https证书配置完整证书链常见问题

1.完整证书链是什么

举例说明，如图，从上到下依次是根证书，中间证书，网站证书；中间证书可能有多级证书，比如有的证书链长度是4，那么中间证书就是两级。

2.配置完整证书链是否配置根证书

答案是不配置，根证书是终端设备预装信任的。

以windows系统为例，chrome使用的是操作系统预装的证书库；windows运行certmgr.msc即可打开证书管理器。

火狐浏览器内置了证书管理器；在地址about:preferences#privacy中的证书栏目可以看到证书管理器。

3.如果server配置了根证书有坏处吗

答案是有坏处，因为会证书的传递会占用带宽，且server传递过来的根证书对client无用。

4.中间证书必须配置吗

client与server进行ssl_handshake时，会验证证书，如果server端没有配置中间证书，在满足以下任意一种情况下client会完成证书检查。

（1）中间证书已被证书管理器信任

（2）client会根据Authority Info Access自动下载中间证书，Authority Info Access如图

如果client上述两个条件都不满足，并且server没有配置中间证书，那ssl_handshake会失败。