我想要做的是通过https提供我的网站,而不会让这些浏览器警告该网站不受信任。 我为我的域创建了一个SSL证书,并配置了Apache webserver以在default-ssl中使用它。使用https://调用我的网站有效,但在每台设备上的每个浏览器中都会收到没有提供发行者链的消息。在firefox中:
The certificate is not trusted because no issuer chain was provided.
(Error code: sec_error_unknown_issuer)
我对SSL的理解有何错误?
答案 0 :(得分:1)
您获得的证书不是由Root-CA直接签名,而是由中间CA签署,CA本身由Root-CA签名。您必须将此中间CA添加到服务器发送到客户端的证书,因为客户端仅信任Root-CA,现在不是中间CA.
该过程在各个地方进行了描述,例如https://eldon.me/?p=34
答案 1 :(得分:0)
你说Startcom SSL - 你的意思是免费的吗?如果是这样 - 这是这些浏览器的正常和导入行为(您的免费证书未经过验证 - 不能证明此证书确实属于您)。我实际上希望没有办法解决这个问题。
不要误解我的意思 - CA既有优点也有缺点。您可以为您的用户做些什么是参与信任网,但它对这个主题没有帮助。
您个人可以做的是查看证书(显示警告时 - 不要直接点击以查找临时例外)然后,可以选择永久保存该证书的例外。
但是你必须在每个浏览器上执行此操作(一次)并且只为你工作,访问该网站的每个其他用户都必须这样做。