该证书不受信任，因为颁发者证书未知。（错误代码：sec_error_unknown_issuer）火狐

Question

一个网站想要将 SSL 证书从 Network Solutions 切换到 Gandi。除了仅在 Firefox 中抛出错误之外，一切似乎都已正确安装。在 Chrome 和 IE 上，不会抛出任何错误。看来是认证路径有问题。我尝试了一些东西并在谷歌上搜索，但问题不会消失。任何提示将不胜感激。先感谢您！

尝试的步骤：

• 根据http://wiki.gandi.net/en/ssl/intermediate 上的说明从 Gandi 获得 Gandi 中级证书（SHA2 标准证书）
• 将 Gandi 中级证书添加到服务器（MMC > 证书 > 中级证书颁发机构 > 证书）
• 从 SSL-Tools 获取的 USERTRust RSA 证书颁发机构证书https://ssl-tools.net/certificates/1y0ovx5-usertrust-rsa-certification-authority
• 向服务器添加了 USERTrust RSA 证书颁发机构证书（MMC > Certificates > Trusted Root Certification Authorities > Certificates）
• 每次安装后重新启动 IIS。
• 每次安装后清除本地浏览器缓存。

火狐错误：

Technical Details
www.somedomain.org uses an invalid security certificate.
The certificate is not trusted because the issuer certificate is unknown.
(Error code: sec_error_unknown_issuer)

Firefox 34 证书层次结构：

Gandi Standard SSL CA 2 > somedomain.org

Chrome 40 和 Internet Explorer 11 认证路径：

USERTRust > USERTrust RSA Certification Authority > Gandi Standard SSL CA 2 > somedomain.org

SSL Labs 测试结果 ( https://www.ssllabs.com/ssltest/analyze.html )：

Additional Certificates (if supplied)
Certificates provided   2 (2851 bytes)
Chain issues    Incomplete
#2
Subject Gandi Standard SSL CA 2 
Fingerprint: 247106a405b288a46e70a0262717162d0903e734
Valid until Wed Sep 11 16:59:59 PDT 2024 (expires in 9 years and 8 months)
Key RSA 2048 bits (e 65537)
Issuer  USERTrust RSA Certification Authority
Signature algorithm SHA384withRSA

Certification Paths
1   Sent by server  somedomain.org 
Fingerprint: 0123456789012345678901234567890123456789 
RSA 2048 bits (e 65537) / SHA256withRSA
2   Sent by server  Gandi Standard SSL CA 2 
Fingerprint: 247106a405b288a46e70a0262717162d0903e734 
RSA 2048 bits (e 65537) / SHA384withRSA
3   Extra download  USERTrust RSA Certification Authority 
Fingerprint: eab040689a0d805b5d6fd654fc168cff00b78be3 
RSA 4096 bits (e 65537) / SHA384withRSA
4   In trust store  AddTrust External CA Root   Self-signed 
Fingerprint: 02faf3e291435468607857694df5e45b68851868 
RSA 2048 bits (e 65537) / SHA1withRSA 
Weak or insecure signature, but no impact on root certificate

SSL-Tools 测试结果（https://ssl-tools.net/webservers/）：

Certificate chain
somedomain.org 
1054 days remaining  2048 bit sha256WithRSAEncryption
- Gandi Standard SSL CA 2
- 3537 days remaining  2048 bit sha384WithRSAEncryption
- Root certificate unknown
-- USERTrust RSA Certification Authority

服务器：

• 视窗服务器 2008 R2
• IIS 7.5

Answer 1

' USERTrust RSA Certification Authority '在所有平台上都未被识别为根 CA。因此，最好的选择是将其用作中间 CA，并拥有由“ AddTrust External CA Root ”签名的证书。

您可以在http://crt.usertrust.com/USERTrustRSAAddTrustCA.crt检索此证书

您的证书的正确安装（最被接受）是：

• 根存储
  • AddTrust 外部 CA 根
• 中间店
  • USERTrust RSA 证书颁发机构（由 AddTrust 签名）
  • Gandi 标准 SSL CA 2
• 个人商店
  • [您的服务器证书]

Windows Server 2008 R2 自动管理受信任的证书，因此您的服务器可以获得下一个配置：

• 根存储
  • AddTrust 外部 CA 根
  • USERTrust RSA 证书颁发机构（自签名）
• 中间店
  • USERTrust RSA 证书颁发机构（由 AddTrust 签名）
  • Gandi 标准 SSL CA 2
• 个人商店
  • [您的服务器证书]

当服务器发送证书时，它选择到 root 的最短路径：

• [服务器] < Gandi < USERTrust (自签名)

对于大多数平台来说，这是一条不完整的链。

如果这是您的问题，最好的解决方案是在根存储中找到“USERTrust RSACertification Authority”，然后将其属性编辑为“禁用此证书的所有用途”。

您之后重新启动服务器，Windows将始终生成所需的链：

• [服务器] < Gandi < USERTrust < AddTrust