为了保证客户端和服务端通过HTTPS成功通信,您在安装SSL证书时,也需要安装根证书和中间证书。本文介绍如何获取根证书和中间证书。
使用说明
如果您的业务用户通过浏览器访问您的Web业务,则您无需关注根证书和中间证书,因为根证书和中间证书已经内置在浏览器。您只需在Web服务器安装经CA签发的SSL证书,即可实现客户端与服务端的HTTPS通信。
如果业务用户通过Java等客户端访问您的Web业务,由于客户端没有内置根证书和中间证书,您可能需要在对应客户端手动安装根证书和中间证书,保证客户端能够校验服务端的加密信息。例如,假设服务端安装了DigiCert OV型SSL证书,则客户端需要有DigiCert OV型根证书,才能实现客户端与服务端的HTTPS通信。
根证书、中间证书的类型只和证书类型有关,和证书部署的应用类型无关。您根据证书类型下载对应的根证书和中间证书即可。部分应用无需部署根证书,例如IIS服务已内置根证书,无需您再次安装。
警告 在客户端安装根证书来实现客户端校验的方式,可能会因为根证书过期失效或策略变更等导致访问失败或访问提示不安全。不推荐您使用该方式,推荐您使用系统默认信任库进行客户端校验,并开启域名强校验来增加App的安全性。如果需要了解更多信息,请搜索钉钉群(群号为32435999)并加入该群咨询。如果您确认已了解相关风险,且仍需要在App、Java客户端安装根证书,则您可以下载并安装需要的根证书。
根证书
目前只支持下载部分品牌和证书类型的根证书,具体下载地址如下:
中间证书
为了避免客户端与服务端的HTTPS通信失败,您在安装SSL证书时,也需要安装中间证书。通常情况下,您下载的SSL证书已经包含了中间证书,所以您可以直接安装SSL证书。例如,当您下载Apache证书文件后,其中的domain_name_chain.crt文件已经包含了中间证书。
注意 如果您的SSL证书不包含中间证书或者您的中间证书已过期,请访问证书品牌的官网下载中间证书或搜索钉钉群(群号为32435999)并加入该群获取技术支持。