Email:Service@dogssl.com
中文
CNY
{{item}}
{{item.title}}
{{items.productName}}
{{items.price}}/年
{{item.title}}
部警SSL证书可实现网站HTTPS加密保护及身份的可信认证,防止传输数据的泄露或算改,提高网站可信度和品牌形象,利于SEO排名,为企业带来更多访问量,这也是网络安全法及PCI合规性的必备要求
前往SSL证书
证书类型
品牌选择
证书类型
“明明安装了WoTrus SSL证书,Chrome却提示‘该连接不是私密连接’,Firefox显示‘证书颁发者不可信’,但旧版IE却能正常访问”——这是运维人员在部署WoTrus证书时最常遇到的困惑。这类“浏览器兼容性差异”的背后,90%是因为证书链不完整导致的信任传递中断。作为沃通(WoTrus)证书的核心配置要点,证书链的完整性直接决定了HTTPS加密是否被全网信任,本文将从原理到实操,手把手教你排查修复这一故障。
SSL证书的信任机制本质是“链式验证”,就像家谱需要从个人追溯到祖先才能证明身份一样,WoTrus证书的信任链需满足:浏览器内置根证书→WoTrus中间证书→网站服务器证书的完整链路。其中,根证书已预置在全球99.99%的浏览器中,但中间证书(如WoTrus SM2中级根证书、RSA中级根证书)并未被全部浏览器预装。
如果服务器仅部署了网站服务器证书(终端证书),未同步配置中间证书,浏览器就无法构建完整的信任路径,只能判定证书“不可信”。这也是为什么部分浏览器报错、部分正常——支持中间证书缓存的浏览器(如旧版IE)可能通过过往访问记录补全链路,而严格校验的浏览器(如Chrome、Edge)则直接拦截访问。对WoTrus证书而言,常见的中间证书缺失包括“WoTrus EV中级证书”“国密SM2中级根证书”等,不同类型证书(DV/OV/EV、RSA/SM2)对应的中间证书包也不同,这是配置时最容易疏忽的点。
在动手修复前,先通过以下3种方式精准定位问题,避免盲目操作:
访问报错网站,点击地址栏“不安全”提示→“证书”→“证书路径”:
使用SSL Labs(https://www.ssllabs.com/ssltest/)输入域名,生成检测报告:
补充工具:沃通官方检测工具(https://www.wosign.com/service/cert_check.htm),可直接识别WoTrus证书链完整性及配置错误。
查看服务器错误日志,若出现以下关键词,可佐证证书链问题:
修复的核心原则是:获取完整证书包+按正确顺序部署+验证生效,不同服务器环境配置方式略有差异,以下是针对WoTrus证书的专属实操步骤:
1. 登录WoTrus证书管理后台(https://www.wosign.com/member/),进入“已签发证书”列表;
2. 找到对应证书,下载“完整证书压缩包”,解压后包含3类文件:
3. 若已丢失证书包,可通过WoTrus官网“技术支持→证书下载”专区,按证书类型(RSA/SM2、DV/OV/EV)重新获取对应中间证书。
场景1:Nginx服务器(最常用)
1. 合并证书文件(关键步骤,顺序不能颠倒):
2. 修改Nginx配置文件(nginx.conf):
server {
listen 443 ssl;
server_name yourdomain.com; # 替换为你的域名
ssl_certificate /usr/local/nginx/conf/ssl/full_chain.crt; # 合并后的完整证书路径
ssl_certificate_key /usr/local/nginx/conf/ssl/yourdomain.key; # 私钥文件路径
ssl_protocols TLSv1.2 TLSv1.3; # 推荐启用的协议版本
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384;
}3. 重启Nginx:nginx -t && nginx -s reload。
场景2:Apache服务器
1. 合并证书(与Nginx一致):将服务器证书和中间证书按“终端证书→中间证书”顺序合并为“full_chain.crt”;
2. 配置httpd.conf或ssl.conf:
:443>
ServerName yourdomain.com
SSLEngine on
SSLCertificateFile /etc/httpd/conf/ssl/full_chain.crt # 合并后的证书
SSLCertificateKeyFile /etc/httpd/conf/ssl/yourdomain.key # 私钥
SSLCertificateChainFile /etc/httpd/conf/ssl/yourdomain.ca-bundle # 单独指定中间证书(可选,部分版本需配置)3. 重启Apache:systemctl restart httpd(CentOS)或service apache2 restart(Ubuntu)。
场景3:IIS服务器(Windows)
1. 导入服务器证书:打开“Internet信息服务管理器”→“服务器证书”→“导入”,选择服务器证书文件,输入私钥密码;
2. 导入中间证书:
3. 绑定证书:网站→“编辑绑定”→“添加”→“类型:HTTPS”→“证书”选择已导入的WoTrus证书;
4. 验证证书链:在“服务器证书”中找到对应证书,双击→“证书路径”,确认显示完整链路(根证书→中间证书→服务器证书)。
场景4:云服务器(阿里云/腾讯云等)
1. 登录云服务器控制台,进入“SSL证书”管理页面;
2. 选择已上传的WoTrus证书,点击“部署”,系统会自动识别证书类型并补全中间证书(部分平台需手动上传中间证书文件);
3. 部署完成后,通过云平台提供的“HTTPS检测工具”验证证书链完整性。
1. 多浏览器测试:使用Chrome、Firefox、Edge、Safari及手机端浏览器访问网站,地址栏显示绿色安全锁即正常;
2. 工具复检:再次通过SSL Labs检测,“Certificate Chain”项显示“Complete”,无警告提示;
3. 沃通官方验证:通过沃通证书检测工具输入域名,显示“证书链完整”“信任正常”即可。
1. 切勿遗漏国密SM2证书的专属中间证书:若部署的是WoTrus国密SM2证书,需使用对应的“国密SM2中级根证书”,不能混用RSA证书的中间证书包;
2. 证书顺序绝对不能颠倒:必须遵循“服务器证书在前,中间证书在后”的顺序,颠倒会导致验证失败,这是最常见的配置错误;
3. 避免重复部署根证书:根证书已内置在浏览器中,无需添加到证书链,额外部署可能引发兼容性问题;
4. 续期后需同步更新中间证书:WoTrus证书续期后,中间证书可能更新,需重新下载完整证书包,切勿直接复用旧的中间证书;
5. 批量部署建议使用自动化工具:若有多台服务器需部署,可使用Ansible等工具批量分发合并后的完整证书,避免手动操作失误。
若网站部署在内网或专网(无公网访问权限),浏览器可能无法自动下载中间证书,导致证书链不完整。解决方案:
1. 从WoTrus官网下载对应中间证书(https://www.wosign.com/support/download_root.htm);
2. 在客户端设备(电脑/手机)上手动安装中间证书到“中间证书颁发机构”存储;
3. 若为企业内网,可通过组策略批量推送中间证书,避免终端用户手动操作。
“证书链不完整”是WoTrus及其他所有CA证书部署中最常见的配置错误。其根源几乎总是服务器未正确提供中间证书。解决的关键在于从CA处获取完整的证书包,并严格按照您所用服务器软件的要求进行配置,确保服务器在TLS握手时能将完整的信任链发送给客户端。
Dogssl.com拥有20年网络安全服务经验,提供构涵盖国际CA机构Sectigo、Digicert、GeoTrust、GlobalSign,以及国内CA机构CFCA、沃通、vTrus、上海CA等数十个SSL证书品牌。全程技术支持及免费部署服务,如您有SSL证书需求,欢迎联系!
