编辑人员注释:本文章由 Windows Azure 网站团队的项目经理 Erez Benari 撰写。
在 Windows Azure 网站上使用 SSL 已经司空见惯。虽然向网站上传和分配证书通常简单而直接(如我们最近的博客文章 1 和 2 中所述),但有些客户遇到了困难, 因为其证书提供商使用了中间证书。
中间证书(也称为链证书)由某些证书经销商使用,其使用正变得越来越普遍,因为证书提供商认为这样可以增强安全性。例如,VeriSign 和 GoDaddy 在过去几年已经停止颁发非链接证书,这会影响依赖于它们的提供商,包括 Thawte,当然还有 GeoTrust。
当然,Windows Azure 网站完全支持这种使用场景,并且您只需注意安装中间证书所需执行的步骤即可使其保持顺畅运行。此使用场景中出现问题的最常见原因是客户试图将中间证书本身上传到我们的服务器。另一个常见问题是客户上传的证书文件中不包含中间证书。这两种情况都可能会导致有些浏览器发出警报,提示网站不可信(大多数情况下,用户仍可继续操作,但此错误无疑会让许多用户担忧,应加以避免)。
明确地说 – 证书提供商使用链证书模式时,您需要将它上传,但正确的处理方法是将两者一起上传。您可能还记得我们之前有关此主题的文章中提到过,为进行上传您应将证书导出到 PFX 文件(为使证书包含其私钥,需执行此操作)……而如果该证书是由中间 CA 颁发,则您只需确保导出中包含**中间证书。为此,请确保选中 Include all certificates in the certification path ifpossible 选项:
此导出操作会产生一个较大的 PFX 文件,该文件包含我们的服务器处理证书所需的所有信息。明确地说,您不应导出中间证书本身,而是导出您自己的服务器证书。执行此操作并选中正确选项时,导出会将两个证书都包含在 PFX 文件中,因此我们的服务器将能正确处理该文件。
** 在此提醒一个重要事项,要使导出顺利完成,执行导出的计算机本身必须具有中间证书。证书提供商颁发证书时,通常会向您提供安装证书所需的信息和/或链接,但万一您缺少这些信息和/或链接或者存有疑问,我们建议您查看相应邮件并按照其中的说明操作。您也可以搜索提供商的网站,获取相关信息(例如,单击此处访问 GoDaddy 的网页和 VeriSign 的网页) |
本文翻译自: