Thawte SSL123 SHA-2 中間證書鏈,損壞?
我試圖將我的一個正在執行的網站
nginx從 SHA-1 SSL123 證書升級到 SHA-2 證書。Thawte 的帶有中間 CA 的網頁有“RSA SHA-2(在 SHA-1 根下)”和“RSA SHA-2(在 SHA-2 根下)”表。
如果我將 CA 包用於“在 SHA-1 根目錄下”,我會看到該包包含兩個證書,並且我的網站可以正常工作。然而,Qualys 的 SSL 測試正確地讓我在證書鏈中擁有帶有 SHA-1 的 SHA-2 證書。
但是,“在 SHA-2 根目錄下”表沒有捆綁包。如果我使用他們在那裡提供的單個中間證書,Firefox 和其他工具會指出證書鏈已損壞,瀏覽器不會載入我的網站。
現在,我正在使用 SHA-1 根來擁有一個工作站點。但是,我想切換到 SHA-2 根目錄。
我在哪裡可以得到缺少的中間證書?或者,如果這不是問題,我如何為 Thawte 的 SSL123 創建一個包含完整的 SHA-2 中間證書鏈的 SHA-2 證書的組合證書文件?
謝謝!
事實證明,Thawte 的網站只是讓那些不經常使用 SSL 證書的人感到困惑。
儘管在 SHA-1 Root 下顯示了 SSL123 SHA2的兩個證書,但您只需要第一個。第二個證書是SHA-1 根,您不需要將它與您的站點證書連接起來部署到
nginx. 只需使用第一個證書,就可以了。
您自己的證書僅由一個證書籤名。
這意味著您的證書恰好位於這些 Thawte 鏈之一的一端,您需要在另一個鏈中使用不同的證書(由該鏈中的中間證書籤名的證書)。
至於根證書的簽名是 SHA-1、SHA-2 或其他東西,與鏈中的其他證書相比,它的影響很小,因為驗證方已經擁有他們信任的根證書,他們不需要簽名檢查根。(參見例如SHA1 Deprecation: What You Need to Know。)
檢查Thawte SSL123 SHA-2(在 SHA1-Root 下)鏈中的證書,結果發現其中一個中間證書(“Primary Intermediate CA”)也是 SHA-1(不僅僅是根)。幾乎可以肯定的是,您正在獲得“叮噹”的證書。您需要讓 Thawte 向您頒發由其他鏈中的中間證書籤名的新證書以解決此問題。