證書授權機構 (CA) 鏈,也可稱為 CA 包,是一組中介和根證書,用於建立為域名發出的證書(終端實體證書)和簽發該證書的證書授權機構之間的連接。
終端實體證書由中介證書(從屬 CA)簽署,而中介證書又是由根證書或其他由根簽署的中介證書簽署的。
根證書由證書授權機構生成。它們嵌入到軟體應用程序、瀏覽器和操作系統中,並且在大多數情況下,將其安裝在伺服器上並不是強制性的。
如果您的網頁瀏覽器能成功追踪到根證書的信任鏈,則會自動信任該證書。根證書是這條信任鏈的起點,被視為信任錨。
根證書簽署中介證書。後者作為證書授權機構和網站證書之間的鏈接。當用戶通過安全連接訪問受 SSL 證書保護的網站時,瀏覽器開始驗證該證書並跟隨信任鏈追踪到嵌入其中的根證書。中介證書應與終端實體證書一起安裝在伺服器上,以便在所有瀏覽器中將該證書識別為可信證書。
要檢查 CA 鏈的安裝,您可以使用各種在線檢查工具,例如:
SSL 證書檢查器
在線檢查工具通常會顯示證書是否被信任,或者信任鏈中的某些元素是否缺失。
如果您在伺服器上有安裝 openssl 包的 Linux 機器,您可以使用以下命令進行驗證:
openssl s_client -connect example.com:443
如果在同一 IP 地址上安裝了多個 SSL 證書,您需要添加 -servername example.com 標誌。
從終端實體證書開始的信任鏈將顯示在“證書鏈”部分。
以下是我們提供的所有中介和根證書的正確順序清單。這將幫助您檢查 CA 鏈的安裝以及正確組合 CA 包文件以在伺服器上安裝 SSL。
COMODO 域名驗證證書(PositiveSSL、PositiveSSL Wildcard、PositiveSSL Multi-Domain、EssentialSSL、EssentialSSL Wildcard):
- 中介 2:COMODO RSA 域名驗證安全伺服器
- 中介 1:COMODO RSA 證書授權機構
- 根:Add Trust External CA Root
- 中介 2:COMODO RSA 組織驗證安全伺服器 CA
- 中介 1:COMODO RSA 證書授權機構
- 根:Add Trust External CA Root
COMODO 擴展驗證證書(EV SSL、EV SGC SSL、EV Multi-Domain SSL):
- 中介 2:COMODO RSA 擴展驗證安全伺服器 CA
- 中介 1:COMODO RSA 證書授權機構
- 根:Add Trust External CA Root