更新中级SSL专业证书(Verisign)后网站关闭？

Question

我有一个网站，那里的中级证书已经过期。我的IT人员说，他已经更新了中间证书，但现在该站点无法通过404错误页面访问。

为了解决这个问题(因为他离开了一个星期.)，我使用这个链接来检查SSL证书的状态：https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&actp=CROSSLINK&id=AR1130

我得到的错误如下：

错误:证书安装检查器连接到Web服务器，但无法读取Web服务器的证书。确保浏览器可以与Web服务器建立SSL连接。

证书来自Verisign，是"SSL Pro“。要了解问题的背景情况，我们必须参考以下链接：https://knowledge.verisign.co.uk/support/ssl-certificates-support/index?page=content&id=SO18873&actp=search&viewlocale=en_US&searchid=1326832230564

这里有一个片段：

原因

SSL高级SSL中间CA证书的安全站点Pro/托管PKI于2011年10月24日到期

分辨率

如果您有一个安全站点Pro或Premium证书是在2010年10月10日之前颁发的，那么该证书可能链接到2011年10月24日到期的以下中间CA：

知道这里可能出了什么问题吗？

Answer 1

您不更新中间(链式)证书，Verisign处理这些证书，因为它们属于它们。这听起来很像您得到了一个新的证书，它是由与您以前的证书不同的中间证书签名的。您的服务器需要这个中间证书来显示客户端的完整链。

更详细的信息:客户端有一个他们已经信任的证书列表，根CA。可能已经在名单上了。由于各种原因，VeriS传不使用根CA证书直接对服务器证书进行签名。它使用中级证书。客户端不知道这个中间证书。当客户端连接到服务器时，服务器同时提供服务器证书和中间证书。客户端对此进行仔细研究，发现它信任Verisign (Verisign)，Verisign信任中间层，中间层信任您的服务器证书，所以一切都很好。

但您的服务器缺少新的中间证书。因此，客户端与您的服务器联系，只查看服务器证书。由于客户端找不到从证书的信任链，所以连接失败。要解决这个问题，您需要在服务器上安装中间证书。对于主要服务器来说，这一过程是不同的：

对于Apache1.x:您需要编辑httpd.conf。找到指令SSLCertificateChainFile并将其指向Verisign提供的中级证书。CA通常提供“证书束”、“链束”、“链证书”或“中级证书”(就您的目的而言，它们都是相同的)。

附带注意:Apache1.x确实是一个古老的软件，应该被废弃.Apache2.x是可用的。