windows 证书链不完整

Windows 证书链不完整

Windows 系统中证书链不完整，会导致浏览器（如 Edge、Chrome）或系统组件（如 WinHTTP、SChannel）报错“NET::ERR_CERT_INVALID”或“SEC_E_WRONG_PRINCIPAL”，根本原因是服务器未发送完整的中间证书（Intermediate CA），仅发送了终端证书（End-Entity Certificate）。Windows 自身不主动补全缺失的中间证书，依赖服务器在 TLS 握手时明确提供完整证书链。

该问题与证书颁发机构（CA）的分层信任模型直接相关。根据 RFC 5280 和 CA/B Forum Baseline Requirements，终端 SSL/TLS 证书必须由受信根证书颁发机构（Root CA）或其下级中间 CA 签发；而客户端验证时需构建一条从终端证书 → 中间证书 → 受信根证书的可信路径。Windows 的 SChannel 安全子系统严格遵循此规则，不会像部分 Linux 发行版（如 Ubuntu 使用 ca-certificates 包）或旧版 Java 那样尝试自动下载或拼接缺失中间证书。

实际部署中，常见于 IIS、Nginx（Windows 版）、Apache（Windows 版）等服务器配置疏漏。例如：IIS 导入 PFX 文件时若未包含中间证书（即 PFX 仅含私钥+域名证书，不含签发该证书的 Intermediate CA 证书），则 IIS 默认不会自动附加中间证书到握手响应中；Nginx 在 Windows 上若 ssl_certificate 指向的 PEM 文件只含域名证书，未追加中间证书内容，也会导致链断裂。可通过 OpenSSL 命令验证：openssl s_client -connect example.com:443 -showcerts，观察输出中是否仅返回 1 张证书（应为 2–3 张：域名证书 + 1–2 级中间证书）。

需要注意的情况

• Windows Server 2012 R2 及更新版本默认启用 EnableCertificateTrustList，但该机制仅用于增强根证书吊销检查，不用于补全缺失中间证书。
• 使用 PowerShell Get-ChildItem Cert:\LocalMachine\My 查看本地证书存储，不能替代服务器实际发送的证书链；即使中间证书已安装在“中间证书颁发机构”存储区，SChannel 仍要求服务器在 TLS 握手中显式发送。
• 某些自动化工具（如 Certbot Windows 版本、部分国产 SSL 管理软件）生成的 Nginx/Apache 配置可能遗漏 ssl_trusted_certificate 或未合并中间证书至主证书文件，需人工校验 PEM 文件结构。