安装 SSL 证书时,服务器可能会要求导入 CA 捆绑包和主证书。 用户通常会在这里遇到困难。 他们要么不知道在哪里可以找到 CA 捆绑程序,要么在创建 CA 捆绑程序时举步维艰。
那么,什么是 CA 捆绑包? 本指南将带你了解 CA 捆绑文件的主要方面,并告诉你如何在 SSL 配置过程中获取它。
目录
什么是 SSL 中的 CA 包?
CA 包是包含根证书和中间证书的文件。 这些文件与服务器 SSL 证书(专门为你的域名签发)一起,构成了SSL 信任链。 为了提高证书与网络浏览器、电子邮件客户端和移动设备的兼容性,需要建立证书链。
为什么 CA 包很重要?
对于旧版本的浏览器和过时的系统来说,CA 捆绑软件是必不可少的。 如果中间证书丢失或配置不正确,浏览器将无法识别您的证书。
中间件丢失是SSL 连接错误最常见的原因之一。 要避免这个问题,必须导入正确的 CA 捆绑文件。 此外,CA 包内的证书顺序必须正确。
如何获取 CA 捆绑包?
并非所有证书颁发机构都会向您发送 CA 捆绑文件。 您可能会收到根证书和中间证书的不同文件。 如果您的证书是 PKCS#7 格式(主要适用于 IIS/Microsoft Exchange),则证书中已包含捆绑包,您无需单独安装。
成功申请 SSL 证书后,CA 会向你提供所有必要的安装文件。在你的设备上下载并解压其中的内容。如果有扩展名为.ca-bundle的文件,你只需将其上传到服务器的相关字段即可。
如果收到的根证书和中间证书是单独的文件,则应将它们合并为一个文件,以创建 CA 捆绑文件。 方法如下
如何从 CRT 创建 CA 包?
要创建 CA 捆绑文件,需要记事本等文本编辑器,当然还需要根证书和中间证书的独立文件。 典型的SSL 安装包可能包括以下文件:
- 根证书 – 根 CA 证书:AddTrustExternalCARoot.crt
- 中间证书 1:SectigoRSAAddTrustCA.crt 或 SectigoECCAddTrustCA.crt
- 中间证书 2:SectigoRSAECCDomain/Organization/ExtendedvalidationSecureServerCA.crt
- 中间证书 3:SectigoSHA256SecureServerCA.crt
- 为您的域名签发的 SSL 证书:yourDomain.crt
要创建自己的 CA 捆绑包,请按下图所示的 CA 捆绑包顺序将根证书和中间 SSL 证书放在一个文本文件中。
步骤 1:用文本编辑器打开除域名证书外的所有文件。
步骤 2:新建一个空白文本文件,命名为 “yourdomain.ca-bundle”。
步骤 3:按顺序复制所有文件的内容并粘贴到新文件中。
CA 捆绑令:
- 中级证书 3
- 中级证书 2
- 中级证书 1
- 根证书
步骤 4:保存新创建的文件。
现在您可以将其上传到服务器。
如果丢失了 CA 捆绑包或根文件和中间文件,可以从 CA 获取捆绑包。
我可以生成 CA 包吗?
您无法使用类似CSR 生成器的工具自动生成 CA 捆绑程序。 在获取 SSL 捆绑软件方面,您有三种选择:
- 与服务器 SSL 证书一起从证书颁发机构直接接收。
- 从 CAs 网站下载
- 通过合并中间 SSL 文件和根 SSL 文件,手动创建 CA 捆绑程序。
如果您没有直接从 CA 获得捆绑包,则应从官方来源下载。 如上段所述,经验丰富的用户可以自己创建。
有哪些 CA 捆包示例?
下面是Sectigo和DigiCert 提供的一些 CA 捆绑示例:
有关 CA 捆绑程序的更多问题,请联系您的 CA 或 SSL 供应商。
底线
CA 捆绑是 SSL 证书配置的基本要素。 没有它,你甚至无法在某些服务器上安装证书。 现在你已经知道什么是 CA 捆绑程序以及它的工作原理,你可以在任何系统中添加 SSL 证书,避免因缺少中间证书而导致恼人的 SSL 连接错误。
