配置Windows Server以发送交叉签名证书
所有在2011年1月之后发布的DigiCert®SSL证书都是从2048位证书路径发出的。此路径中的根证书名为DigiCert High-Assurance EV Root CA,并且已被所有现代浏览器信任。
Windows根据在根证书颁发机构证书存储中找到的根证书自动确定要发送给客户端的中间证书。当根证书颁发机构证书存储中存在DigiCert High-Assurance EV根CA根证书时,Windows不包含跨签名证书。
要确认您遇到此问题,请使用我们的在线SSL证书测试程序,该程序适用于所有可公开访问的站点。此测试程序将告诉您服务器是否正在向客户端发送正确的中间证书。
解决此问题的最快方法是使用我们的DigiCert SSL Utility for Windows。但是,您也可以完成以下步骤
禁用服务器上的根证书
在服务器的根证书颁发机构证书存储区中禁用DigiCert High-Assurance EV根CA根证书允许Windows构建正确的中间证书路径以提供给客户端。
纠正此问题涉及两个任务:
检查服务器根证书颁发机构证书存储区中的DigiCert High-Assurance EV根CA,并在必要时将其禁用。
检查服务器的中间证书存储区以获取必要的中间证书文件,并在必要时进行安装。
注意:在某些情况下,如下所述禁用DigiCert High-Assurance EV Root CA可能无法阻止您的服务器使用问题证书。在这些情况下,有必要删除DigiCert High-Assurance EV Root CA. 如果您正在考虑这样做,请注意在极少数情况下删除根证书可能会对服务器稳定性产生负面影响。
禁用DigiCert高保证EV根CA.
如果DigiCert High-Assurance EV根CA存在于受信任的根证书存储中,则应将其禁用。
通常这是您需要完成的唯一步骤。但是,检查并确保安装了正确的中间证书文件仍然是一个好主意。
要检查受信任的根文件:
在“开始”菜单上,单击“运行”,然后键入mmc。 2.单击“ 文件”>“添加/删除管理单元”
单击“ 证书”>“添加”,然后关闭“添加独立管理单元”窗口。单击确定。
选择计算机帐户,然后单击下一步。选择本地计算机,然后单击完成。然后关闭“添加独立管理单元”窗口和“添加/删除管理单元”窗口。
单击+以展开证书(本地计算机)控制台树,然后查找个人目录/文件夹。展开证书文件夹。
找到“受信任的根证书颁发机构”文件夹并展开“证书”。
查找由DigiCert High-Assurance EV Root CA颁发的文件,该文件的截止日期为11/9/2031。
双击该文件并导航到“ 详细信息”选项卡。
单击“ 编辑属性”,然后在“证书目的”字段中选择“ 禁用此证书的所有用途”。
单击确定。您可能需要重新启动服务器才能使此更改生效。检查中级证书存储区。
安装DigiCert证书时,应该已完成此步骤。但是,检查并确保安装了正确的中间证书文件仍然是一个好主意。
在MMC Certificate Snap-in中,打开“中级证书颁发机构”文件夹。
在Certificates文件夹中,找到DigiCert High-Assurance EV根CA文件。对于标准SSL证书(SSL Plus,通配符,多域SSL),还可以找到DigiCert High-Assurance CA-3文件。对于EV SSL证书,请找到DigiCert High-Assurance EV CA-1文件。
如果找到这些文件,则无需完成其余步骤。如果您找不到这些文件,请通过以下链接从我们的网站下载。SSL Plus /通配符/多域SSL证书:DigiCert高保证EV根CA : DigiCert高保证CA-3EV证书:DigiCert高保证EV根CA : DigiCert高保证EV CA-1
下载完成后,双击该文件,然后单击“ 打开”>“安装证书”。
在证书导入向导中,选择“ 下一步”。
选择将所有证书放在以下存储中,然后单击“ 浏览”。
选择“ 显示实体店”,然后将证书安装到“中级证书颁发机构”下的“本地计算机”文件夹中。
完成证书导入向导。您应该收到导入成功的消息。您的证书现已安装。您可以使用我们的在线SSL证书测试程序检查您的证书安装。
