1. 获取中间证书

中间证书通常由颁发您服务器证书的证书颁发机构（CA）提供。获取方式包括：

• 从CA网站下载：大多数CA在其官方网站上提供中间证书的下载链接，通常以 .crt、.cer 或 .pem 文件格式提供。

• 随证书一起提供：在购买SSL证书时，CA可能会通过邮件或证书管理平台一并提供中间证书或证书链文件。

注意：确保证书来源可信，避免使用未知或不可靠的中间证书。

2. 安装中间证书

在配置Web服务器时，需要同时安装服务器证书和中间证书，以帮助客户端建立从服务器证书到根证书的信任链。以下是常见Web服务器的配置方法：

Apache

1. 将服务器证书（server.crt）、私钥（server.key）和中间证书（intermediate.crt）上传至服务器的指定目录。

2. 编辑Apache配置文件（例如 httpd.conf 或 ssl.conf），添加以下指令：

   SSLCertificateFile /path/to/server.crt
   SSLCertificateKeyFile /path/to/server.key
   SSLCertificateChainFile /path/to/intermediate.crt

3. 保存配置文件并重启Apache服务：

   sudo systemctl restart apache2

Nginx

1. 将服务器证书和中间证书合并为一个文件（例如 combined.crt）。合并方法：

   使用记事本（Notepad）等文本编辑器，将服务器证书与中间证书合并保存为一个证书文件。

   注意：合并时，服务器证书需放在文件开头，中间证书紧随其后。

2. 编辑Nginx配置文件（例如 nginx.conf），添加以下指令：

   ssl_certificate /path/to/combined.crt;
   ssl_certificate_key /path/to/server.key;

3. 保存配置文件并重启Nginx服务：

   sudo systemctl restart nginx

IIS

1. 打开IIS管理器，选择服务器证书功能。

2. 导入服务器证书（.pfx 或 .cer 文件）。

3. 打开“证书”管理工具（运行 certmgr.msc），将中间证书导入“中间证书颁发机构”存储。

4. IIS会自动检测并使用相应的中间证书，无需额外配置。

5. 重启IIS以应用更改。

3. 验证证书链

安装完成后，需验证证书链是否配置正确，以确保客户端能够顺利验证服务器证书。方法如下：

• 在线工具：使用第三方网站在线检查证书链完整性。

• 浏览器检查：访问您的网站，查看浏览器证书详情，确保证书链显示完整且无错误提示。

如果发现证书链不完整（例如缺少中间证书），需检查配置文件并确保所有中间证书已正确安装。

4. 更新中间证书

中间证书也有有效期，通常与服务器证书的有效期不同。更新步骤如下：

1. 检查有效期：在CA网站或证书文件中查看中间证书的到期时间。

2. 获取新证书：从CA下载最新的中间证书。

3. 替换旧证书：将新中间证书文件替换旧文件，并更新Web服务器配置。

4. 重启服务：重启Web服务器以应用新证书。

5. 验证更新：再次使用在线工具验证证书链。

建议：提前规划更新时间，避免因证书过期导致连接中断。

5. 注意事项

• 完整证书链：如果存在多个中间证书（多级中间证书），需全部安装并按顺序配置。

• 证书顺序：在合并证书文件时，确保证书顺序正确：服务器证书在前，中间证书依次在后。

• 客户端兼容性：虽然现代浏览器和操作系统预装了常见根证书，但配置完整证书链可提高兼容性，尤其对旧设备或非主流客户端。

• 安全性：中间证书是公开的，不包含私钥信息，可安全分发。但务必从可信CA获取，避免引入恶意证书。

通过正确获取、安装和维护中间证书，您可以确保服务器的SSL/TLS连接安全可靠，为用户提供可信的HTTPS体验。

打印