背景
由于浏览器厂商对根证书的最新要求,从2025年下半年开始,各家CA公司陆续开始切换到新的根证书。
为保证在旧设备上的兼容性,各家CA公司普遍提供了交叉签名到旧根证书的证书链。从SSL HELLO下载的证书文件默认也是带有了相关交叉签名中间证书。
Nginx、Apache等web服务器都能够正确按证书文件中提供的中间证书发送交叉签名到旧根证书的证书链,确保证书兼容性。而Windows Server下的IIS服务器会强制优先使用最短(最新)证书链,导致证书在旧设备(尤其是移动端设备)上的兼容性不佳,表现为显示证书无效。
本文档将协助您在Windows Server服务器上导入交叉签名中间证书,并禁用新根证书,以确保服务器发送交叉签名到旧根证书的证书链,提升证书兼容性。
操作步骤
1. 下载相应品牌的交叉签名中间证书
以上均为RSA算法的DV类型中间证书,如您购买的是ECC算法或OV/EV类型证书,请联系客服获取相应中间证书
2. 导入中间证书
在windows server服务器上按 win+R 键,打开运行窗口,输入 certlm.msc ,打开证书管理器
选择第一步中下载的相应品牌的中间证书
将证书导入到“中间证书颁发机构”
3. 下载相应品牌需要禁用的新根证书
以上均为RSA算法的根证书,如您购买的是ECC算法证书,请联系客服获取相应根证书
4. 禁用新根证书
在“不信任的证书”上右键,选择“所有任务”“导入”
导入上一步中下载的新根证书
5. 重启服务器
重启服务器后,以上操作才能生效。