证书链的概念
SSL证书不是孤立存在的,而是形成一条信任链:终端实体证书(你的域名证书)→ 中间CA证书 → 根CA证书。浏览器通过验证这条链来确认证书的可信性。
验证过程详解
信任锚点
浏览器和操作系统内置了一组受信任的根CA证书(Trust Store)。Windows约150个、macOS约170个、Android约150个。根CA是信任链的起点。
链式验证
服务器发送终端证书+中间证书 → 浏览器从终端证书向上逐级验证签名 → 直到找到信任锚点中的根CA → 整条链验证通过则信任该证书。任何一个环节失败都会导致证书错误。
证书吊销检查
验证过程中还需要检查证书是否被吊销。两种方式:CRL(证书吊销列表)和OCSP(在线证书状态协议)。OCSP Stapling让服务器预先获取OCSP响应并随证书一起发送,避免客户端额外查询延迟。
常见证书链问题
中间证书缺失
最常见的问题。服务器只发送终端证书而缺少中间证书。桌面浏览器可能通过AIA扩展自动下载中间证书,但移动设备和API客户端通常直接报错。解决:在服务器配置中包含完整证书链。
证书顺序错误
证书链的顺序必须是:终端证书 → 中间证书(从下到上)。部分服务器软件对顺序敏感,错误顺序会导致验证失败。
根证书不被信任
新CA或区域性CA的根证书可能不在所有设备的Trust Store中。解决:使用交叉签名(Cross-signing),让新CA的证书被已有根CA背书。
排查工具
- openssl s_client -connect domain:443 -showcerts:显示完整证书链
- SSL Labs测试:自动检测链完整性和配置问题
- curl -vI https://domain:查看TLS握手详情