我刚刚在 Plesk 上安装了 SSL,当我在 Chrome 中转到 https://www.example.com 时,我收到以下错误:
此 CA 根证书不受信任。要启用信任,请在 Trusted Root Certification Authorities Store 中安装此证书。
有点违背了拥有 SSL 的目的。知道如何让这条消息消失吗?
我从 GoDaddy 购买了 SSL,我希望它是一个值得信赖的权威。
【问题讨论】:
Root A 签署Intermediate B 哪个发出Server C,如果浏览器信任Root A 但您只发送Server C,而没有中间证书让它解决链
标签: ssl google-chrome plesk
出现此问题是因为颁发机构已使用中间证书签署服务器证书,该中间证书不存在于随特定浏览器分发的知名受信任证书颁发机构的证书库中。在这种情况下,权威机构 (GoDaddy) 提供了一系列链式证书,这些证书应与服务器证书链接起来,以解决缺乏信任的问题。不幸的是,GoDaddy 没有在这方面提供任何文档。您应该已经从 GoDaddy 收到了两种不同的证书,一种用于您的服务器,另一种用于捆绑。根据您的服务器,配置如下所示:
在自己的指令中指定每个证书:
SSLCertificateFile /path/to/cert/www.example.com.crt
SSLCertificateChainFile /path/to/cert/bundle.crt
两个证书应该连接起来,首先是服务器,然后是捆绑包:
cat www.example.com.crt bundle.crt > www.example.com.chained.crt
然后在您的服务器 ssl_certificate 指令中使用 www.example.com.chained.crt:
ssl_certificate www.example.com.chained.crt
GoDaddy 可在 Windows 操作系统上识别,因为 GoDaddy 根证书已预安装在 Windows 上。但 GoDaddy 在许多情况下不会被自动识别,需要用户手动配置(这不是一项简单的任务)。例如,iPhone 不会信任开箱即用的 GoDaddy 证书。您可以考虑从 Verisgn 或 Thawte 等已建立的证书颁发机构获取证书,但它们会更贵。
【讨论】:
@John:GoDaddy 是注册商/网络主机,我相信他们的证书只是经销商证书。正如@Jaro 建议的那样,您不需要花费昂贵的费用来获得兼容性。我已经部署了几个被 Chrome/iOS 和 Safari/iOS 识别的 RapidSSL 证书,无需用户干预,并且比 Symantec/VeriSign 等高保险证书便宜得多。
【讨论】:
消除该消息的唯一方法是从受信任的机构购买真正的证书。
【讨论】: