中間證書(shū)/證書(shū)鏈安裝指南

1.如何導出中間證書(shū)：為什么需要中間證書(shū)？

SSL證書(shū)包含3張，即根證書(shū)，中間證書(shū)和客戶(hù)端證書(shū)，這是一個(gè)完整的證書(shū)鏈，缺失一個(gè)鏈都是安裝不正確的。

根證書(shū)由于大部分瀏覽器都會(huì )內嵌，可以不安裝，但是中間證書(shū)是必須的。用戶(hù)往往在支付寶或微信小程序調試中會(huì )發(fā)現中間證書(shū)缺失而導致無(wú)法完成配置的問(wèn)題，那是因為支付寶和微信的強制要求是證書(shū)鏈必須是完整的，如果您不完整，也就無(wú)法進(jìn)行下一步了。我們平時(shí)在給服務(wù)器安裝https證書(shū)的時(shí)候，就需要養成良好的習慣，在服務(wù)器上綁定完客戶(hù)端證書(shū)的時(shí)候，同時(shí)要把中間證書(shū)導出來(lái)，然后導入服務(wù)器中。有些用戶(hù)只是將客戶(hù)端證書(shū)綁定在服務(wù)器上，而忘記裝中間證書(shū)，有些時(shí)候PC端的瀏覽器會(huì )顯示沒(méi)有問(wèn)題，但是往往會(huì )在手機移動(dòng)端尤其是安卓系統，就會(huì )因為沒(méi)有檢測到中間證書(shū)導致提示非信任等信息。

其實(shí)當用戶(hù)收到由數字證書(shū)頒發(fā)CA機構的最后一封證書(shū)簽發(fā)的郵件的時(shí)候，看到begin至end這段代碼，這個(gè)就是最終簽發(fā)給您的服務(wù)器客戶(hù)端證書(shū)，我們將這串代碼保存為.cer/.crt文件擴展名格式，請不要去掉中間的中橫線(xiàn)，然后打開(kāi)方式選擇加密外殼擴展。如下圖2：

在證書(shū)路徑中，鼠標點(diǎn)擊上述圖1中間證書(shū)的地方，圖1展示的是（Geotrust EV RSA CA 2018），然后點(diǎn)擊查看證書(shū)->詳細信息->復制到文件->下一步->選擇Base64編碼，如圖3->下一步->瀏覽選擇保存文件的路徑并命名文件名保存。根證書(shū)的導出原理與中間證書(shū)一樣。

2. 接下來(lái)，我們需要解決如何安裝中間證書(shū)。

1）IIS可以在綁定完客戶(hù)端證書(shū).pfx之后，運行打開(kāi)certmgr.msc命令進(jìn)入IIS安裝中間證書(shū)的地方，如下圖4，直接導入。

2）Apache和Nginx：使用.crt 和 .key進(jìn)行安裝，安裝時(shí)需要注意的是server.crt是服務(wù)器客戶(hù)端證書(shū)和中間證書(shū)的整合，即按如下格式進(jìn)行：

-----BEGIN CERTIFICATE-----

郵件里的服務(wù)器客戶(hù)端證書(shū)代碼

-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----

中間證書(shū)代碼

-----END CERTIFICATE-----

3）Tomcat使用jks安裝，在.cer和.key 進(jìn)行合成轉換成jks格式時(shí)，.cer的文件需要按照上面第2）的格式進(jìn)行，然后再完成轉換。