很多站長(zhǎng)在部署SSL的時(shí)候，都會(huì)遇到提示證書鏈不完整，原因如下：

瀏覽器的處理

現(xiàn)代的瀏覽器都有證書自動(dòng)下載的功能，但很多瀏覽器在安裝后是使用系統(tǒng)內(nèi)置的證書庫(kù)，如果你缺失的那張CA證書，在系統(tǒng)的內(nèi)置證書庫(kù)中不存在的話，用戶第一次訪問(wèn)網(wǎng)站時(shí)會(huì)顯示如下情況：（以Chrome為例）

即使你的證書確實(shí)是可信的，但依舊會(huì)顯示成不可信，只有等到瀏覽器自動(dòng)把缺失的那張CA證書從網(wǎng)上下載下來(lái)之后，訪問(wèn)該網(wǎng)站才會(huì)顯示成可信狀態(tài)。

硬件設(shè)備的處理

大量的硬件設(shè)備并不會(huì)像瀏覽器一樣下載CA證書，如果你缺失的CA證書不再這些硬件設(shè)備的內(nèi)置證書庫(kù)中，那么使用這些硬件設(shè)備訪問(wèn)網(wǎng)站就會(huì)一直顯示你的域名是不可信狀態(tài)。

修復(fù)

其實(shí)修復(fù)的辦法很簡(jiǎn)單，就是在部署證書的時(shí)候，把那張缺失的CA證書一并部署。目前一般的證書簽發(fā)機(jī)構(gòu)在簽發(fā)證書的時(shí)候會(huì)把該CA證書一并打包。但如果確實(shí)缺失了這張CA證書也不要慌，MySSL能夠幫你補(bǔ)全證書鏈。

使用單獨(dú)的補(bǔ)全工具

證書補(bǔ)全工具傳送門

該工具支持輸入域名和上傳證書，如果使用輸入域名（支持非443端口）的方式，并且您的域名使用雙證書策略，修復(fù)結(jié)果就會(huì)如圖所示，該工具會(huì)對(duì)雙證書對(duì)進(jìn)行補(bǔ)全（如果雙證書都存在缺鏈的情況）。