黄兵的个人博客

IIS 部署 SSL 证书提示证书链中的一个或多个中间证书丢失

在 Windows Server 2022 服务器上部署好网站之后，需要启用 https，就需要一个证书。

将原来的证书转移到新的服务器上导入，之后绑定到博客网站上，但是却提示： “证书链中的一个或多个中间证书丢失，要解决此问题，请确保安装了所有中间证书”。

具体提示截图如下：

出现问题的原因：

中间证书缺失。

解决方案：

我们需要查看证书的加密类型，可疑在你申请免费证书的云服务商控制台看到。

下面我以腾讯云举例：

登录腾讯云 SSL 证书控制台，查看您的证书加密算法类型。如下图所示：

我们需要根据证书的加密算法下载中间证书：

RSA 加密算法类型：单击下载。

ECC 加密算法类型：单击下载。

我们将下载好的证书上传到服务器上，开始导入证书：

在服务器上点击刚才上传的证书，之后开始安装证书，截图如下：

选择存储位置为：本地计算机，截图如下：

选择证书保存的系统区域为：中间证书颁发机构，截图如下：

完成证书导入：

扩展：

什么是中间证书？

中间证书（Intermediate Certificate）是在数字证书颁发机构（Certificate Authority，简称CA）和最终证书之间存在的一种证书。它是用来构建证书链（Certificate Chain）的一部分。

数字证书链是由一系列证书组成的层次结构，用于验证公钥证书的有效性。证书链通常包括以下几个层级：根证书（Root Certificate）、中间证书和最终证书（End Entity Certificate）。

根证书是CA的最高级证书，它由可信任的实体（如受信任的根CA）签发，并被广泛分发到操作系统、浏览器等软件中。中间证书位于根证书和最终证书之间，它由根证书签发，同时也可以用于签发其他的最终证书。

当客户端（如浏览器）接收到一个最终证书时，它需要验证该证书的有效性。为了完成验证，客户端需要构建证书链，即从最终证书开始，逐级向上验证每个中间证书的有效性，最终验证根证书的有效性。如果整个证书链都能成功验证，并且根证书被客户端信任，那么最终证书就被视为有效和可信的。

中间证书的存在可以使证书链变得更短，减少验证的时间和复杂性。同时，中间证书也可以在需要时被替换或更新，而无需重新签发最终证书。

总结来说，中间证书是位于根证书和最终证书之间的一种证书，用于构建证书链并验证最终证书的有效性。

什么是证书链？

证书链（Certificate Chain），也称为证书路径（Certificate Path），是由一系列数字证书组成的层次结构，用于验证公钥证书的有效性和可信性。

证书链通常包括以下几个层级：

1. 最终证书（End Entity Certificate）：最终证书是被验证的目标证书，它包含了一个实体（如网站、服务器或个人）的公钥和相关信息。最终证书是由中间证书签发的。

2. 中间证书（Intermediate Certificate）：中间证书是位于最终证书和根证书之间的证书。它由根证书签发，也可以用于签发其他的最终证书。中间证书的存在可以构建一个证书链，使得最终证书能够连接到受信任的根证书。

3. 根证书（Root Certificate）：根证书是证书链的最高级证书，它由可信任的实体（如受信任的根证书机构）签发。根证书通常预装在操作系统、浏览器或其他软件中，并被用来验证中间证书的签名和可信性。

验证证书链的过程如下：

1. 客户端（如浏览器）接收到一个最终证书。

2. 客户端使用本地预装的根证书来验证最终证书的签名是否有效。

3. 如果最终证书的签名有效，客户端会继续验证中间证书的签名。

4. 客户端使用根证书验证中间证书的签名是否有效。

5. 如果中间证书的签名有效，客户端可以继续验证其他的中间证书，直到达到根证书。

6. 最终证书被视为有效和可信的，当且仅当整个证书链中的每个证书都被成功验证，并且根证书被客户端信任。

通过构建证书链，客户端能够追溯到可信任的根证书，从而验证目标证书的合法性和可信度，确保与目标实体进行通信时的安全性和完整性。

其它相关推荐：

1、Enable HTTP/3 Support for IIS on Windows Server 2022

2、Windows Server 2022 IIS 10 开启 HTTP/3

3、IIS Apache Nginx 安装SSL证书

4、HTTPS-老司机手把手教你SSL证书申购-TrustAsia证书

5、安装SSL证书后实现http自动跳转到https教程

参考资料：

1、IIS 部署免费 SSL 证书提示证书链中的一个或多个中间证书丢失

2、ChatGPT

黄兵个人博客原创。