当前位置:首页 > 行业动态 > 正文

f5ssl证书链

F5 SSL证书链指F5设备配置的服务器证书、中间证书及根证书的信任链,用于客户端验证服务端身份,确保HTTPS通信安全,需正确安装各级

F5 SSL证书链配置详解

证书链基础概念

SSL证书链由以下三部分构成:
| 证书类型 | 作用 | 文件格式示例 |
|———|——|————-|
| 服务器证书(Leaf Certificate) | 包含公钥和CN(域名) | .crt/.pem |
| 中间证书(Intermediate CA) | 连接根CA和服务器证书 | .crt/.pem |
| 根证书(Root CA) | 浏览器内置信任锚点 | .crt/.pem |

F5证书导入规范

  1. 文件准备

    • 合并中间证书和根证书(按PEM格式): 
      cat intermediate.crt root.crt > fullchain.crt
    • 保留服务器证书独立文件

  2. F5导入步骤

    • 路径:Local Traffic > SSL Certificates > Create
    • 必填字段:
      • Name:自定义名称(建议含域名)
      • Certificate:上传服务器证书
      • Key:上传私钥文件
      • CA Certificate:上传合并后的fullchain.crt

证书链验证流程

  1. 浏览器验证

    • 访问目标域名
    • 点击锁形图标 > 查看证书 > 详细信息 > 证书链
    • 应显示完整三级结构: 
      [服务器证书] -> [中间证书] -> [根证书]

  2. 命令行验证

    openssl verify -CAfile fullchain.crt server.crt

典型配置错误及解决方案

现象 原因 解决方案
证书不受信任 缺少中间证书 合并所有中间CA到fullchain.crt
NET::ERR_CERT_WEAK_SIGNATURE 使用SHA-1签名 升级到SHA-256证书
证书名称不匹配 SAN未包含域名 重新生成包含所有域名的证书

相关问题与解答

Q1:如何确认F5已正确加载证书链?

A:通过以下方式验证:

  1. 登录F5管理界面,检查SSL Certificate条目下的CA Certificate字段是否包含完整中间链
  2. 使用在线工具检测: 
    echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -text

    输出应显示完整的证书链层级

Q2:当存在多个中间证书时,F5如何处理?

A:需执行以下操作:

  1. 按顺序合并所有中间证书(从下级到上级) 
    cat intermediate1.crt intermediate2.crt root.crt > chain.pem
  2. 在F5的CA Certificate字段上传合并后的文件
  3. 优先级规则:F5会按文件顺序构建链,必须保证:
    • 服务器证书在最前
    • 中间证书按颁发顺序排列
    • 根证书
0

相关文章