SSL123 SHA-2中级证书链断了吗？

Question

我试图将运行nginx的一个网站从SHA-1 SSL123证书升级到SHA-2证书。

塔特的带有中间CA的网页有"RSA 2(在SHA-1根下)“和"RSA 2(在SHA-2根下)”表。

如果我将CA束用于“sha-1root下”，我会发现这个包包含两个证书，并且我的网站可以工作。但是，Qualys的SSL测试为我在证书链中拥有SHA-2证书和SHA-1证书提供了正当的理由。

然而，“在SHA-2根下”表没有捆绑包。如果我使用他们提供的单一中间证书，火狐和其他工具指出证书链坏了，浏览器不会加载我的站点。

现在，我正在使用SHA-1根目录，有一个工作站点。但是，我想切换到SHA-2根目录.

我从哪里得到丢失的中级证书？或者，如果这不是问题所在，我如何从带有完整SHA-2中间证书链的SHA-2证书中为Thawte的SSL123创建一个组合证书文件？

谢谢!

Answer 1

事实证明，对于那些不经常使用SSL证书的人来说，Thawte的网站让人感到困惑。

尽管为沙-1 SHA2根下的SHA 123显示了两个证书，但您只需要第一个证书。第二个证书是SHA-1根，您不需要将它与站点的证书连接起来以部署到nginx。只要使用第一个证书，你就可以走了。

Answer 2

您自己的证书仅由一个证书签名。

这意味着您的证书正好位于这些Thawte链的一端，您需要在另一个链中使用不同的证书(其中一个由来自该链的中间证书签名)。

至于根证书的签名是SHA-1、SHA-2或其他什么，与链中的其他证书相比，它几乎没有什么意义，因为验证方已经拥有他们信任的根证书，他们不需要签名来检查根。(见SHA1 1贬义:你需要知道什么？.)

检查SSL123 SHA-2 (在SHA 1下-根)链中的证书，发现中间证书之一(“主中间CA")也是SHA-1 (不仅仅是根)。几乎可以肯定的是，您得到的是这个证书。您需要让Thawte向您颁发一个由来自另一个链的中间证书签名的新证书来解决这个问题。