Dragon

详细说说 SSL 的证书链

2022-09-25 20:12 68 2 条评论 明月登楼的博客

可以说明月算是个人博客里比较早用上 HTTPS 的了,折腾 SSL 证书也算是熟门熟路了都!可惜一直都忽略了证书链的存在,基本都是无视,直到开始折腾微信小程序后才算是对证书链有了一些关注,但也仅仅是关注而已,从来没有深入的研究过,这次在部署和使用【DragonAuth 微信登录小程序】的时候(可参考【本博客已经支持微信扫码注册、登录以及绑定了!】一文)才算是彻底见识了这个“坑”的威力。

微信小程序对 SSL 的严格在业界是出了名的,这次部署小程序就见识到了,最后一个“403”错误让人抓狂了很久才算是锁定到 SSL 证书上,问题就出在 SSL 证书链上,原因是证书链不完整造成的。

什么是证书链

证书链也称认证链,它是最终实体到根证书的一系列证书组成,这个证书链的处. 理过程是所有根的前辈指向最开始的根证书,即子辈连向父辈。. 如图 1 所示。. (2) 从用户实体证书到 ROOT CA 的证书链确认,其具体的做法如下页图 2 所示。. 从以上对比中可以看出:用户实体证书中的 AuthorityKey Identifier 扩展项 CertIssuer,即证书签发者的. 甄别名,应当与 CA 证书中签发此证书的 CA 名称相匹配,如图中箭头所指。. 即 CA 证书中的 Subject Name. 是用户实体证书中 Issuer Name 的 父名,对上级 CA 来说又成为子名,CA 证书中 Issuer Name 是上一级 CA 的. 名字 ,成为可信任的链状结构。

Let's Encrypt 证书链

HiCA 证书链

今天明月不准备给大家普及技术知识,就是以常见的 Let's Encrypt 证书和腾讯云免费申请有效期一年的 SSL 证书为例给大家讲述清楚如何补全自己网站的 SSL 证书链以便达到最好的 SSL 兼容性,特别是在小程序开发使用的时候,这是非常必要的一个基础环境,特别是微信小程序对 SSL 要求的严格是出了名的。

当前内容已被隐藏,您需要评论才能查看评论

最后给大家推荐一下 HiCA 证书:

至于明月推荐 HiCA 的原因就是相对于 Let's Encrypt 来说 HiCA 免费续期时间可以长达 180 天的哦,还支持 IPv4、IPv6,还提供大陆 OCSP 呢,并且跟 Let's Encrypt 一样支持 ACME 协议,可以借助免费开源的 acme.sh 脚本在 Linux 控制台终端就完成申请、部署、续期、注销,免费的哦!

「点点赞赏,手留余香」

还没有人赞赏,快来当第一个赞赏的人吧!

明月登楼给明月登楼打赏
×
予人玫瑰,手有余香
  • 2
  • 5
  • 15
  • 20
  • 25
5
支付

声明:本文来自投稿,不代表深云太熹中文网立场,来源于明月登楼的博客,版权归原作者所有,欢迎分享本文,转载请保留出处!

2022-09-25

2022-09-29

发表评论

表情 格式 链接 私密 签到

评论
正在努力加载中...
扫一扫二维码分享