当用户浏览器显示“证书不受信任”警告时,通常是因为SSL证书的信任链不完整或未正确建立。这个问题别担心,这比较更容易解决。主要问题可归纳为以下几点:
问题根源 核心表现 解决方法
证书链不完整 (最常见) 服务器未发送完整的证书链(中间证书),导致浏览器无法追溯到受信任的根证书。 安装中间证书:从CA获取并正确部署到服务器。
自签名证书 证书非公共受信CA签发,浏览器默认不信任。 手动添加信任 (仅测试用),或申请受信CA证书。
证书已过期/吊销 证书超过有效期或已被签发机构吊销。 更新证书 或 重新申请。
服务器配置错误 服务器未发送全部证书或顺序错误。 检查配置,确保发送完整且顺序正确的证书链。
根证书不受信 签发根证书不在浏览器的受信任列表(极少见于公共CA)。 通常需更换浏览器或操作系统信任的CA证书。
一、分步解决方案
1. 检查并安装中间证书 (针对证书链不完整)
这是最常见的原因。你需要将CA提供的中间证书与你的域名证书合并部署。
获取中间证书:从你的证书颁发机构(CA)下载相应的中间证书。
合并证书文件:
创建一个新文件(如 fullchain.pem 或 bundle.crt)。
用文本编辑器打开,按以下顺序合并内容:
你的域名证书(your_domain.crt 内容)
一个或多个中间证书(CA提供)
注意:不要包含私钥,且顺序通常是“域名证书在上,中间证书在下”。
修改服务器配置:在Web服务器配置中,指向这个合并后的证书链文件。
Nginx: ssl_certificate /path/to/fullchain.pem;
Apache: SSLCertificateFile /path/to/fullchain.crt
2. 处理自签名证书
自签名证书仅适合内部测试。要消除警告:
在测试环境中:可将自签名证书手动导入到操作系统或浏览器的“受信任的根证书颁发机构”存储区。
对公网服务:必须更换为由公共受信CA(如Let‘s Encrypt、DigiCert、Sectigo等)签发的证书。
3. 检查证书有效期与吊销状态
检查有效期:在浏览器中点击锁图标,查看证书的起止日期。
检查吊销状态:使用在线SSL检查工具(如 SSL Labs Server Test)或命令行工具 openssl 检查证书是否被吊销。
解决方案:如果证书过期或吊销,需要联系CA重新申请并安装新证书。
4. 验证服务器配置
确保服务器发送的证书链正确无误:
使用诊断命令:
bash
openssl s_client -connect yourdomain.com:443 -showcerts
此命令会显示服务器发送的所有证书。检查是否包含从你的域名证书到根证书的完整链条。
5. 其他可能性
系统时间不正确:检查服务器和客户端电脑的系统时间、时区是否准确。错误的系统时间会导致浏览器认为证书不在有效期内。
浏览器缓存:尝试清除浏览器缓存或使用隐身模式访问。
二、如何快速定位问题?
使用在线检测工具:访问 SSL Labs Server Test,输入你的域名,它会给出详细报告,明确指出证书链问题、有效期等。
在不同浏览器/设备上测试:如果只在某个浏览器出现,可能是该浏览器的缓存或本地问题。
三、总结与建议
处理此问题的通用流程是:先诊断(用SSL Labs或openssl命令) -> 再定位(根据上表判断核心原因) -> 后解决(安装中间证书、重新申请等)。
通常,只要从证书颁发机构获取正确的中间证书,并与你的域名证书合并后,在服务器配置中正确指向这个合并文件,问题就能解决。
如果我们只带用户的SSL证书类型(如自签名、Let’s Encrypt、商业CA购买)和服务器环境(如Nginx、Apache、IIS、Tomcat等),我们可以为你提供更具体的配置步骤。
