ssl 服務(wù)器證書出現(xiàn)不被信任狀況的原因SSL (Secure Sockets Layer)證書作用機(jī)制是通過在客戶端瀏覽器和Web 服務(wù)器之間建立一條SSL 安全通道。該安全協(xié)議主要用來確認(rèn)網(wǎng)站真實

ssl 服務(wù)器證書出現(xiàn)不被信任狀況的原因

SSL (Secure Sockets Layer)證書作用機(jī)制是通過在客戶端瀏覽器和Web 服務(wù)器之間建立一條SSL 安全通道。該安全協(xié)議主要用來確認(rèn)網(wǎng)站真實性（網(wǎng)站身份認(rèn)證）, 保證信息傳輸?shù)臋C(jī)密性。

在證書的實際使用過程中，一些企業(yè)會遇到服務(wù)器證書不被信任的情況，下面就針對常見的導(dǎo)致服務(wù)器證書不被信任的原因進(jìn)行總結(jié)。

1、證書不在有效期

如果你的證書不是近期續(xù)費的，就應(yīng)該注意你的服務(wù)器證書已經(jīng)過了有效期或者靠近有效期的截止日期，應(yīng)該聯(lián)系提供商進(jìn)行續(xù)費。另外如果你的證書來自不正當(dāng)?shù)那?，你也?yīng)該要確定一下你的證書是否已經(jīng)被吊銷，任何情況你都應(yīng)該立即聯(lián)系證書服務(wù)提供商。

2、證書域名不匹配

多數(shù)情況下我們的證書頒發(fā)機(jī)構(gòu)都會為網(wǎng)站域名做完整的匹配，但有些時候某些證書頒發(fā)機(jī)構(gòu)可能會疏忽。當(dāng)我們?yōu)樽约旱挠蛎热鏰bc.cn 申請數(shù)字證書的時候，我們的CSR 當(dāng)中僅定義了abc.cn 這一個頂級域名，并未添加更多域名DNS(可叫證書備用名稱) 記錄。那么當(dāng)你證書頒發(fā)的時候訪問www.abc.cn 就不會受到信任。

這個時候要及時聯(lián)系證書頒發(fā)機(jī)構(gòu)或證書提供商對數(shù)字證書重新簽發(fā)，使其包含該域名，默認(rèn)情況下的單域名證書是同時包含www.abc.cn 和abc.cn 的。

3、數(shù)字證書并非來自受信任的證書頒發(fā)機(jī)構(gòu)（CA ）

對ssl 服務(wù)器證書有過一定了解的人會知道，我們可以給自己頒發(fā)證書（代碼證書、服

務(wù)器證書、郵件證書、客戶端證書等）。自簽發(fā)的服務(wù)器證書雖然不要錢，但是卻不受到客戶端操作系統(tǒng)信任，因此客戶訪問你的網(wǎng)站時就會提示不信任的證書。

受信任的CA 頒發(fā)證書是默認(rèn)內(nèi)置在我們的操作系統(tǒng)和瀏覽器中，也在客戶端的操作系統(tǒng)和瀏覽器中，因此購買證書時需要識別頒發(fā)機(jī)構(gòu)是否為受信任的CA 。

4、服務(wù)器證書信任鏈配置錯誤

我們接觸數(shù)字證書時間久一點，就會發(fā)現(xiàn)很少有頒發(fā)機(jī)構(gòu)會使用他們的根證書直接簽發(fā)客戶端證書(End User Certificate), 這可能是出于安全考慮，當(dāng)然也不排除部分證書頒發(fā)機(jī)構(gòu)支持這樣做(但是價格很驚人) 。他們都選擇用自己的二級證書進(jìn)行頒發(fā)客戶端證書，比如你購買的EV SSL綠色地址欄證書，簽發(fā)的證書鏈大概就如下所示： |---Londry Root CA

|---Londry EV SSL CA G2 (中級CA) |---www.yourdomain.com

如果不配置中級CA ，操作系統(tǒng)就無法確定SSL 證書的真正頒發(fā)者是誰。

這個時候我們的服務(wù)器證書和被受到信任的根證書就存在一個中間證書, 這個叫中級證書頒發(fā)機(jī)構(gòu)CA 。如果操作系統(tǒng)默認(rèn)只內(nèi)置了根證書頒發(fā)機(jī)構(gòu)，而我們直接安裝的是自己的域名證書。這個時候證書鏈就不完整，就會被標(biāo)記為不受信任。為了解決這個問題，我們需要在服務(wù)器配置安裝SSL 證書的時候也同樣要使得我們的證書鏈完整，才能正常使用。

5、客戶端不支持SNI 協(xié)議

這種事情只會發(fā)生在客戶使用的操作系統(tǒng)是Windows XP SP2以下，Android4.2以下的情況，因為這些操作系統(tǒng)實在是太早了。當(dāng)時系統(tǒng)廠商并未有支持這個SNI 協(xié)議。SNI 協(xié)議就是讓多個支持SSL 服務(wù)器證書的域名共享同一個獨立IP 地址的技術(shù)，現(xiàn)在已經(jīng)被幾乎所

有主流操作系統(tǒng)和瀏覽器支持了。在很多年之前，服務(wù)器證書是需要綁定到獨立IP 地址使用的，由于IPv4地址池的逐漸不夠分配，SNI 技術(shù)應(yīng)運而生了。