证书授权机构 (CA) 链,也可称为 CA 包,是一组中介和根证书,用于建立为域名发出的证书(终端实体证书)和签发该证书的证书授权机构之间的连接。
终端实体证书由中介证书(从属 CA)签署,而中介证书又是由根证书或其他由根签署的中介证书签署的。
根证书由证书授权机构生成。它们嵌入到软件应用程序、浏览器和操作系统中,并且在大多数情况下,将其安装在服务器上并不是强制性的。
如果您的网页浏览器能成功追踪到根证书的信任链,则会自动信任该证书。根证书是这条信任链的起点,被视为信任锚。
根证书签署中介证书。后者作为证书授权机构和网站证书之间的链接。当用户通过安全连接访问受 SSL 证书保护的网站时,浏览器开始验证该证书并跟随信任链追踪到嵌入其中的根证书。中介证书应与终端实体证书一起安装在服务器上,以便在所有浏览器中将该证书识别为可信证书。
要检查 CA 链的安装,您可以使用各种在线检查工具,例如:
SSL 证书检查器
在线检查工具通常会显示证书是否被信任,或者信任链中的某些元素是否缺失。
如果您在服务器上有安装 openssl 包的 Linux 机器,您可以使用以下命令进行验证:
openssl s_client -connect example.com:443
如果在同一 IP 地址上安装了多个 SSL 证书,您需要添加 -servername example.com 标志。
从终端实体证书开始的信任链将显示在“证书链”部分。
以下是我们提供的所有中介和根证书的正确顺序列表。这将帮助您检查 CA 链的安装以及正确组合 CA 包文件以在服务器上安装 SSL。
COMODO 域名验证证书(PositiveSSL、PositiveSSL Wildcard、PositiveSSL Multi-Domain、EssentialSSL、EssentialSSL Wildcard):
- 中介 2:COMODO RSA 域名验证安全服务器
- 中介 1:COMODO RSA 证书授权机构
- 根:Add Trust External CA Root
- 中介 2:COMODO RSA 组织验证安全服务器 CA
- 中介 1:COMODO RSA 证书授权机构
- 根:Add Trust External CA Root
COMODO 扩展验证证书(EV SSL、EV SGC SSL、EV Multi-Domain SSL):
- 中介 2:COMODO RSA 扩展验证安全服务器 CA
- 中介 1:COMODO RSA 证书授权机构
- 根:Add Trust External CA Root