近日，爱名网了解到，不少用户在安装部署SSL证书时遇到了中间证书未安装导致的证书链不完整问题，今天在这里给大家普及一下SSL中间证书必须安装的重要性。

1.如何导出中间证书：为什么需要中间证书？

SSL证书包含3张，即根证书，中间证书和客户端证书，这是一个完整的证书链，缺失一个链都是安装不正确的。如下图1：

图1

根证书由于大部分浏览器都会内嵌，可以不安装，但是中间证书是必须的。用户往往在支付宝或微信小程序调试中会发现中间证书缺失而导致无法完成配置的问题，那是因为支付宝和微信的强制要求是证书链必须是完整的，如果您不完整，也就无法进行下一步了。我们平时在给服务器安装https证书的时候，就需要养成良好的习惯，在服务器上绑定完客户端证书的时候，同时要把中间证书导出来，然后导入服务器中。有些用户只是将客户端证书绑定在服务器上，而忘记装中间证书，有些时候PC端的浏览器会显示没有问题，但是往往会在手机移动端尤其是安卓系统，就会因为没有检测到中间证书导致提示非信任等信息。其实当用户收到由数字证书颁发CA机构的最后一封证书签发的邮件的时候，看到begin至end这段代码，这个就是最终签发给您的服务器客户端证书，我们将这串代码保存为.cer/.crt文件扩展名格式，请不要去掉中间的中横线，然后打开方式选择加密外壳扩展。如下图2：

图2

在证书路径中，鼠标点击上述图1中间证书的地方，图1展示的是（Geotrust EV RSA CA 2018），然后点击查看证书->详细信息->复制到文件->下一步->选择Base64编码，如图3->下一步->浏览选择保存文件的路径并命名文件名保存。根证书的导出原理与中间证书一样。

图3

如果用户没有办法使用上述办法导出，也可以直接通过爱名网的官网进行中间证书的下载→https://ssl.22.cn/Helper/SslResLib。

2. 接下来，我们需要解决如何安装中间证书。

1）IIS可以在绑定完客户端证书.pfx之后，运行打开certmgr.msc命令进入IIS安装中间证书的地方，如下图4，直接导入。

图4

2）Apache和Nginx：使用.crt 和 .key进行安装，安装时需要注意的是server.crt是服务器客户端证书和中间证书的整合，即按如下格式进行：

 -----BEGIN CERTIFICATE-----
  邮件里的服务器客户端证书代码
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
   中间证书代码
-----END CERTIFICATE-----

3）Tomcat使用jks安装，在.cer和.key 进行合成转换成jks格式时，.cer的文件需要按照上面第2）的格式进行，然后再完成转换。

好了有关中间证书，小编介绍到这么多，另外提醒下，开启https协议的网站程序内不要使用http的URL，不然浏览器上面无法正确显示https。如有任何问题都欢迎来https://ssl.22.cn咨询。

声明：本网站发布的内容（图片、视频和文字）以原创、转载和分享网络内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。邮箱：tougao@22.cn。