SSL 证书在后台悄无声息地工作,保护敏感数据免遭网络窃贼窃取。 证书的整个生命周期都不会出现任何问题。 但有时,用户会遇到恼人的 SSL 错误,需要立即修复。
大多数 SSL 问题都与服务器端有关,源于配置错误或安装不当。 例如,中间证书丢失会导致网站中断。 不过,在极少数情况下,根证书和中间证书可能会过期,导致网站无法通过 HTTPS 访问。
传统中间证书已过期
不受信任的证书错误与本地安装的传统中间证书有关,这些证书出于兼容性目的保留在系统中。 其中一个例子是 “DigiCert High Assurance EV Root CA “中间证书,该证书于 2014 年过期,在 SSL 安装过程中早已不再需要。 这个问题可能会影响使用本地缓存或安装的中间证书的系统。 下面我们将介绍 Windows、Mac、Apache 和 Nginx 客户端的快速修复方法:
修复 Windows 上过期的中间证书
由于不再需要过期的遗留中间体,删除它们就能解决问题。 在删除 “罪魁祸首 “之前,如果出现问题,请先备份现有配置。
- 单击任务栏上的 Windows 图标并搜索 “MMC”,打开 Microsoft 管理控制台(MMC)。
- 要删除证书,需要在 MMC 中添加证书 “快进”。 快进是 MMC 中的一个内部工具,用于管理不同的元素,包括 SSL 证书。
- 在左侧栏中找到证书, 单击选择,然后单击添加 将其移动到右侧栏中。 最后点击 “确定 “继续。
- 在 “证书 “快显窗口中,选择 “ 计算机账户“。
- 然后,在 “选择计算机“窗口中选择 “本地计算机:”(即该控制台正在运行的计算机)。
- 单击 “完成“,然后单击 “确定“关闭 “快进管理器 “屏幕。
- 在 MMC 的左侧栏中,你应该能看到本地计算机上的证书列表。
- 在本指南中,您将展开第三方根证书颁发机构并找到 “DigiCert High Assurance EV Root CA”。
- 右键单击该 证书 ,选择 “属性“,然后在常规 选项卡的 “证书用途“中选择 “ 禁用该证书的所有用途 “,然后单击 “应用“。
- 重新启动电脑,就可以了!
修复 Mac 上过期的中间证书
Mac OS X 上的错误是由于登录密钥链中本地安装的中间证书造成的。 OS X 用户可以使用 “钥匙串访问“从 “登录密钥存储 “中删除证书来解决这个问题:
- 使用管理账户登录计算机。
- 转到 “应用程序 “,打开 “实用工具 “文件夹。
- 双击钥匙串访问图标,打开证书应用程序。
- 在 “钥匙串访问“中, 导航至 “查看> S 如何过期证书并搜索过期证书。
- 删除此证书并关闭钥匙串访问。
修复 Apache 和 Nginx 上过期的中间证书
阿帕奇
编辑 SSLCertificateChainFile /path/to/DigiCertCA.crt 指令,使其只包含一个证书。
Nginx
编辑 ssl_certificate /etc/ssl/your_domain_name.pem,使其仅包含服务器证书及其签发的中间证书。
最后的想法
中间体过期的情况很少发生,你也无能为力。 唯一的解决办法是从系统中删除证书。 随着安全实践的进步,使用旧设备和系统的人越来越少,对传统证书的需求也随之减少。
由 upklyak 创建的破损笔记本电脑矢量 –www.freepik.com