[ssl] 部署 Sectigo ssl 时 ca-certificates 缺少根证书的情况
从 ssl 后台下载了证书后,先测试证书链是否正常:
openssl verify -verbose -CAfile /etc/ssl/certs/ca-certificates.crt bundle.crt
可知,bundle.crt 的证书链不正常。
我们用这种方式测试发现证书链其实是完整的。
为什么用这个方式成功,而用系统 ca-certificates 失败?
- Sectigo 在 2025 年迁移到新根 Sectigo Public Server Authentication Root R46。
- 我的服务器系统(/etc/ssl/certs/ca-certificates.crt)目前还没有把新根加入信任库,所以直接验证会失败。
添加新根,重新验证 bundle.crt 正常:
