在网络安全领域，SSL/TLS证书是保障数据传输加密的“门锁”，而中间证书（Intermediate Certificate）则是连接用户浏览器和根证书的“桥梁”。如果服务器缺少中间证书，轻则导致浏览器弹出安全警告，重则中断业务访问。今天我们就用大白话+实际案例，带你彻底搞懂这个问题！

一、什么是中间证书？为什么它这么重要？

想象一个快递配送链：

- 根证书 = 总部仓库（如DigiCert、GlobalSign等权威机构签发）

- 中间证书 = 区域分拣中心（由根证书派生，用于分发终端证书）

- 终端证书 = 快递员（直接部署在你的服务器上）

如果缺少中间证书，就像快递员没有分拣中心的授权证明，包裹（数据）会被拒收！

真实案例：

某电商网站用户投诉“访问时提示‘此连接非私密连接’”，经检测发现Nginx配置中只上传了域名证书（终端证书），漏掉了中间证书。修复后警告消失，订单转化率回升15%。

二、如何检测服务器是否缺少中间证书？

方法1：浏览器直接访问测试

Chrome/Firefox访问网站时，若出现以下提示之一：

- “此网站的安全证书链不完整”

- “NET::ERR_CERT_AUTHORITY_INVALID”

大概率是中间证书缺失。

方法2：命令行工具一键诊断

使用`openssl`命令（以`example.com`为例）：

```bash

openssl s_client -connect example.com:443 -servername example.com | openssl x509 -noout -text

```

检查输出中是否有完整的证书链（通常应包含2~3层）。

方法3：在线检测工具推荐

- [SSL Labs](https://www.ssllabs.com/ssltest/)：输入域名即可查看完整链状态。

- [DigiCert Certificate Checker](https://www.digicert.com/help/)：直观显示缺失环节。

三、缺少中间证书的常见原因与修复方案

原因1：配置时漏传文件

许多管理员只上传了`.crt`或`.pem`格式的域名证书，忘记合并中间证书。

? 修复步骤（以Apache为例）：

1. 从CA机构下载中间证书（通常为`intermediate.crt`）。

2. 将域名证书和中间证书合并为一个文件：

```bash

cat domain.crt intermediate.crt > fullchain.crt

```

3. 在Apache配置中指定完整路径：

```apache

SSLCertificateFile /path/to/fullchain.crt

原因2：CDN或负载均衡器未同步更新

如果你的网站通过Cloudflare、AWS ALB等代理服务加速，可能需要在控制台重新上传完整链。

? 修复示例（Cloudflare操作）：

进入SSL/TLS设置 → 点击“上传自定义证书” → 粘贴包含中间证的PEM文件 → 保存生效。

四、进阶排查技巧与避坑指南

坑点1：“自签名”不等于“完整链”

某些开发者用自签名工具生成测试证

TAG:ssl检测服务器缺少中间证书,服务器ssl错误,ssl证书有问题怎么办,sslcertverificationerror