关于中间证书的坑

某客户购买GlobalSign的通配符证书 在测试过程中发现,某些Android手机总是报证书不可信,且证书链长度为1,提示没有配置完整证书链

最终问客户要到了中间证书,添加到服务器证书后面,解决。 添加过程仍然有坑! 1、服务器证书在前面,中间证书加在后面 2、对空格和回车换行有要求!

最终命令解决:

1
cat xxxx.com.cn.cer xxxx.com.cn-intermediate.cer > xxxx.com.cn.pem

遗留小问题,上述命令会导致两个证书之间没有换行,需要手动编辑pem文件,添加换行

扩展阅读: SSL证书链 有些浏览器不接受那些众所周知的证书认证机构签署的证书,而另外一些浏览器却接受它们。这是由于证书签发使用了一些中间认证机构,这些中间机构被众所周知的证书认证机构授权代为签发证书,但是它们自己却不被广泛认知,所以有些客户端不予识别。针对这种情况,证书认证机构提供一个证书链的包裹,用来声明众所周知的认证机构和自己的关系,需要将这个证书链包裹与服务器证书合并成一个文件。在这个文件里,服务器证书需要出现在认证方证书链的前面。