IIS не отправляет промежуточный сертификат SSL
Я установил сертификат Comodo на Windows Server 2012 / IIS 8.5. Для большинства клиентов этот сертификат работает без сбоев, но старые устройства Android с Chrome, а также Chrome на MacOS Sierra не могут получить доступ к сайту должным образом, потому что сайт помечен как ненадежный.
При запуске SSL Test из SSL лаборатории я получаю такой результат: 
Обычно существует два пути сертификации, один из которых требует дополнительной загрузки.
Единственное решение, предоставляемое поставщиком сертификата, - это отключить все виды использования «COMODO RSA Certification Authority», однако это будет работать только до следующего обновления списка доверенных корневых сертификатов и требует перезагрузки каждый раз.
Должен ли я получить сертификат от другого поставщика (кажется проще?) Или можно извлечь части из выпущенного сертификата и восстановить правильную цепочку?
В сертификате нет ничего плохого, он имеет несколько цепочек для поддержки устаревших браузеров. (Это характерно и для других центров сертификации). Все, что вам нужно сделать, это загрузить недостающий промежуточный продукт и добавить его в хранилище сертификатов на сервере, и он будет обслуживать его для этих проблемных клиентов.
Похожая проблема произошла сегодня со мной на WS2012R2 IIS8.5 на 9 из 80 виртуальных машин Windows, которые были развернуты с нуля с использованием автоматизации Salt. Я исправил это, зайдя в диспетчер IIS, выбрав веб-сайт, в верхнем левом углу «изменить привязки ...». Выберите сертификат, выберите изменить. Внесите некоторые изменения, нажмите ОК. Снова нажмите «изменить привязки ...», отмените изменения и снова нажмите «ОК». Это решило проблему для меня. Сбои были обнаружены при запуске openssl s_client -connect: 443 'В первой группе строк вывода вы либо видите ошибки openssl' 20 ',' 21 'и' 27 ', если проблема существует, а в противном случае вы видите правильную цепочку сертификатов. .
Я заметил, что в цепочке есть сертификат SHA1. Если вы протестируете свой сайт в Firefox, у вас может возникнуть та же проблема. Возможно, он считает, что SHA1 более старый и недоверенный. https://blog.mozilla.org/security/2014/09/23/phasing-out-certificates-with-sha-1-based-signature-algorithms/ также https://support.mozilla.org/en-US/kb/secure-website-certificate может помочь. Использование SHA1 постепенно прекращается и может быть причиной вашей проблемы.