SSL證書鏈的結(jié)構(gòu)，一般是由網(wǎng)站證書 > CA中間證書機(jī)構(gòu) > CA根證書機(jī)構(gòu)組成，中間證書還可能存在多層關(guān)系。網(wǎng)站要實(shí)現(xiàn)正常的https加密訪問，需要確保網(wǎng)站服務(wù)器上的SSL證書鏈?zhǔn)峭暾?，否則訪問時(shí)可能會(huì)出現(xiàn)證書不可信或無法訪問等問題。那么如何查看SSL證書鏈問題？下面一起來了解下。

1、需要檢查SSL證書鏈的長(zhǎng)度

既然都稱為鏈了，那長(zhǎng)度最起碼也得大于2，而最長(zhǎng)長(zhǎng)度也得要有一定的限制，畢竟沒有哪個(gè)瀏覽器證書鏈包含十幾份證書（證書鏈越長(zhǎng)，加載速度越慢，信任度越差）。

2、需要檢查SSL證書鏈的順序

這里順序檢測(cè)主要是保證下級(jí)證書必須是由上級(jí)機(jī)構(gòu)簽發(fā)，即證書鏈中，下級(jí)證書的AuthorityKeyId要與上一級(jí)證書的SubjectKeyId相等。

3、需要檢查SSL證書鏈的根證書

這里要進(jìn)行根證書的可信檢測(cè)，主要是指證書鏈的根部證書必須包含在已知的可信根證書集中，這是保證后續(xù)簽發(fā)證書可信的必要條件。

對(duì)于可信CA根證書的檢測(cè)，只需確定證書鏈中的根證書是否屬于所提供的可信CA根證書集即可，像GlobalSign、DigiCert、Sectigo等都是可信的CA機(jī)構(gòu)，一般在安信證書可申請(qǐng)。