SSL 认证链不适用于自签名证书

Question

一位客户给了我们 3 个证书，这些证书按顺序安装在 Windows 服务器上，并且:

1. 由 Verisign 颁发，适用于 Symantec(仅证书，安装为中级)
2. 由 Symantec 颁发，适用于 CompanyX(仅证书，作为中间安装)
3. 由 CompanyX 为 CompanyX 发布(证书和 key ，安装为个人)

在 mmc 中，当我检查 #2 时，我可以看到链为:

威瑞信(根)-> 威瑞信(中级)--> 赛门铁克(中级)

检查 #3(自签名证书)时，没有链。只有 CompanyX。

Windows 似乎无法在最后一个中间证书和自签名证书之间建立链，因此当客户端连接到 Web 服务器时，他们会看到自签名或不受信任的证书警告，大概是因为服务器没有发布中级证书。

我已经验证了通用名称完全匹配，并重复了几次安装过程。我在安装证书时做错了什么吗？我错过了什么吗？

Answer 1

证书 #3 不是 VeriSign 颁发的证书的一部分。它可以是从节点复制的不完整请求的虚拟证书(在证书 MMC 中)。如果是这种情况(比较公钥或 Subject Key Identifier 扩展值)#2 和#3 证书。如果匹配，将证书 #3 移动到 Certificate Enrollment Requests 节点。

您的客户需要做的是转到生成原始请求的机器(我怀疑是在 IIS 服务器上)并尝试通过运行以下命令正确安装颁发的证书:

certreq -accept path\certNo2.cer

如果命令成功，证书将自动安装到个人存储中。如果命令失败，客户必须找到生成请求的机器并运行上面的命令。