我尝试将正在运行的一个网站nginx从 SHA-1 SSL123 证书升级为 SHA-2 证书。
Thawte 的具有中间 CA 的网页有“RSA SHA-2(在 SHA-1 Root 下)”和“RSA SHA-2(在 SHA-2 Root 下)”表。
如果我使用CA 包对于“在 SHA-1 Root 下”,我看到该包包含两个证书,我的网站可以正常运行。但是,Qualys 的 SSL 测试正确地指出我的证书链中有一个 SHA-2 证书和一个 SHA-1 证书。
但是,“SHA-2 Root 下”表没有捆绑包。如果我使用单一中间证书他们在那里提供,Firefox 和其他工具指出证书链已损坏,浏览器无法加载我的网站。
目前,我正在使用 SHA-1 根来建立正常运行的网站。但是,我想切换到 SHA-2 根。
我在哪里可以得到缺失的中间证书?或者,如果这不是问题所在,我该如何为 Thawte 的 SSL123 创建包含完整 SHA-2 中间证书链的 SHA-2 证书组合证书文件?
谢谢!
答案1
您自己的证书仅由一个证书签名。
这意味着您的证书位于这些 Thawte 链之一的一端,您需要一个不同的证书位于另一条链中(由该链中的中间证书签名的证书)。
至于签名根证书无论是 SHA-1、SHA-2 还是其他什么,与链中的其他证书相比,它都无关紧要,因为验证方已经拥有他们信任的根证书,他们不需要签名来检查根证书。(例如参见SHA1 弃用:您需要了解的内容。
检查证书Thawte SSL123 SHA-2(SHA1-Root 下)链中,其中一个中间证书(“主要中间 CA”)也是 SHA-1(不仅是根证书)。几乎可以肯定,您收到“警告”的就是这个证书。您需要让 Thawte 为您颁发一个由来自其他链的中间证书签名的新证书,以解决此问题。
答案2
事实证明,Thawte 的网站对于那些不经常使用 SSL 证书的人来说只是令人困惑。
尽管有两张证书SHA-1 根下的 SSL123 SHA2,只需要第一个。第二个证书是SHA-1 根,您不需要将其与站点的证书连接起来才能部署到nginx。只需使用第一个证书,就可以了。