|
您在安装和使用 VeriSign / Thawte / GeoTrust SSL证书和代码签名证书时,会涉及到如何正确选择和安装其根证书的问题。由于VeriSign/Thawte/GeoTrust都已经启动新的2048位根证书,为了保证其颁发的证书的通用性,都是采用“老根带新根”的办法。所以,用户在安装SSL证书时一定要安装老根证书、交叉根证书以及中级根证书,否则可能会导致没有升级根证书的用户浏览器无法正常显示SSL证书; 而使用代码签名证书签名代码时,公钥证书(PKCS7格式)一定要有老根证书和交叉根证书和中级根证书,否则可能会导致签名无效。
1. VeriSign
VeriSign 2048位新根证书是: VeriSign Class 3 Public Primary Certification Authority - G5,1024位老根证书是: Class 3 Public Primary Certification Authority, 老根给新根的交叉签名根证书为:VS_XS.cer。请根据您购买的证书产品名称和您的服务器类型选择合适的中级根证书:
服务器类型
SSL证书类型 |
IIS 和 Tomcat |
Apache
Plesk 和 Cpanel |
其他服务器类型 |
| Secure Site Pro |
|
|
|
| Secure Site |
|
|
|
Secure Site Pro - EV
|
|
|
|
| Secure Site - EV |
|
|
|
VeriSign代码签名证书也是必须同时把 交叉根证书 和 中级根证书 都加到签名证书链中,Java代码签名证书直接叠加到用户证书中,微软代码签名证书则需要加到 .spc文件中。 正确的签名后的证书链应该是四级证书链:老根证书 -- 新根证书 -- 中级根证书 -- 用户证书 。
2. Thawte
Thawte 2048位新根证书是:thawte Primary Root CA,1024位老根证书是:Thawte Premium Server CA, 老根给新根的交叉签名根证书为:Th_XS.cer。请根据您购买的证书产品名称和您的服务器类型选择合适的中级根证书:
服务器类型
SSL证书类型 |
IIS 和 Tomcat |
Apache
Plesk 和 Cpanel |
其他服务器类型 |
| SSL Web Server |
|
|
|
| SGC SuperCerts |
|
|
|
SSL Web Server- EV
|
|
|
|
| SSL123 |
|
|
|
Thawte代码签名证书也是必须同时把 交叉根证书 和 中级根证书 都加到签名证书链中,Java代码签名证书直接叠加到用户证书中,微软代码签名证书则需要加到 .spc文件中。 正确的签名后的证书链应该是四级证书链:老根证书 -- 新根证书 -- 中级根证书 -- 用户证书 。
3. GeoTrust
GeoTrust 启用的2048位新根证书有两个: GeoTrust Global CA 和 GeoTrust Primary Certification Authority, 1024位老根证书是:Equifax Secure Certificate Authority, 老根给新根的交叉签名根证书为:GT_XS.cer。请根据您购买的证书产品名称和您的服务器类型选择合适的中级根证书:
服务器类型
SSL证书类型 |
IIS 和 Tomcat |
Apache
Plesk 和 Cpanel |
其他服务器类型 |
| Ture Business ID |
|
|
|
| Ture Business ID - EV |
|
|
|
QuickSSL / RapidSSL
|
|
|
|
|
