如何将 .crt 和 bundle.crt 拼接为 fullchain.pem

最新推荐文章于 2025-06-30 22:46:13 发布
最新推荐文章于 2025-06-30 22:46:13 发布
阅读量649 收藏 9
点赞数 9
CC 4.0 BY-SA版权
分类专栏: 各种问题 文章标签: ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gs80140/article/details/147044680

目录

🛠 教程:如何将 .crt 和 bundle.crt 拼接为 fullchain.pem

📁 一、准备好两个文件

🔧 二、使用 cat 命令拼接

📦 三、检查结果

🧪 四、测试 fullchain.pem 是否可用(可选)

🚀 五、在 Nginx 配置中使用

💡常见问题排查

✅ 总结一句话:

🛠 教程:如何将 .crtbundle.crt 拼接为 fullchain.pem

在部署 HTTPS(如 Nginx、Apache、HAProxy)服务时,经常需要提供一份完整的证书链文件,也就是 fullchain.pem。这个文件通常由以下两个部分拼接组成:

fullchain.pem = 域名证书 (domain.crt) + 根证书/中间证书 (ca_bundle.crt 或 root_bundle.crt)

本教程将手把手教你如何快速完成这个拼接,并避免常见错误。

📁 一、准备好两个文件

确保你已经从 CA(证书机构)或托管服务商(如阿里云、腾讯云、Let's Encrypt)拿到了以下两个文件:

文件名说明
your_domain.crt这是你域名的证书(站点证书)
ca_bundle.crt包含中间证书和根证书,用于建立信任链

🔧 二、使用 cat 命令拼接

打开终端(Linux/Mac)或 WSL(Windows 用户),执行如下命令:

cat your_domain.crt ca_bundle.crt > fullchain.pem

⚠️ 注意顺序:

  • 一定是 your_domain.crt 在前ca_bundle.crt 在后

  • 否则浏览器或客户端会验证失败(证书链错误)

📦 三、检查结果

你可以用 lessvim 检查 fullchain.pem 内容:

less fullchain.pem

应当看到如下结构:

-----BEGIN CERTIFICATE-----
【你网站的证书】
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
【中间 CA 证书】
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
【根 CA 证书】
-----END CERTIFICATE-----

如果你看到多个 BEGIN CERTIFICATE,说明拼接成功。

🧪 四、测试 fullchain.pem 是否可用(可选)

你可以使用 openssl 测试拼接后的证书是否正确加载:

openssl verify -CAfile fullchain.pem fullchain.pem

若输出 fullchain.pem: OK,说明格式和链条正确。

🚀 五、在 Nginx 配置中使用

server {
    listen 443 ssl;
    server_name yourdomain.com;

    ssl_certificate     /etc/nginx/ssl/fullchain.pem;
    ssl_certificate_key /etc/nginx/ssl/your_domain.key;

    ...
}

💡常见问题排查

问题原因解决方案
证书链不完整拼接顺序错误或缺少根证书确保域名证书在前,根证书在后
浏览器警告“不受信任证书”没有提供中间证书使用带有中间证书的 bundle
.pem 无法加载内容格式不对(比如是 DER 格式)确保是 PEM 格式(BEGIN/END)

✅ 总结一句话:

正确顺序拼接 PEM 证书:domain.crt + ca_bundle.crtfullchain.pem,用于服务器加载完整证书链。

fullchain.pem privkey.pem证书配置
chengqixiu4817的博客
07-01 8271
server { listen 443 ssl; #listen [::]:80; server_name www.slinvent.com slinvent.com; index index.html inde...
从零部署Linux服务器完全指南2022版(CentOS 8+Nginx+PHP)
changcheng552200的博客
04-11 2874
之前我的一个CentOS 7 Apache的站点被攻击,导致流量过载损失了一笔钱,由于也是边学习边部署的,有不少安全隐患,为了避免常见安全隐患再次发生,后来找出大概的原因后决定重新部署一个基于CentOS 8 Nginx的服务器。这也是充分利用Google自己探索的一些从零部署的技巧方法。
pem转换为.CRT.Key两种方法
monster_lover的博客
08-16 8156
pem转换为.CRT.Key两种方法 其实方法很多,我就只给大家说两种最简单的实现“pem转换为crtkey”,根本不需要网上所说的要什么openssl命令去生成,openssl命令来转换感觉很麻烦的样子。 一、重命名 我们可以直接把“fullchain.pem”重命名为“fullchain.crt"; 把“privkey.pem”重命名为“privkey.key; ...
根据fullchain.pem(证书链) private.pem(私钥)通过openssl命令生成p12 文件
最新发布
ruiliangjie的博客
06-30 685
本文主要介绍如何根据证书链以及私钥生成P12文件
搭建&上线个人网站ECS/域名/免费SSL证书的购买与使用
iFairyshi的博客
04-29 1487
近期将之前自己开发的个人项目部署上线(该项目是将自己之前基于Taro做的一个应用重构的H5项目。前端react18+typescript,服务端node+typescript+sequelize6)。因是首次购买并使用阿里云ECS、域名等资源踩了些坑,这里小记一下。前端同学首次购买ECS、ECS上搭建环境、配置Nginx、购买域名、申请并配置免费SSL证书等可以作为参考。
宝塔面板安装SSL检查提示“错误: 服务器缺少中间证书”
cbaln0的博客
07-01 3889
今天在做小程序的过程中使用HTTPS请求数据时,遇到安卓机型无法获取到数据 微信小程序wx.request:fail ssl hand shake error 通过一系列的排查,发现是因为ssl证书的问题,后来通过https://www.myssl.cn/tools/check-server-cert.html检查发现缺少中间证书: 原因:因为给客户使用的是宝塔面板,宝塔面板在安装SSL...
CSR证书创建与配置以及SSL证书
weixin_43258559的博客
11-25 5315
申请证书请求文件
nginx配置wss示例
灵神翁的博客
07-06 8199
nginx配置wss 又好久没更新我的博客了,今天出于一些工作,需要在nginx搭建wss,下面我来示例一下 第一步 先申请号你的SSL证书,拿到private.keyfull_chain.pem这两个文件 第二步 下载一个Key转换工具,推荐这个工具,挺好用的https://keymanager.org/,下载好后打开,选择导入证书 然后上传private.keyfull_chain.pe...
user www www; worker_processes auto; error_log /www/wwwlogs/nginx_error.log crit; pid /www/server/nginx/logs/nginx.pid; worker_rlimit_nofile 51200; stream { log_format tcp_format '$time_local|$remote_addr|$protocol|$status|$bytes_sent|$bytes_received|$session_time|$upstream_addr|$upstream_bytes_sent|$upstream_bytes_received|$upstream_connect_time'; access_log /www/wwwlogs/tcp-access.log tcp_format; error_log /www/wwwlogs/tcp-error.log; include /www/server/panel/vhost/nginx/tcp/*.conf; } events { use epoll; worker_connections 51200; multi_accept on; } http { include mime.types; #include luawaf.conf; include proxy.conf; lua_package_path "/www/server/nginx/lib/lua/?.lua;;"; default_type application/octet-stream; server_names_hash_bucket_size 512; client_header_buffer_size 32k; large_client_header_buffers 4 32k; client_max_body_size 50m; sendfile on; tcp_nopush on; keepalive_timeout 60; tcp_nodelay on; fastcgi_connect_timeout 300; fastcgi_send_timeout 300; fastcgi_read_timeout 300; fastcgi_buffer_size 64k; fastcgi_buffers 4 64k; fastcgi_busy_buffers_size 128k; fastcgi_temp_file_write_size 256k; fastcgi_intercept_errors on; gzip on; gzip_min_length 1k; gzip_buffers 4 16k; gzip_http_version 1.1; gzip_comp_level 2; gzip_types text/plain application/javascript application/x-javascript text/javascript text/css application/xml application/json image/jpeg image/gif image/png font/ttf font/otf image/svg+xml application/xml+rss text/x-js; gzip_vary on; gzip_proxied expired no-cache no-store private auth; gzip_disable "MSIE [1-6]\."; limit_conn_zone $binary_remote_addr zone=perip:10m; limit_conn_zone $server_name zone=perserver:10m; server_tokens off; access_log off; server { listen 443 ssl; #请填写绑定证书的域名 server_name taikongyun.icu; #请填写证书文件的相对路径或绝对路径 ssl_certificate /taikongyun.icu_nginx/nginx/taikongyun.icu_bundle.crt; #请填写私钥文件的相对路径或绝对路径 ssl_certificate_key /taikongyun.icu_nginx/nginx/taikongyun.icu.key; ssl_session_timeout 5m; #请按照以下协议配置 ssl_protocols TLSv1.2 TLSv1.3; #请按照以下套件配置,配置加密套件,写法遵循 openssl 标准。 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE; ssl_prefer_server_ciphers on; location / { root /opt/application/dist; try_files $uri $uri/ /index.html; index index.html index.htm; } location /jxj-shop-admin/ { proxy_set_header Host $http_host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header REMOTE-HOST $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_pass http://134.175.126.81:8085/; # 修复此处 } error_page 500 502 503 504 /50x.html; location = /50x.html { root html; } access_log /www/wwwlogs/access.log; } server { listen 80; #请填写绑定证书的域名 server_name taikongyun.icu; #把http的域名请求转成https return 301 https://taikongyun.icu; } server { listen 8080; server_name localhost; charset utf-8; location / { root /opt/application/dist; try_files $uri $uri/ /index.html; index index.html index.htm; } location /jxj-shop-admin/ { proxy_set_header Host $http_host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header REMOTE-HOST $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_pass http://134.175.126.81:8085/; # 修复此处 } location /image/ { root /home/; autoindex on; } location ~ ^/v3/api-docs/(.*) { proxy_pass http://134.175.126.81:8085/v3/api-docs/$1; # 修复此处 } error_page 500 502 503 504 /50x.html; location = /50x.html { root html; } } include /www/server/panel/vhost/nginx/*.conf; } 以上是nginx.conf文件中的内容,请帮忙看下怎么改指出内容中的问题并优化
06-14
ssl_certificate /etc/nginx/ssl/fullchain.pem; ssl_certificate_key /etc/nginx/ssl/privkey.pem; # 协议与加密套件优化 ssl_protocols TLSv1.2 TLSv1.3; # 禁用旧协议 ssl_ciphers 'ECDHE-ECDSA-AES256-...
ssl证书怎么导入
03-08
将证书文件(`.crt`)证书链文件(`.ca-bundle`)合并为一个文件(例如 `fullchain.pem`): ```bash cat your_domain.crt ca-bundle.crt > fullchain.pem ``` 2. **修改配置文件** 编辑Nginx的SSL配置文件...
openssl s_server传递证书链
06-20
- 将服务器证书(如 `server.crt`)中间证书(如 `intermediate.crt`)按顺序拼接为一个文件(如 `chain.pem`): ```bash cat server.crt intermediate.crt > chain.pem ``` - 在运行 `openssl s_server` 时,...
docker GitLab-runner CI/CD持续集成
奋斗的小鸟专栏
07-22 3218
docker安装GitLab-runnerdocker安装GitLab-runner拉取镜像创建挂载目录启动容器注册gitlab-runner修改Runner配置文件创建SpringBoot项目测试CICD项目结构配置docker注册runner修改config.toml挂载目录修改项目pom.xml,引入docker插件在项目根目录创建Dockerfile文件提交代码到gitlab查看打包结果安装错误ERROR: Failed to load config stat /etc/gitlab-runner/
nginx配置ssl安全证书来支持https请求
技术成就人生
01-26 319
1.申请免费的证书 阿里云等平台自行去申请 2.将这两个文件放置到服务器中,这里放到/root/temp目录下 full_chain.pem private.key 3.配置nginx的配置文件 server { listen 443; server_name test.com; #配置二级域名 location ^~/test_api/ { proxy_pass http...
Nginx配置https免费证书
github_37271067的博客
10-31 1580
yum install certbot https取代http是大势所趋,https的好处本文不在赘述,很多公司机构都在推进这一进程,Apple公司甚至规定,iOS上的App应用必须使用https。因此,正是受到Apple的限制,我们的站点,几乎是所有的站点,接近上百个,都支持了https。 如何获取SSL证书? 自签名证书 我们可以自己为自己颁发SSL证书,这样的证书满足为http加密的要求,但这样的证书缺少权威性,不会被浏览器所承认。在客户端完全可控的情况下,例如没有经过浏览器,或者使用其他的框架
域名证书(SSL)格式说明
osfipin note
10-29 1744
主流的Web服务软件通常都基于两种基础密码库:OpenSSLJava 1.Tomcat、Weblogic、JBoss等系统是使用Java提供的密码库。通过Java的Keytool工具,生成Java Keystore(JKS)格式的证书文件。Tomcat7开始支持PFX格式证书 2.Apache、Nginx等,使用OpenSSL提供的密码库,生成PEM、KEY、CRT等格式的证书文件。 3....
使用opensslpem证书转换为crtkey
你去找小鱼吧的博客
03-09 4530
pemcrt格式 openssl x509 -in fullchain.pem -out fullchain.crt pem转key格式 openssl rsa -in privkey.pem -out privkey.key
Nginx 配置 HTTPS 与 WSS 完整指南(最新推荐)
专注于与编程相关的知识内容分享
05-21 933
在现代 Web 开发中,**HTTPS**(安全超文本传输协议) **WSS**(WebSocket Secure)已成为保障数据传输安全的核心技术。Nginx 作为高性能的 Web 服务器反向代理工具,支持通过 SSL/TLS 加密实现 HTTPS WSS 的配置。本文将手把手教您如何为网站配置 HTTPS 加密访问,并通过反向代理实现安全的 WebSocket(WSS)通信。
合并转换 Let's Encrypt 申请的证书crt文件
w13511069150的博客
04-03 3398
一、合并文件 使用https://www.sslforfree.com 生成的证书文件包含以下三个文件。 我们使用 Notepad++ 打开 certificate.crt 文件(使用别的文本编辑工具也一样),将ca_bundle.cr 文件内容复制到 certificate.crt文件即可,然后保存(下图为合并效果)。 二、转换证书格式 应该是可以使用openssl工具来转...
常见的数字证书格式
09-08 5781
常见的数字证书格式  (2011-05-17 11:29:22) 转载▼ 标签:  杂谈 分类: CommonTech 常见的数字证书格式 cer后缀的证书文件有两种编码-->DER二进制编码或者BASE64编码(也就是.pem)  p7b一般是证书链,里面包括1到多个证书  pfx是指以pkcs#12格式存储的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值