAQsFADCBgzELMAkGA1UEBhMCVVMx
......
LXY2JtwE65/3YR8V3Idv7kaWKK2hJn0KCacuBKONvPi8BDAB
-----END CERTIFICATE-----步骤二:重新下载证书并配置证书
部署证书到Web服务器。具体操作,请参见在服务器上安装证书。
部署证书到阿里云产品:通过数字证书管理服务控制台的部署功能,将已签发的证书一键应用到指定的阿里云资源上。详情请参见部署证书到阿里云产品。