ssl 服務(wù)器證書出現(xiàn)不被信任狀況的原因SSL (Secure Sockets Layer)證書作用機(jī)制是通過(guò)在客戶端瀏覽器和Web 服務(wù)器之間建立一條SSL 安全通道。該安全協(xié)議主要用來(lái)確認(rèn)網(wǎng)站真實(shí)

ssl 服務(wù)器證書出現(xiàn)不被信任狀況的原因

SSL (Secure Sockets Layer)證書作用機(jī)制是通過(guò)在客戶端瀏覽器和Web 服務(wù)器之間建立一條SSL 安全通道。該安全協(xié)議主要用來(lái)確認(rèn)網(wǎng)站真實(shí)性（網(wǎng)站身份認(rèn)證）, 保證信息傳輸?shù)臋C(jī)密性。

在證書的實(shí)際使用過(guò)程中，一些企業(yè)會(huì)遇到服務(wù)器證書不被信任的情況，下面就針對(duì)常見(jiàn)的導(dǎo)致服務(wù)器證書不被信任的原因進(jìn)行總結(jié)。

1、證書不在有效期

如果你的證書不是近期續(xù)費(fèi)的，就應(yīng)該注意你的服務(wù)器證書已經(jīng)過(guò)了有效期或者靠近有效期的截止日期，應(yīng)該聯(lián)系提供商進(jìn)行續(xù)費(fèi)。另外如果你的證書來(lái)自不正當(dāng)?shù)那?，你也?yīng)該要確定一下你的證書是否已經(jīng)被吊銷，任何情況你都應(yīng)該立即聯(lián)系證書服務(wù)提供商。

2、證書域名不匹配

多數(shù)情況下我們的證書頒發(fā)機(jī)構(gòu)都會(huì)為網(wǎng)站域名做完整的匹配，但有些時(shí)候某些證書頒發(fā)機(jī)構(gòu)可能會(huì)疏忽。當(dāng)我們?yōu)樽约旱挠蛎热鏰bc.cn 申請(qǐng)數(shù)字證書的時(shí)候，我們的CSR 當(dāng)中僅定義了abc.cn 這一個(gè)頂級(jí)域名，并未添加更多域名DNS(可叫證書備用名稱) 記錄。那么當(dāng)你證書頒發(fā)的時(shí)候訪問(wèn)www.abc.cn 就不會(huì)受到信任。

這個(gè)時(shí)候要及時(shí)聯(lián)系證書頒發(fā)機(jī)構(gòu)或證書提供商對(duì)數(shù)字證書重新簽發(fā)，使其包含該域名，默認(rèn)情況下的單域名證書是同時(shí)包含www.abc.cn 和abc.cn 的。

3、數(shù)字證書并非來(lái)自受信任的證書頒發(fā)機(jī)構(gòu)（CA ）

對(duì)ssl 服務(wù)器證書有過(guò)一定了解的人會(huì)知道，我們可以給自己頒發(fā)證書（代碼證書、服

務(wù)器證書、郵件證書、客戶端證書等）。自簽發(fā)的服務(wù)器證書雖然不要錢，但是卻不受到客戶端操作系統(tǒng)信任，因此客戶訪問(wèn)你的網(wǎng)站時(shí)就會(huì)提示不信任的證書。

受信任的CA 頒發(fā)證書是默認(rèn)內(nèi)置在我們的操作系統(tǒng)和瀏覽器中，也在客戶端的操作系統(tǒng)和瀏覽器中，因此購(gòu)買證書時(shí)需要識(shí)別頒發(fā)機(jī)構(gòu)是否為受信任的CA 。

4、服務(wù)器證書信任鏈配置錯(cuò)誤

我們接觸數(shù)字證書時(shí)間久一點(diǎn)，就會(huì)發(fā)現(xiàn)很少有頒發(fā)機(jī)構(gòu)會(huì)使用他們的根證書直接簽發(fā)客戶端證書(End User Certificate), 這可能是出于安全考慮，當(dāng)然也不排除部分證書頒發(fā)機(jī)構(gòu)支持這樣做(但是價(jià)格很驚人) 。他們都選擇用自己的二級(jí)證書進(jìn)行頒發(fā)客戶端證書，比如你購(gòu)買的EV SSL綠色地址欄證書，簽發(fā)的證書鏈大概就如下所示： |---Londry Root CA

|---Londry EV SSL CA G2 (中級(jí)CA) |---www.yourdomain.com

如果不配置中級(jí)CA ，操作系統(tǒng)就無(wú)法確定SSL 證書的真正頒發(fā)者是誰(shuí)。

這個(gè)時(shí)候我們的服務(wù)器證書和被受到信任的根證書就存在一個(gè)中間證書, 這個(gè)叫中級(jí)證書頒發(fā)機(jī)構(gòu)CA 。如果操作系統(tǒng)默認(rèn)只內(nèi)置了根證書頒發(fā)機(jī)構(gòu)，而我們直接安裝的是自己的域名證書。這個(gè)時(shí)候證書鏈就不完整，就會(huì)被標(biāo)記為不受信任。為了解決這個(gè)問(wèn)題，我們需要在服務(wù)器配置安裝SSL 證書的時(shí)候也同樣要使得我們的證書鏈完整，才能正常使用。

5、客戶端不支持SNI 協(xié)議

這種事情只會(huì)發(fā)生在客戶使用的操作系統(tǒng)是Windows XP SP2以下，Android4.2以下的情況，因?yàn)檫@些操作系統(tǒng)實(shí)在是太早了。當(dāng)時(shí)系統(tǒng)廠商并未有支持這個(gè)SNI 協(xié)議。SNI 協(xié)議就是讓多個(gè)支持SSL 服務(wù)器證書的域名共享同一個(gè)獨(dú)立IP 地址的技術(shù)，現(xiàn)在已經(jīng)被幾乎所

有主流操作系統(tǒng)和瀏覽器支持了。在很多年之前，服務(wù)器證書是需要綁定到獨(dú)立IP 地址使用的，由于IPv4地址池的逐漸不夠分配，SNI 技術(shù)應(yīng)運(yùn)而生了。