爲我的API提供CA鏈：我應該包含鏈中的所有證書嗎？

Question

美好的一天！

我正在開發可通過HTTPS訪問的類似REST的API。我的證書由CA頒發並具有中間證書（我的證書爲3級：AddTrust - > Comodo - > EssentialSSL - >我的證書）。

我想提供證書鏈與我的.NET和PHP SDK爲我的API，如Facebook的用戶做： https://github.com/facebook/php-sdk/blob/master/src/fb_ca_chain_bundle.crt

我已經下令我的證書逐一及其創建的類似文本文件適用於命令行卷曲和PHP捲曲庫。

但它工作時，我只有一個根證書（AddTrust在我的情況下）。

我是否應該將所有證書與我的SDK或僅一個根證書捆綁在一起？

Answer 1

您需要捆綁你不希望用戶有任何證書。如果您缺少鏈中的中間證書，則下面的所有證書都將無效。

您的證書由EssentialSSL頒發;如果沒有EssentialSSL的中級證書，系統無法知道您的證書是否有效，或者它最終會追溯到AddTrust。例如，我已經爲AddTrust和Comodo安裝了證書，但沒有安裝EssentialSSL，所以我的系統不會考慮您的證書是可信的。

當你說「它有效，當我只有一個根證書」時，你是什麼意思？您總是根據定義，在鏈中只有一個根證書;其餘的是中級證書，由上級人員頒發。你能更具體地說明你實際上遇到了什麼問題嗎？