解决Windows 服务器 Sectigo SSL证书链不完整，缺少 Sectigo Public Server Authentication Root R46

Sectigo 在2025年上半年更新了其 SMIME 证书以及DV OV EV SSL证书的中间证书，以大量用户使用的PsoitiveSSL DV SSL证书为例，原来的证书链是:

服务器证书 ->
Sectigo RSA Domain Validation Secure Server CA ->
USERTrust RSA Certification Authority

从2025年6月开始新签发的 PsoitiveSSL DV SSL证书的RSA证书链变为

服务器证书 ->
Server Authentication CA DV R36 ->
Sectigo Public Server Authentication Root R46 ->
USERTrust RSA Certification Authority

可以看到新的证书链里面有两个中间证书

Server Authentication CA DV R36
Sectigo Public Server Authentication Root R46

其中 Sectigo Public Server Authentication Root R46 是交叉签名证书

交叉签名证书是由新旧根证书共同签发的中间证书，确保旧设备在信任新根证书前仍能验证SSL证书的合法性，实现根证书的平滑升级

在Windows 服务器上安装新证书链的证书后，有可能遇到“不受信任的链接”的错误提示，通常是在部分较老版本的移动设备才会遇到这个情况，或者通过SSL证书安装检测才会发现这个问题

例如 https://www.sslaaa.com/tools/ssl-checker 会检测到证书链的问题

从上图的检测结果来看，发现windows 服务器没有发送 Sectigo Public Server Authentication Root R46 这个中间证书。

碰到这个问题我们通常会在服务器上通过MMC控制台导入这个中间证书，这个操作就能解决Windows 服务器上证书链不完整的问题，不过现在即使导入了中间证书，Windows 还是仅发送前面两个证书，不发送第三个证书

出现这个情况的原因是，很多SSL证书存在多个证书链，Windows服务器在SSL握手过程中会优先发送最短路径的证书链，而最短的证书链并不一定是兼容性最好的证书链。所以我们要做的就是不让windows 发送最短的证书链，而是让他发送兼容性最好的证书链

要解决这个问题，需要在安装SSL证书的 Windows 服务器上

1. 导入 Sectigo Public Server Authentication Root R46 中间证书
下载网址 https://crt.sh/?d=11405654893
也可以从证书管理面板的证书详情页下载证书后，解压，在other 目录里找到文件名为 SectigoPublicServerAuthenticationRootR46 的证书

2. 禁用 Sectigo Public Server Authentication Root R46 根证书

这两个证书的名称是一样的，但是并不是同一个证书，关于这个证书的详情可以查看 https://crt.sh/?caid=204203

下面介绍具体操作方法

1.点击 Win + R ，在弹出的允许窗口中输入 mmc ，打开控制台面板

2. 点击文件，选择添加删除管理单元

3. 选择证书，点击添加

4.选择计算机账户

操作1：导入 Sectigo Public Server Authentication Root R46 中间证书

点击 中间证书颁发机构，右键点击证书，选择所有任务，点击导入

选中要导入的R46中间证书，点击下一步

点击下一步，然后点击完成，会提示导入成功

现在我们会在中间证书列表里面看到刚才导入的R46中间证书

操作2：禁用R46根证书

点击 受信任的根证书颁发机构，点击证书，在右侧的证书列表里面找到 R46根证书，右键点击该证书，选择 禁用此证书的所有目的，点击确定

重启服务器让以上设置生效。通过以上操作就能够解决Winidows 服务器上的证书链不完整的问题，上面的操作适用于 Sectigo 的 DV OV EV 使用 RSA算法的SSL证书，目前大多数网站采用的RSA算法的证书。

如果你安装的SSL证书是ECC算法的，那要导入的是 Sectigo Public Server Authentication Root E46 中间证书，禁用E46根证书

1. 导入 Sectigo Public Server Authentication Root E46 中间证书
下载网址 https://crt.sh/?d=11405664274
也可以从证书管理面板的证书详情页下载证书后，解压，在other 目录里找到文件名为 SectigoPublicServerAuthenticationRootE46 的证书

2. 禁用 Sectigo Public Server Authentication Root E46 根证书

如何选择SSL证书

SSL证书品牌

按认证类型分类

按域名类型

在线咨询

数字证书

技术支持

证书申请验证指南

SSL证书安装使用

常见问题

SSL工具

SSL证书工具

SSL证书安装检测

解决Windows 服务器 Sectigo SSL证书链不完整，缺少 Sectigo Public Server Authentication Root R46

文档分类

最近更新

证书品牌

SSL证书等级

数字证书

支持文档

关注我们 - 微信公众号

如何选择SSL证书

按认证类型分类

按域名类型

在线咨询

技术支持

SSL证书安装使用

常见问题

SSL证书安装检测

解决Windows 服务器 Sectigo SSL证书链不完整 ，缺少 Sectigo Public Server Authentication Root R46

文档分类

最近更新

解决Windows 服务器 Sectigo SSL证书链不完整，缺少 Sectigo Public Server Authentication Root R46