1、根证书通常为cer、crt、p7b后缀格式的
2、操作思路:把CA根证书到用户证书颁发CA的各级证书,用notepad++或者UE工具打开,并从自根证书开始逐个进行复制粘贴,另存为cer或crt格式文件,这样就合成一张完整的证书链CA证书,再导入SSL VPN\aTrust即可
3、双击cer或crt格式的CA证书,即可打开查看到证书的颁发者和颁发给信息根证书如下图:
根证书:“颁发者”和“颁发给”信息完全相同,就是自己签发给自己的证书。
中级证书:“颁发者”和“颁发给”信息不一样,由上级CA签发,其中“颁发者”就是它的上级签发CA。
完整的证书信任链:就是具有完整的证书签发关系链,比如证书A由B签发,证书B由C签发,那么信任链就是A—B—C组成的信任关系或者A-B组成的信任关系。由于我们要导入的是根证书链,通常根证书链都是两级CA,所以通常为A-B,也有少部分是A-B-C
如下图:证书A是完整的证书链,而证书B仅仅只是一本根证书(颁发者和颁发给都是同一个名字,说明它就是根证书)
4、用notepad++或者记事本打开证书
打开后看到证书内容会是这样的:
5、先通过证书的颁发者和颁发给来判断证书是一级根还是二级根,因为手动合成完整的证书链是要把一级根、二级根的内容进行合并
先打开用户证书(颁发者一般是xx域名,颁发者是它的上一级证书),如下图,颁发者是Smr Root CA,颁发给是os.mysmr.xyz,那我们需要往上去找Smr Root CA是谁颁发的,因此上一本证书的颁发给就是Smr Root CA,如果颁发给和颁发者都是同一个,说明它就是根证书,就到头了,下图的Smr Root CA就是根证书了
6、通过第5点判断后,发现证书结构是用户证书-二级根证书-根证书,那服务端证书就需要手动合成一下证书链,将二级根证书和根证书合并一下,合并方法:
将二级根证书和根证书用记事本和notepad++打开,将根证书的内容换行复制到二级根证书内容的后面,然后另存为ca.cer或者ca.crt(具体是cer还是crt后缀,主要看根证书后缀是什么结尾)
建议使用Chrome浏览器访问!
