Windows Azure網站中使用中繼憑證

編輯人員注釋：本文章由 Windows HTTP://www.aliyun.com/zixun/aggregation/13357.html">Azure 網站團隊的專案經理 Erez Benari 撰寫。

在 Windows Azure 網站上使用 SSL 已經司空見慣。 雖然向網站上傳和分配證書通常簡單而直接（如我們最近的博客文章 1 和 2 中所述），但有些客戶遇到了困難, 因為其證書供應商使用了中繼憑證。

中繼憑證（也稱為鏈證書）由某些證書轉銷商使用，其使用正變得越來越普遍，因為證書供應商認為這樣可以增強安全性。 例如，VeriSign 和 GoDaddy 在過去幾年已經停止頒發非連結證書，這會影響依賴于它們的供應商，包括 Thawte，當然還有 GeoTrust。

當然，Windows Azure 網站完全支援這種使用場景，並且您只需注意安裝中繼憑證所需執行的步驟即可使其保持順暢運行。 此使用場景中出現問題的最常見原因是客戶試圖將中繼憑證本身上傳到我們的伺服器。 另一個常見問題是客戶上傳的證書檔中不包含中繼憑證。 這兩種情況都可能會導致有些瀏覽器發出警報，提示網站不可信（大多數情況下，使用者仍可繼續操作，但此錯誤無疑會讓許多使用者擔憂，應加以避免）。

明確地說 – 證書供應商使用鏈證書模式時，您需要將它上傳，但正確的處理方法是將兩者一起上傳。 您可能還記得我們之前有關此主題的文章中提到過，為進行上傳您應將證書匯出到 PFX 檔（為使證書包含其私密金鑰，需執行此操作）...... 而如果該證書是由中間 CA 頒發，則您只需確保匯出中包含**中繼憑證。 為此，請確保選中 Include all certificates in the certification path if possible 選項：

此匯出操作會產生一個較大的 PFX 檔，該檔包含我們的伺服器處理證書所需的所有資訊。 明確地說，您不應匯出中繼憑證本身，而是匯出您自己的伺服器憑證。 執行此操作並選中正確選項時，匯出會將兩個證書都包含在 PFX 檔中，因此我們的伺服器將能正確處理該檔。

** 在此提醒一個重要事項，要使匯出順利完成，執行匯出的電腦本身必須具有中繼憑證。 證書供應商頒發證書時，通常會向您提供安裝證書所需的資訊和/或連結，但萬一您缺少這些資訊和/或連結或者存有疑問，我們建議您查看相應郵件並按照其中的說明操作。 您也可以搜索供應商的網站，獲取相關資訊（例如，按一下此處訪問 GoDaddy 的網頁和 VeriSign 的網頁）