证书安装后提示NETERR_CERT_AUTHORITY_INVALID
--
sidebar_label: 证书安装后提示NET::ERR_CERT_AUTHORITY_INVALID slug: /ssl/support-services/cert-authority-invalid title: ERR_CERT_AUTHORITY_INVALID 证书不受信是什么异常?怎么解决? - 常见问题 keywords: [NET::ERR_CERT_AUTHORITY_INVALID, 证书链不完整, 中间证书, 证书不受信, OCSP校验失败, 证书吊销, 根证书过期, 系统时间错误, IIS证书安装, Nginx证书配置] description: ERR_CERT_AUTHORITY_INVALID(证书颁发机构无效/证书不受信任)是浏览器高频SSL证书错误。常见原因包括证书链不完整、证书被吊销、OCSP校验失败、本地根证书库过期、系统时间错误及网络拦截篡改。本文提供完整排查与解决方案。
ERR_CERT_AUTHORITY_INVALID 是什么异常?如何解决?
报错含义
中文:证书颁发机构无效 / 证书不受信任,是浏览器高频 SSL 证书错误。
当你用浏览器访问 HTTPS 网站时,浏览器会校验证书链是否由受信任的根证书颁发机构签发。如果浏览器无法将网站证书与本地内置的根证书建立可信链条,就会抛出此错误。
不同浏览器的提示文案略有差异:
- Chrome/Edge:
NET::ERR_CERT_AUTHORITY_INVALID或"你的连接不是专用连接" - Firefox:
SEC_ERROR_UNKNOWN_ISSUER - Safari:"此连接不是专用连接"
触发原因
1. 根证书 / 中间证书链缺失、配置不完整(最常见)
服务器上只部署了站点证书,未部署中间证书(证书链),导致浏览器无法识别证书颁发机构。
2. 证书被吊销
如果 CA 因密钥泄露等原因吊销了证书,浏览器通过 CRL 或 OCSP 检测到吊销状态后会拒绝连接。
3. OCSP 校验失败
部分浏览器开启 OCSP Stapling 或实时 OCSP 查询。若 OCSP 服务器不可达、响应超时或被拦截,浏览器可能因无法验证证书状态而报错。
4. 证书厂商服务器故障
当 CA 的 OCSP / CRL 服务器发生故障时,浏览器可能因为无法验证吊销状态而报错(取决于浏览器的"软失败"策略)。
5. 本地设备根证书库过期
操作系统内置的根证书库长期未更新,缺少签发该证书的根证书,导致无法建立信任链。建议更新操作系统或手动导入新根证书。
6. 系统时间错误
客户端系统时间偏差过大,导致浏览器误判证书"尚未生效"或"已过期",从而报出证书不受信的错。将系统时间校正为当前时间即可解决。
7. 网络拦截/篡改证书
某些安全软件、防火墙或中间人设备会对 HTTPS 流量做 SSL 检测,并使用自签证书替换原始证书提交给浏览器。若该自签证书未加入客户端信任列表,浏览器即报此错误。
解决方案
对于"证书链不完整"(最常见原因):
- 大多数服务器(Nginx/Apache 等):请直接使用我们提供的证书压缩包中,"Nginx"文件夹里的
.crt文件。该文件已包含站点证书和完整的证书链,直接配置即可。 - 需要单独上传证书链文件的情况:请使用压缩包中"Apache"文件夹内的
.ca-bundle文件作为证书链文件上传。 - IIS 服务器:需要在 IIS 管理控制台中,将中间证书(pfx 文件中已包含)与站点证书一并导入并正确绑定,仅在 IIS 中上传绑定站点证书会导致此错误。
对于"证书被吊销":
- 登录锐成信息控制台检查证书状态,如已吊销需重新申请或重签。
对于"系统时间错误":
- 将操作系统时间同步至互联网时间(Windows:设置 → 时间和语言 → 自动设置时间)。
对于"根证书库过期":
- Windows:运行 Windows Update 安装最新根证书更新。
- Linux:
sudo apt update && sudo apt install ca-certificates(Debian/Ubuntu)或sudo yum update ca-certificates(CentOS)。