2025年上半年,Sectigo对其SMIME证书及DV、OV、EV类型的SSL证书中间证书进行了更新。这一调整导致部分Windows IIS服务器在部署新证书后,出现“证书不可信”“证书链不完整”的问题,尤其在老旧移动设备上容易触发。本文将详细介绍如何解决这一问题:
一、证书链变化说明
以常用的PositiveSSL DV SSL证书(RSA算法)为例,证书链结构在2025年6月后发生了明显变化:
- 旧证书链:服务器证书 → Sectigo RSA Domain Validation Secure Server CA → USERTrust RSA Certification Authority(仅1层中间证书)
- 新证书链:服务器证书 → Server Authentication CA DV R36 → Sectigo Public Server Authentication Root R46 → USERTrust RSA Certification Authority(新增2层中间证书)
- 新旧对比:“Sectigo Public Server Authentication Root R46”是交叉签名证书(由新旧根证书共同签发),用于保障旧设备在信任新根证书前仍能验证证书合法性,实现根证书平滑升级。
二、问题根源
Windows服务器在SSL握手时,会优先选择“最短路径证书链”发送,但最短链未必是兼容性最好的。新证书链中,若服务器未正确发送Sectigo Public Server Authentication Root R46中间证书,就会导致链不完整,进而触发“不可信”提示。
三、通用解决思路
核心是让服务器发送“兼容性最优的完整证书链”,需完成3个关键操作:
- 导入缺失的中间证书;
- 禁用对应的根证书;
- 将该根证书加入“不可信证书列表”(避免系统自动启用)。
四、具体操作步骤
(一)适用于RSA算法证书
步骤1:导入Sectigo Public Server Authentication Root R46中间证书
1. 下载证书。 通过下面的百度网盘分享链接: https://pan.baidu.com/s/1XczORMz8CAUcF5GQpww4gw?pwd=gz8z (提取码: gz8z)下载 “Sectigo Public Server Authentication Root R46.crt”文件。
2. 打开证书控制台。键盘摁下快捷键“Win+R”,输入“mmc”并确定,打开“控制台面板”;
3. 进入证书管理。点击“文件→添加/删除管理单元”,选择“证书”→“添加”,然后选择“计算机账户”,再选择“本地计算机(运行此控制台的计算机)”,点击“完成”,再点击“确定”;
4. 导入证书。在左侧导航栏找到“中间证书颁发机构→证书”,右键点击“所有任务→导入”,选择下载的R46证书,按向导完成导入(存储位置默认“中间证书颁发机构”即可)。
步骤2:禁用R46根证书
1. 在控制台左侧导航栏找到“受信任的根证书颁发机构→证书”;在右侧证书列表中找到“Sectigo Public Server Authentication Root R46”;
2. 右键点击该证书,选择“属性”,然后选择“禁用此证书的所有目的”,点击“确定”。
步骤3:将R46根证书加入不可信列表
1. 导出已禁用的R46证书:右键点击该证书,选择“所有任务→导出”,按默认选项完成导出(为了便于查找,保存在桌面,文件名为R46);
2. 导入到不可信列表:在控制台左侧找到“不信任的证书→证书”,右键点击“所有任务→导入”,选择刚才导出的“R46”证书,按向导完成导入。
(二)适用于ECC算法证书
操作逻辑与RSA证书一致,仅需替换对应的证书文件:
1. 导入证书:通过百度网盘分享链接: https://pan.baidu.com/s/1cXMlZQgx7pc6Bo1GgsnXLg?pwd=52ae (提取码: 52ae)下载 Sectigo Public Server Authentication Root E46.crt 中间证书文件,导入到“中间证书颁发机构”;
2. 禁用证书:在“受信任的根证书颁发机构”中找到“E46根证书”,禁用其所有目的;
3. 加入不可信列表:导出E46证书后,导入到“不信任的证书”列表。
五、生效方法
完成上述操作后,“重启Windows服务器”使配置生效。重启后可通过SSL检测工具复查,确认证书链已完整。 通过以上步骤,可彻底解决Windows IIS服务器因Sectigo证书更新导致的链不完整问题,确保证书在新旧设备上均能被正常信任。
本站所有内容,如有版权、侵权等问题,请及时联系本站做删除。发布者:聚云网,转载请注明出处:
微信扫一扫 
