关于谷歌浏览器部署证书依然显示不安全拦截并提示SSL证书链不完整的处理方法

尊敬的用户：

近期有用户发现，部署网站前被谷歌浏览器拦截提示不安全，部署后依然提示红色标签不安全。并且在某些检测工具和软件显示评级为中等B。并且发现这是由于证书链不完整，降级为B 导致的。

很疑惑为什么只是证书链不完整就会降级到B。那在这里简单的说明一下：

浏览器的处理
现代的浏览器都有证书自动下载的功能，但很多浏览器在安装后是使用系统内置的证书库，如果你缺失的那张CA证书，在系统的内置证书库中不存在的话，用户第一次访问网站时会显示如下情况：（以Chrome为例）

即使你的证书确实是可信的，但依旧会显示成不可信，只有等到浏览器自动把缺失的那张CA证书从网上下载下来之后，访问该网站才会显示成可信状态。

硬件设备的处理
大量的硬件设备并不会像浏览器一样下载CA证书，如果你缺失的CA证书不再这些硬件设备的内置证书库中，那么使用这些硬件设备访问网站就会一直显示你的域名是不可信状态。

什么意思呢？

简单来说就是由于你部署的证书文件，主要是*.key以及*.pem内容有问题，最核心的是*PEM这个文件缺失导致证书链接不完整，PEM格式证书 = 域名证书.crt + 根证书(root_bundle).crt，正确拼接PEM证书

怎么导致的呢？

根据上面的描述我们可以知道，大概率是我们在复制证书文件 .PEM这个文件txt打开复制粘贴时有遗漏。导致没有正确拼接PEM证书，最终浏览器提示证书链不完整。

怎么解决？

其实修复的办法很简单，就是在部署证书的时候，把那张缺失的CA证书一并部署。目前一般的证书签发机构在签发证书的时候会把该CA证书一并打包。我们网站控制台是有完整的下载包和完整的证书链提供的，如果缺失了可以在网站控制台重新下载部署。

打开网站，点击个人中心的证书，点击下载

显示证书，复制或者下载自己需要的信息

VSSL提供完整的证书链格式以便于您复制，包含PEM、KEY、以及CA根证书，可以根据需要复制内容。

我们以宝塔面板为例，在复制时切记注意KEY格式和PEM格式对应的文件是否复制错了，需要一一对应。

当我们检查完成并部署好后，再去检测平台检测时会发现评级已经改变了，并且浏览器可以正常访问。

需要注意的是 ，如果使用国密或者其他双证书方案，记得对应好证书链哦。

如果您在部署SSL证书过程中遇到问题，欢迎随时联系我们。