注意SSL证书和中级证书的证书链匹配

• globalsign.com邮件发放ssl证书和中级证书
• 邮件2个证书复制进server.pem
• 配好nginx ssl后，https网站通过电脑、ios访问正常，android高版本浏览器访问正常，android微信和支付宝无法打开，白屏，android低版本浏览器提示“该证书并非来自可信的授权中心“
• openssl s_client -connect www.abc.com:443提示错误信息
  • ...
  • verify error:num=20:unable to get local issuer certificate
  • verify return:1
  • ...
  • verify error:num=27:certificate not trusted
  • verify return:1
  • ...
  • verify error:num=21:unable to verify the first certificate
  • verify return:1
  • ...
  • Certificate chain
  •  0 s:/businessCategory=Private.../CN=www.abc.com
  •    i:/C=BE/O=GlobalSign nv-sa/CN=GlobalSign Extended Validation CA - SHA256 - G3
  •  1 s:/C=BE/O=GlobalSign nv-sa/CN=GlobalSign Extended Validation CA - SHA256 - G2
  •    i:/OU=GlobalSign Root CA - R2/O=GlobalSign/CN=GlobalSign
  • …
• 各种修改nginx ssl配置，无效
• server.pem增加根证书，无效
• 后查到有说证书链不完整，发现openssl信息里Certificate chain部分 0:i 项和 1:s 项不一致，怀疑问题在这！！！
• 功夫不负有心人，还真找到一个匹配的G3中级证书 https://support.globalsign.com/customer/portal/articles/1223443-intermediate-certificate---extendedssl ，马上复制替换原中级证书，重启后再验证，成功！！！