Sectigo 在2025年上半年更新了其 SMIME 证书以及DV OV EV SSL证书的中间证书,以大量用户使用的PsoitiveSSL DV SSL证书为例,原来的证书链是:
服务器证书 -> Sectigo RSA Domain Validation Secure Server CA -> USERTrust RSA Certification Authority
在2025年6月之后新签发的 PsoitiveSSL DV SSL证书 的证书链变为
服务器证书 -> Server Authentication CA DV R36 -> Sectigo Public Server Authentication Root R46 -> USERTrust RSA Certification Authority
可以看到新的证书链里面有两个中间证书 Server Authentication CA DV R36 和 Sectigo Public Server Authentication Root R46 ,其中 Sectigo Public Server Authentication Root R46 是交叉签名证书
交叉签名证书是由新旧根证书共同签发的中间证书,确保旧设备在信任新根证书前仍能验证SSL证书的合法性,实现根证书的平滑升级。
在Windows 服务器上安装新证书链的证书后,有可能遇到“不受信任的链接”的错误提示,通常是在部分较老版本的移动设备才会遇到这个情况,或者通过SSL证书安装检测才会发现这个问题 ,例如 https://www.sslaaa.com/tools/ssl-checker 会检测到证书链的问题
碰到这个问题我们通常会在服务器上通过MMC控制台导入这两个中间证书 Server Authentication CA DV R36 和 Sectigo Public Server Authentication Root R46 ,以往的情况这个操作就能解决Windows 服务器上证书链不完整的问题,不过现在即使导入了中间证书 ,Windows 还是仅发送前面两个证书,不发送第三个证书。
出现这个情况的原因是,即使你已经导入了CA提供的完整的中间证书,Windows服务器在SSL握手过程中会优先发送最短路径的证书链。
要解决这个问题,需要在windows 服务器上禁用 Sectigo Public Server Authentication Root R46 这个根证书,具体操作方法如下
1.点击 Win + R ,在弹出的允许窗口中输入 mmc ,打开 控制台面板
2. 点击文件,选择 添加删除管理单元
3. 选择证书,点击添加
4.选择 计算机账户
5.点击完成,点击确定
这时候可以看到Windows证书库管理面板,点击 受信任的根证书颁发机构 ,点击证书,在右侧根证书列表里面找到要禁用的根证书 Sectigo Public Server Authentication Root R46 . 右键点击该证书,选择 属性,在证书目的下面选择“禁用此证书的所有目的”,然后点确定。
通过以上操作就能够解决Winidows 服务器上的 证书链不完整的问题