证书链不完整导致SSL失效？一文教你快速修复

　　很多时候，证书链不完整的错误往往与服务器端的配置有关。尽管现代的浏览器能够根据根证书在其信任库中进行匹配，但仍然需要服务器提供完整的证书链，尤其是中间证书的存在，才能完成对证书的验证。因此，当出现 SSL 证书无法正常信任、浏览器警告“证书链不完整”时，管理员需要按照一定流程排查和修复问题。

　　SSL 证书的验证过程并不仅仅依赖于单个证书，而是依赖于一个完整的证书链。证书链包括：站点证书(即你的 SSL 证书)、中间证书和根证书。根证书是由证书颁发机构签发的，它是客户端(如浏览器)信任的基础;而中间证书则是根证书与站点证书之间的桥梁，它由 CA 提供并充当信任链的一部分。缺少任何一个环节，都有可能导致证书链验证失败。

　　问题通常出现在证书安装过程中，特别是中间证书的缺失或配置不当。很多证书颁发机构在颁发证书时会提供一个完整的证书包，其中包含了站点证书及中间证书。有时，由于管理员没有正确配置中间证书，或者只将站点证书安装在服务器上，导致浏览器无法通过根证书链完成验证，从而产生“证书链不完整”的问题。

　　为了修复这一问题，首先需要确认证书链是否完整。最简单的方法是使用在线工具进行检查。只需输入您的域名，工具会自动检测证书链并告诉您是否存在缺失的中间证书。检查结果中，若看到中间证书部分标记为“Missing”或“Not installed”，就表示证书链确实不完整。

　　一旦确认证书链不完整，接下来就需要根据服务器类型修复问题。无论是 Nginx、Apache 还是其他服务器，修复步骤大致相同：您需要将缺失的中间证书安装到服务器，并确保服务器正确地将它们与站点证书一起提供给客户端。以下是常见 Web 服务器的证书链修复方法。

　　如果您使用的是 Nginx 服务器，证书链问题的修复通常是将中间证书和站点证书合并为一个文件，确保服务器能够正确加载。步骤如下：

　　1.获取您的站点证书(通常是 your_domain.crt)和中间证书(CA 提供的 intermediate.crt)。

　　2.将这两个文件合并为一个证书文件，顺序为：站点证书 + 中间证书。您可以使用以下命令合并：

cat your_domain.crt intermediate.crt > fullchain.crt

　　3.将 fullchain.crt 配置到 Nginx 配置文件中的 ssl_certificate 指令中：

ssl_certificate /etc/nginx/ssl/fullchain.crt;
ssl_certificate_key /etc/nginx/ssl/privkey.pem;

　　4.重新加载 Nginx 配置：

sudo nginx -t
sudo systemctl reload nginx

　　这样，Nginx 就能将完整的证书链提供给客户端，从而避免“证书链不完整”的问题。

　　对于 Apache 服务器，修复的步骤与 Nginx 类似，只是配置文件有所不同。首先，确保您有站点证书和中间证书。然后，按照以下步骤操作：

　　1.将站点证书和中间证书合并为一个文件：

cat your_domain.crt intermediate.crt > /etc/ssl/certs/fullchain.crt

　　2.编辑 Apache 的 SSL 配置文件(通常位于 /etc/httpd/conf.d/ssl.conf 或 /etc/apache2/sites-available/default-ssl.conf)，确保 SSLCertificateFile 和 SSLCertificateChainFile 指令正确指向合并后的证书：

SSLCertificateFile /etc/ssl/certs/fullchain.crt
SSLCertificateKeyFile /etc/ssl/private/privkey.pem
SSLCertificateChainFile /etc/ssl/certs/intermediate.crt

　　3.重新加载 Apache 配置：

sudo apachectl configtest
sudo systemctl restart apache2

　　通过这一步骤，Apache 将会向客户端提供完整的证书链，确保浏览器能够顺利完成 SSL 验证。

　　修复证书链不完整问题的另一个重要步骤是确认证书是否已正确安装。有时即使您已经按照正确的步骤配置了证书，仍然可能会遇到“证书链不完整”问题。这可能是由于证书文件的权限问题或 Web 服务器未能正确加载证书导致的。您可以使用以下命令检查证书是否正确安装：

openssl s_client -connect yourdomain.com:443 -showcerts

　　通过该命令，您可以查看服务器返回的证书链是否完整。如果输出中缺少中间证书，您需要回到服务器配置文件并确保所有的证书都被正确加载。

　　证书链不完整还可能与缓存有关。浏览器和操作系统会缓存 SSL 证书，导致在更新证书后，客户端仍然访问的是旧证书。为确保客户端能够加载新证书，可以清除浏览器缓存或强制刷新页面。在 Chrome 中，您可以使用快捷键 Ctrl + Shift + R 来清除缓存并重新加载页面。在服务器端，可以尝试清除任何 CDN 或代理服务器的缓存，确保新证书能够及时生效。